Сила конфиденциальности. Почему необходимо обладать контролем над своими персональными данными и как его установить

Повысить стандарты кибербезопасности

Наша конфиденциальность не будет как следует защищена, пока приложения, веб-сайты и устройства, которыми мы пользуемся, не станут безопасными. Данные слишком легко украсть. В настоящее время у компаний нет интереса инвестировать в кибербезопасность. Это стоит дорого, и пользователи не могут по достоинству оценить кибербезопасность, потому что она невидима. Им не так легко сравнивать продукты по стандартам безопасности[281]. Мы примерно представляем, как выглядит стальная дверь, но на приложениях или веб-сайтах нет никаких сопоставимых знаков. Однако дело не только в отсутствии выгоды – у компаний нет риска больших потерь, если что-то пойдет не так. Если данные будут украдены, основная нагрузка ложится на клиентов. Если сочтут, что компания допустила грубую халатность, она может быть оштрафована. А если штраф недостаточно велик (например, меньше, чем стоило бы инвестировать в кибербезопасность), у компаний возникнет соблазн рассмотреть такие штрафы как приемлемые расходы на ведение бизнеса.

Кибербезопасность – это проблема коллективных действий. Обществу было бы лучше, если бы у всех были приемлемые стандарты кибербезопасности. Если конфиденциальная информация организаций будет лучше защищена, доверие клиентов к ним будет выше. Если будут защищены данные граждан, будет незыблема и национальная безопасность. Но большинство компаний не заинтересованы в том, чтобы инвестировать в безопасность, потому что это дает им мало преимуществ и к тому же дорого, что может поставить их в невыгодное положение по сравнению с конкурентами. В текущей ситуации небезопасные продукты могут вытеснить с рынка безопасные, поскольку инвестиции в кибербезопасность не окупаются.

Повышение безопасности должно регулироваться государством. Если бы правительства не внедряли стандарты безопасности, такие вещи, как здания, лекарства, продукты питания, автомобили и самолеты, были бы намного менее безопасными.

Компании очень часто жалуются, когда от них в первую очередь требуют повысить стандарты безопасности. Автомобильные компании, как известно, сопротивлялись обязательным ремням безопасности. Они думали, что те уродливы и автовладельцам не понравятся. На самом же деле покупатели были счастливы, что вождение стало более безопасным.

Со временем компании начинают принимать правила, которые защищают их и их клиентов от нарушений безопасности. И они приходят к пониманию того, что такое регулирование – это иногда единственный способ позволить компании инвестировать во что-то действительно ценное, хоть и не приносящее немедленной отдачи, но без ущерба для конкуренции, потому что все остальные тоже должны это делать.

Несмотря на то что бóльшая часть конфиденциальности, которую мы потеряли с 2001 года, была прямым или косвенным следствием того, что правительство якобы уделяло приоритетное внимание безопасности, опыт научил нас, что безопасность и конфиденциальность – это не игра нулевой суммой. Когда мы нарушаем нашу конфиденциальность, мы чаще всего подрываем и нашу безопасность. Интернет был сделан небезопасным, чтобы позволить корпорациям и правительству присваивать наши данные, чтобы теоретически защитить нас. Реальность же оказалась такова, что нерегулируемый интернет чрезвычайно опасен для людей, компаний и общества.

Если наши устройства небезопасны, враждебные режимы могут шпионить за нашими чиновниками. Хакеры могут вывести из строя энергосистему всей страны, взломав несколько десятков тысяч энергоемких устройств, таких как водонагреватели и кондиционеры, и вызвать резкий скачок спроса на электроэнергию[282]. Они могут даже взять под контроль атомную электростанцию[283] или завладеть ядерным оружием[284]. Массовая кибератака может привести к отключению целой страны[285]. Это одна из двух самых серьезных катастрофических угроз, которые правительства всего мира включили в реестр рисков. Другая угроза – это пандемия.

На протяжении десятилетий эксперты предупреждали об опасности пандемии. Мало того что общество продолжает заниматься рискованной практикой, которая, как мы знаем, приводит к таким последствиям (например, сельскохозяйственные рынки и промышленное животноводство), но и не готовится к ним. Пандемия коронавируса застала нас, например, без достаточного количества средств защиты для медицинских работников – что непростительно, учитывая то, что мы знали об угрозе. Люди способны предотвратить то, через что они не проходили раньше. Представление о том, что именно может пойти не так, жизненно важно как побудительный мотив к действию.

Представьте, что объявлен локдаун, а ваша страна подвергается масштабной кибератаке. Интернет отключился. Возможно, электричество тоже отключено. И ваш стационарный телефон, если он у вас есть, также не работает. Вы не можете связаться с семьей, позвонить своему врачу и даже узнать новости. Вы не можете выйти из-за пандемии. Темнеет рано, и у вас догорает последняя свеча (кто сейчас хранит большие запасы свечей?). Ваш электрический обогреватель не работает. Вы не знаете, что произошло, и не знаете, когда все нормализуется.

Этот сценарий не так уж и надуман. В конце концов, в результате пандемии коронавируса количество кибератак резко возросло (на карикатуре Пола Нота, опубликованной в New Yorker, изображены сидящие за столом персонажи сомнительного вида, у одного из них пистолет. Надпись на картинке гласит: «В целях защиты своего здоровья переходим на киберпреступления». – Прим. авт.).

Массовая кибератака – лишь вопрос времени. Мы знаем это так же, как знали, что пандемия рано или поздно случится. Мы должны быть лучше подготовлены и начать принимать меры уже сейчас, чтобы иметь хоть малейший шанс предотвратить или смягчить последствия масштабной кибератаки.

Для повышения нашей кибербезопасности крайне важно разъединить системы[286]. В настоящее время наблюдается тенденция к тому, чтобы соединять все устройства: динамики – к телефону, телефон – к компьютеру, компьютер – к телевизору и так далее. Была бы воля энтузиастов технологий, следующей точкой соединения был бы наш мозг. И это очень плохо. Мы используем противопожарные двери для локализации возможных пожаров в наших домах и зданиях, а также водонепроницаемые отсеки, чтобы ограничить возможность затопления судов. Нам нужно создать аналогичную защиту и в киберпространстве. Каждое новое соединение в системе – это точка возможного входа. Если все ваши устройства соединены, это означает, что хакеры потенциально могут получить доступ к вашему телефону (относительно сложному, чувствительному и безопасному устройству, если он у вас хороший) через ваш умный чайник (который, скорее всего, устроен не так безопасно). Если все наши национальные системы будут аналогичным образом связаны, кибератака может обрушить их все всего через одну систему.

Первоначально стандарты кибербезопасности в основном будут касаться восстановления неисправных систем. В конце концов, безопасность должна быть встроена в методы разработки технологий. На данный момент, например, в протоколах соединения между нашими телефонами и вышками сотовой связи нет аутентификации. Наши смартфоны могут подключаться к любым вышкам. Вот почему IMSI-ловушки могут скачивать ваши данные, как мы это уже видели в первой главе[287]. Мы должны начать проектировать все технологии, учитывая деятельность хакеров. Время, когда интернет мог напоминать загородные дома без заборов, дверей и замков, закончилось много лет назад. Мы должны идти в ногу со временем.