Шрифт:
Наконец, материальному миру присуща ситуативность. Люди и объекты физически находятся в определенном месте в определенный момент времени, что позволяет нам судить о них в ходе принятия решений о безопасности. Даже поддельный счет все равно должен был очутиться в вашем почтовом ящике в подходящий для оплаты период. Даже угнанному автобусу пришлось бы выйти на маршрут по расписанию, а угонщику – вовремя сесть за руль. Фармацевт-психопат должен был явиться в аптеку в тот день, когда у знакомого вам фармацевта выходной. Ни одно из этих нарушений физической безопасности нельзя назвать невозможным, но ситуативность затрудняет их осуществление. Террористы, похитившие и разбившие самолеты в США 11 сентября 2001 года, не только учились пилотированию, но и должны были сесть на разные авиарейсы с примерно одинаковым временем прибытия и точками посадки недалеко друг от друга [38] . Их деяние ужасно, но ситуативные трудности, которые они преодолели для его осуществления, были экстраординарными настолько, что никто даже представить себе не мог, что угроза такого рода вообще реальна.
38
«9/11 Commission Staff Statement No. 16», Комиссия по событиям 11 сентября, 16 июня 2004 года, https://www.9–11commission.gov/staff_statements/staff_statement_16.pdf.
Мы материальные существа, привыкшие защищать себя в материальном мире. Проблема в том, что киберпространство – это нечто совершенно другое.
Пришло время поговорить о дне другого рода: кибердне.
Вы просыпаетесь утром и проверяете свою электронную почту. Среди груды спама обнаруживается уведомление о необходимости заплатить за электроэнергию, что вы и делаете. Вам нездоровится, но благодаря прелестям киберпространства покидать дом в поисках лекарства нет нужды: вы задаете симптомы в поисковой системе, находите интернет-аптеку, заказываете медикаменты, оплачиваете их банковской картой и ждете доставки.
Или как насчет этого?
Вы просыпаетесь утром и проверяете свою электронную почту. Среди груды спама обнаруживается счет, выставленный, по всей видимости, вашим поставщиком электроэнергии. На самом же деле его послал жулик, пытающийся выманить у вас деньги, что ему и удается. Вам нездоровится, поэтому вы задаете симптомы в поисковой системе и находите сайт, предлагающий лекарства по удивительно адекватным ценам. Поисковая система делится вашими симптомами с несколькими партнерскими организациями, в числе которых оказывается ваша страховая компания, которая решает увеличить размер ваших взносов. Вы заказываете медикаменты и платите своей банковской картой. К несчастью для вас, этот «аптечный» веб-сайт размещен на компьютере в какой-то квартирке в Руритании [39] и продает продукты сомнительного качества. У этого веб-сайта есть несколько побочных «бизнес-направлений», одно из которых – быстрые покупки в сети при помощи ваших банковских реквизитов, а другое – удаленная установка на ваш компьютер пары программ, позволяющих неведомому руританцу найти на нем все, что может вызвать интерес, включая пароли и финансовые данные. Вас определенно ограбили, хотя вы даже не выходили из дома. Это был плохой кибердень.
39
Королевство Руритания – вымышленная страна центральной Европы, в которой происходит действие романа The Prisoner of Zenda Энтони Хоупа, 1894 год. Я взял на себя смелость использовать Руританию в качестве типичного государства, чтобы не обидеть ничьи национальные чувства. Я (бесстыдно) скопировал этот прием у моего коллеги Роберта Каролайна, который использовал Руританию в своих курсах по киберзаконодательству.
Какой из этих двух кибердней «типичен»? Естественно надеяться, что вторая версия менее вероятна. Может быть, это даже действительно так, но для ее описания мне не потребовался полет фантазии, который лег в основу абсурдного нетипичного дня в материальном мире. Плохой кибердень выглядит правдоподобным, его элементы – обычными и распространенными. Как же так?
Провернуть мошенничество с поддельным счетом в киберпространстве намного легче, чем в реальном мире. Прежде всего, в Интернете намного дешевле и проще разослать миллионы фальшивых электронных уведомлений об оплате. Большую часть проигнорируют, но один-два успешных результата окупят всю затею. К тому же рядовому клиенту сложнее проверить подлинность цифрового требования, так как цифровые средства связи в разнообразии форм и стилей пока уступают материальным [40] .
40
Появляется все больше и больше рекомендаций о том, как распознавать поддельные электронные сообщения. Например, см. «Protecting Yourself», Get Safe Online, https://www.getsafeonline.org/protecting-yourself (по состоянию на 10 июня 2019 года).
Вводя запрос в поисковую систему, мы очень плохо представляем, что происходит с данными дальше. Они исчезают в киберпространстве, после чего компания, стоящая за поисковой системой, может обрабатывать их так, как ей вздумается (по крайней мере в теории). Когда результаты поиска выводят нас на онлайн-продавца, судить о его добропорядочности и качестве товара можно только по его сайту, тому, как он выражается, и ценам, которые он предлагает. Если мы не знакомы с этим продавцом, нам придется в какой-то степени принять его слова на веру. Большинство людей не осознают, насколько легко организовать бизнес в киберпространстве и создать настоящий (на первый взгляд) интернет-магазин из своей спальни в Руритании.
Покупки в Интернете по чужим банковским реквизитам будут продолжаться, скорее всего, пока банковская система противодействия мошенничеству не посчитает эту активность подозрительной, но это может произойти слишком поздно. Именно поэтому похищение и продажа информации о банковских картах сейчас лидирует среди преступных промыслов в киберпространстве. Удаленная установка на компьютер вредоносного ПО тоже не вызывает проблем – обычно для этого достаточно, чтобы ничего не подозревающий пользователь щелкнул по ссылке или загрузил вложенный файл. Такие вредоносные программы могут, к примеру, легко просканировать компьютер на предмет паролей и банковских реквизитов. Что еще хуже, они могут оставаться на компьютере вечно, играя роль цифровых «шпионов» [41] .
41
Программное обеспечение, написанное для сбора и использования информации о ничего не подозревающем пользователе часто называют шпионским ПО. Это могут быть как относительно невинные программы слежения, предназначенные для подбора адресной рекламы, так и системы мониторинга, сообщающие сторонним лицам о любой активности, включая случайные нажатия клавиш.
Плохой кибердень гораздо, гораздо вероятней, чем описанный ранее нетипичный день в реальном мире.
Киберпространство, каким бы оно ни было и где бы оно ни находилось, кардинально отличается от материального мира, и это отличие весьма существенно для безопасности. Чтобы понять, почему обеспечение безопасности в киберпространстве сопряжено с особыми трудностями, стоит взглянуть на него с точки зрения трех аспектов материального мира, которые мы уже обсуждали.
Прежде всего, киберпространство по своей природе не материально. Конечно, некоторые его элементы – вычислительные центры, компьютеры, маршрутизаторы и провода – вполне осязаемы, но информация, которая к ним относится, производится ими и обрабатывается, существует только в виртуальном мире. Информация в киберпространстве представлена только цифровыми данными. Вы не можете их пощупать или положить в конверт. Именно благодаря нематериальности цифровых данных с ними можно делать столько удивительного, в том числе копировать с идеальной точностью, преобразовывать до неузнаваемости и передавать по планете со скоростью света. Возможность представлять и использовать информацию цифровым образом оказалась по-настоящему революционной.