Опубликовано в журнале Новый Мир, номер 7, 2004
Заметки об информационной безопасности
Информационное тело. Вступая в различные взаимоотношения с обществом и другими людьми, человек сообщает информацию о себе и своей деятельности.
Это неизбежно. Жизнь человека есть процесс информационного обмена. Вся сумма участвующей в этом обмене информации образует его информационное тело. И это его тело, как и тело физическое. И он должен бы относиться к нему бережно и с любовью и беспокоиться о том, чтобы оно не пострадало от внешнего агрессивного воздействия.
Чем большую роль в нашей жизни играет Сеть, тем более чувствительным становится и информационное тело человека. Чтобы человек чувствовал себя нормально в Сети, он должен чувствовать себя безопасно. Но в Сети его информационное тело подвергается воздействию со стороны самых разных личностей и организаций, заинтересованных в контроле и управлении человеком.
Сообщая информацию о себе, мы рискуем, поскольку она всегда может быть использована против нас. Поэтому мы стараемся сообщать только самое необходимое. Мы не можем, будучи лояльными налогоплательщиками, не сообщать налоговым органам информацию о наших доходах. И даже если мы делаем это не вполне точно, мы согласны с тем, что налоговые органы имеют право это знать. Мы обязаны зарегистрировать свой автомобиль в ГИБДД. Мы не можем, будучи работниками какого-либо предприятия, не сообщать информации, подтверждающей наше образование и квалификацию, номера и копии дипломов и сертификатов.
И так далее, и так далее… Мы рассказываем банку свою кредитную историю, когда хотим взять кредит, мы делимся с коллегами в курилке своими соображениями о текущей политике, своими воспоминаниями с друзьями юности, своими сексуальными предпочтениями с партнером… Мы говорим о футболе, о президенте, о погоде, о летнем отдыхе.
Мы много говорим, в Сети много пишем, и все это образует наше информационное тело, и каждый из нас становится информационным субъектом.
Информационная голограмма. Обмен информацией происходил во все времена, но только с появлением глобальной Сети эта информация стала собираться в единое целое и стала действительным телом, и человек оказался открыт миру в несравнимо большей степени, чем это было прежде.
Мы и прежде частично открывали себя каждому собеседнику или организации, но всегда ограничиваясь областью наших совместных интересов. Информация была рассеяна и разделена труднопроходимыми барьерами. Мы никогда и никому не сообщали о себе все. Мы открываем только необходимое с явно оговоренным или неявно подразумеваемым условием неразглашения. Лишнее слово ощущается как ошибка. Мы ловим себя на мысли: “А вот этого говорить не следовало”.
Чтобы узнать о человеке все, от его профессиональной деятельности до кулинарных предпочтений, в досетевые времена необходимо было получить серьезные санкции для доступа ко многим разделенным ведомственными барьерами архивам, получить возможность допрашивать его знакомых и близких. Это было трудно и дорого, и поэтому делалось подобное только в случаях исключительных, и такого рода сыск был, в общем, прерогативой государственной власти.
В книге Владимира Альбрехта “Как вести себя на допросе” есть такой совет. Старайтесь не сообщать следователю несущественные, на первый взгляд, но конкретные детали. Например, вы скажете: “Да, мы встречались с N, пили шампанское”. Вы ничего больше не сказали, но, когда следователь будет допрашивать N, он, между прочим, сообщит и то, что знает о самом факте встречи, и как бы вскользь упомянет, что вы пили шампанское. У N может сложиться преувеличенное представление об осведомленности следователя. “Если он и это знает, тогда какой смысл скрывать…” Последствия могут быть катастрофические.
Альбрехт приводит пример смены контекста: информация безобидная в одном случае может стать очень опасной в другом.
Если информация о человеке становится исчерпывающей, если мы узнаем о нем много, мы можем человеком управлять — он нам подвластен.
Создав глобальное информационное пространство, мы получили замечательные возможности быстрого поиска и обмена информацией, но мы столкнулись с крайне неприятными последствиями: оказывается, мы не заинтересованы в том, чтобы была возможность объединения любой информации. Более того, объединение персональной информации может оказаться для нас очень опасным.
Если существует узел, на котором собирается критическая масса информации, информационный субъект, ее получивший, может использовать ее против нас, в целях явного или неявного принуждения. Он получает над нами власть.
Если в досетевую эпоху эту власть мы делегировали государству, да и то старались, как могли, ограничить его притязания, то сегодня мы можем оказаться в крайне болезненной ситуации, связанной с шантажом, вымогательством, дискредитацией, исходящей от коварного недоброжелателя.
Сеть становится следящим за нами информационным субъектом, который подбирает все оброненные нами крохи сведений и аккуратно их складирует, пока они не превысят некоторый порог угрозы и некто не начнет диктовать нам свои условия. И это касается не только персональных данных, защищать которые призваны конституция и законы. Мы не всегда можем разделить, что есть персональные данные, а что — публичные. Вполне публичные сведения, которые мы легко сообщаем о себе разным людям, могут, собравшись в одном узле, стать для нас угрожающими.
Поразительный пример сопоставления публичных данных — это “Архипелаг ГУЛАГ”: книга написана практически по газетам и устным рассказам заключенных ГУЛАГа. Никакого специального доступа к особо секретным архивам ГБ у Солженицына не было. Но ему хватило. Информация была собрана, достигла критической массы и взорвалась с такой силой, что стала обвинительным актом государственной системе и приговором, который в конце концов был приведен в исполнение.
В Интернете газеты могут храниться вечно… А газета десятилетней давности — это уже потенциальная угроза. Во многих случаях хорошая память Сети — вещь бесценная. Но не во всех.
Мы живем, роняя в Сеть информационные крупинки своей деятельности. То там что-то сказали, то здесь что-то заметили, то сменили работу, то написали статью, то одно, то другое. И постепенно складывается очень точная картина нашего существования. Сеть не умеет забывать.
Наивно говорить: я честный человек и лояльный налогоплательщик, у меня нет никаких секретов, поэтому я не боюсь моей информационной прозрачности.
Информация, становясь публичной, меняется. Даже если в сообщении не изменилось ни одного бита, а сменился только ее контекст, то есть область доступности.
Privacy. Одной из важнейших информационных областей для человека является область прайвеси — область личной информации каждого члена информационного общества. Человек, лишенный информационной защиты, практически перестает быть носителем уникальной информации и становится чистым штампом, общим местом — ничем. “Все станем одинаковы в гробу, так будем хоть при жизни разнолики”. Если человек теряет свою уникальность, он человеком быть перестает.
Точного перевода английского слова “privacy” на русский язык нет. И это совсем не случайно. Что же такое прайвеси?
“…начнем с краткого прикосновения к значению прайвеси, так как временами этот термин используется взаимозаменяемо с конфиденциальностью/безопасностью.
Но позвольте вас уверить, что это не одно и то же. В то время как прайвеси может подразумевать и то, что присуще конфиденциальности, это гораздо более широкий концепт, включающий право свободы от вторжений, право оставаться автономным и право управлять циркуляцией информации о себе.
Прайвеси включает право контролировать собственную персональную информацию и возможность определить факт и способ, которым эта информация получена и использована. В Германии это назвали └информационное самоопределение”: в 1983 году германский Конституционный суд определил, что все граждане имеют право на информационное самоопределение (как возможность индивидуума определять использование собственной информации). В то время как большинство стран с законами о прайвеси имеют это упоминание самостоятельного контроля как одну из целей их регулирования, обычно они не имеют явных конституционных гарантий прайвеси, как в случае Германии.
В этом смысле прайвеси — гораздо более широкий концепт, чем конфиденциальность, так как она содержит ограничение на широкий диапазон деятельностей, затрагивающих персональную информацию: это сбор, сохранение, использование и раскрытие. Конфиденциальность, однако, означает только защиту персональной информации, обычно в форме ограждения информации от несанкционированного раскрытия третьим лицам.
Конфиденциальность вступает в игру только после того, как проблемная информация получена компанией, организацией или государством (обычно называемыми └пользователями данных”). Ожидается, что пользователи данных ответственны за безопасное хранение доверенной им персональной информации. В этом смысле они имеют обязательства хранителя защищать информацию, находящуюся на их попечении.
Таким образом, отношения доверия существуют между субъектами данных и пользователями данных, требуя обязанности присмотра и ожиданий конфиденциальности. Последнее включает политику сдерживания желающих получить доступ к персональной информации, а также охрану ее от раскрытия третьим лицам.
Средства, которыми это достигается, включают безопасность…
Меры, которые усиливают безопасность, усиливают прайвеси: эти сущности комплементарны, но не равны друг другу. Поэтому просто фокусироваться на безопасности недостаточно. В то время как это существенный компонент защиты прайвеси, это недостаточно само по себе. Для истинной защиты прайвеси мы должны развернуться к проверенным временем принципам защиты данных, общеизвестных как └кодекс честных информационных практик”” (Энн Кавукян (Ann Cavoukian, <cavouk@io.org>), помощник комиссионера по прайвеси штата Онтарио; цитата по статье Анатолия Левенчука “Privacy по-русски” <http://www.libertarium.ru/libertarium/l_sorm_privacy>).
В Сети происходит резкое снижение порога релевантности, то есть доступности и различимости информации.
Выполнив один поисковый запрос, мы иногда можем узнать о человеке больше, чем внимательный сыщик досетевых времен в процессе целого расследования.
Не говоря уже о том, что огромные массивы совершенно личной и закрытой информации циркулируют в спамовых рассылках: это базы данных ГИБДД о зарегистрированных и угнанных автомобилях, телефоны и адреса жителей Москвы, информация о юридических лицах… Распространение всей этой информации противозаконно, но оно происходит, и тем самым резко снижается уровень защищенности любого информационного субъекта — личности или фирмы.
Но необходимо законодательно и конституционно регулировать не только конфиденциальность информации, но также и право собирать и распространять и публичную информацию о персоне. “Информационное самоопределение” включает в себя право человека самому решать, корректно ли используется его персональная информация.
Под присмотром Большого Брата. Концентрация информации в одних руках есть опасность. Если существует некоторая точка зрения, с которой большие сегменты Сети (в пределе вся Сеть) оказываются информационно прозрачными, лицо или орган, имеющий возможность встать на эту точку зрения, становится неограниченно могуществен, что неизбежно должно привести к неустойчивости, поскольку противодействия нет и концентрация власти в одних руках растет практически неограниченно.
Возникает ситуация тотального контроля информации вне зависимости от государственных и таможенных границ, помимо банковских гарантий тайны вкладов и неотслеживаемости операций, игнорируя тайну частной переписки.
Насколько этот присмотр Большого Брата реализуем сегодня?
Попытки постоянно происходят, и главным инициатором здесь, как и можно ожидать, является государство. Одна из таких попыток — это СОРМ, технические средства для обеспечения оперативно-розыскных мероприятий. (ПРИКАЗ 25 июля 2000 года, Москва, № 130 “О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования” <http://www.libertarium.ru/libertarium/37988>).
Фактически от каждого провайдера требуется создать соединение по выделенной линии “с территориальными органами ФСБ России” и предоставлять информацию о соединениях и содержании переданной информации. Самую ожесточенную критику встретил пункт 2.6, содержавший, в частности, такой текст: “Информация об абонентах, в отношении которых проводятся оперативно-розыскные мероприятия, а также решения, на основании которых проводятся указанные мероприятия, операторам связи не предоставляются”. Приказом Минсвязи РФ от 25 октября 2000 года, № 185 “О внесении изменения в приказ Минсвязи России от 25.07.2000, № 130” этот пункт был отменен.
То есть сначала все-таки требуется решение суда в отношении того или иного абонента и с этим решением провайдера ознакомят, а потом он дает добро на прослушивание. Так ли это происходит в реальности? Не знаю. Но известные мне провайдеры контактируют с ФСБ, так сказать, неформально и предоставляют любую информацию, которую органы затребовали безо всякого решения суда.
Есть ли нам что сказать друг другу? Для того чтобы была возможность и необходимость обмениваться информацией, нужно, чтобы участники контакта знали друг о друге не все. Чтобы им было чем поделиться. Новая информация — это та информация, которой обладает ровно одно лицо или фирма. Если существует точка зрения, с которой любая информационная деятельность прозрачна, то уникальная информация просто не может появиться на свет: что знают двое, знает свинья, как говорил популярный киногерой.
Но новорожденное открытие часто нельзя публиковать: оно не выдерживает жесткого облучения публичной критики.
Полная информационная прозрачность парализует производство уникальной информации практически во всех областях знаний, кроме той, которая непосредственно интересует информационного монополиста. А его по определению не могут интересовать любые приложения.
Разделение секрета. Для того чтобы нормально жить, а не шарахаться от каждого упоминания своего имени в Сети, мы должны быть твердо уверены в том, что нет такого узла, на котором даже принципиально может быть собран критический объем информации о личности или фирме. Мы должны быть убеждены в том, что Сеть не “прозрачна”, то есть в ней существуют четкие границы доступа к информации, и персональной, и коммерческой.
Только наличие непрозрачных областей в Сети может нам обеспечить покой. Если мы сообщаем о себе частичную информацию, мы можем надеяться на то, что нам ничего не угрожает, что мы контролируем контекст и будем правильно поняты.
Нам говорят: чтобы у вас не болела голова о вирусах, поставьте антивирусный пакет. Да не ворованный, а лицензионный, с правом обновления по Сети. Тогда свежая версия антивируса защитит вас от непрошеных гостей. Вы ничего не потеряете, и не нужно будет тратить многие часы на восстановление информации, загубленной вирусной атакой.
Но необходимо помнить, что, устанавливая антивирус, вы становитесь полностью беззащитны перед той антивирусной компанией, чьими услугами вы пользуетесь. И она может (если у нее возникнет такая потребность) внедрить гарантированно неопределяемый вирус в вашу локальную Сеть. Это может быть троянская программа, которая будет заниматься сбором информации о вашей компании и передавать ее во внешний мир. Обнаружить эту троянскую программу будет невозможно, поскольку антивирус знает, что ее-то и не нужно обнаруживать.
Я не хочу сказать, что мне известны подобные случаи. Я искренне верю, что все антивирусные компании исключительно честны со своими клиентами и ни одна из них даже гипотетически никогда не рассматривала подобную возможность. Но возможность такая есть. Как бороться с такого рода опасностью? Необходимо защитить компьютер двумя независимыми антивирусными программами двух независимых производителей. Тогда они смогут контролировать вирусные атаки друг друга и обеспечат более надежную защиту. Это и есть разделение секрета доступа.
Такая схема будет работать только в том случае, если две антивирусных компании не сговорятся между собой, если они друг для друга информационно непрозрачны. Но мне, кстати, неизвестно ни одной компании, где использовались бы сразу два независимых антивирусных пакета. Видимо, степень доверия антивирусным компаниям велика, и вероятность противоправных действий с их стороны рассматривается как пренебрежимо малый риск. И, конечно, по мере распространения и роста популярности того или иного антивирусного пакета риск его использования для проникновения в защищенную им локальную сеть растет. Но каким поистине безграничным доверием мы должны располагать к производителям операционных систем! Ведь с точки зрения этих компаний все пользователи их операционных систем информационно прозрачны, а если все пользуются одной и той же операционной системой, то…
Глобальный контроль. Все чаще раздаются голоса в пользу жесткого регулирования доступа к Сети. Евгений Касперский, автор известного антивирусного пакета, неоднократно высказывался в пользу глобального контроля как единственного, с его точки зрения, средства борьбы с вирусными эпидемиями, спамом и несанкционированным доступом (взломом).
Глобальный контроль предполагает, что каждый, кто выходит в Сеть, должен пройти процедуру авторизации. И куда бы он ни пришел, всюду его должен сопровождать его идентификатор. Нет авторизации — нет доступа. Нет доступа никуда. Для этого должны быть созданы сетевые ресурсы, отвечающие за выделение паролей. Должны быть глобальные базы данных, хранящие пароли и логины всех пользователей Интернета.
Весь путь авторизованного пользователя: с какого компьютера вошел в Сеть, на какие сайты заходил, какие файлы копировал, в каких чатах и гостевых книгах отметился, какие получал и отправлял письма и, наконец, что он покупал и как за эти покупки расплачивался, — вся эта информация должна сохраняться бесконечно долго и может быть проверена тем информационным субъектом, который имеет соответствующее право доступа.
Можно ли реализовать подобный подход? Да, вероятно, технически это возможно, хотя и крайне непросто. Но остается вопрос: кто будет администрировать базы данных паролей и логинов, кто получит возможность спросить о том, чем занимался пользователь в Сети последние пять дней или пять лет?
Если учесть, что практически вся деятельная жизнь человека постепенно перемещается в Сеть, то человек останется абсолютно открытым перед тем лицом или органом, который имеет возможность выполнить такой запрос и проанализировать полученный результат.
Человек беззащитен, а орган всевластен. Любой человек в этом случае делегирует все права неким органам, а уж насколько эти органы компетентные и как они эту информацию используют, этого никто ему не скажет.
Реализуя глобальный контроль, мы защищаем Сеть, но делаем это за счет рядового пользователя самой Сети. Мы уничтожаем анонимность, возникшую во многом в целях, ровно противоположных публичности: я не хочу, чтобы кто-то имел возможность собрать ту критическую массу информации обо мне, которая станет мне угрожать. Глобальный контроль делает Сеть непрозрачной для подавляющего большинства пользователей, но выделяет некоторое избранное сообщество — сетевую элиту, которая сможет контролировать любого, входящего в Сеть, сама же оказывается неподконтрольной никому. Это такая концентрация власти, которой не было ни у какого, даже самого тоталитарного, государства.
Анонимность. Анонимность — одно из условий нормальной жизни в Сети. Аноним создает несколько различных информационных тел и тем самым отводит угрозу от главного — от того, с которым он связан неразрывно. Запретить псевдонимы (ники) — это резко повысить возможность концентрации информации о персоне и тем самым снизить ее информационную безопасность. Анонимность вовсе не всегда означает безответственность, но всегда означает разделение. Если я хочу, чтобы ни одно из моих высказываний со мной не ассоциировалось, я буду каждое делать под новым ником. Если я хочу, чтобы все мои высказывания ассоциировались только со мной, я мало того что подпишусь полным именем, но еще и обязательно дам свой e-mail и адрес официальной странички, чтобы меня ни с кем не спутали. Это две различные стратегии, и какую из них выбрать, решаю сегодня я сам. И, скорее всего, я выберу не крайнюю, а промежуточную.
Анонимность — это не прихоть и не игра. Скажем более мягко: не только игра. Это попытка разделения информации, создание условий для свободного высказывания. Это противостояние властному окрику и внешнему контролю, всего лишь воспроизводящее состояние досетевого бытия личности, существовавшей в разделенном информационном пространстве.
Но в условиях глобального контроля я буду лишен выбора. Для администратора базы паролей мои псевдонимы никакой роли не играют. Я стою перед ним словно голенький. И спрятаться мне попросту негде. Вся моя жизнь проходит в Сети.
Фундаментальное противоречие. Мы приходим к противоречию. Сеть реализует единое информационное пространство, в котором доступ к информации несравнимо облегчен по сравнению с информацией индустриального общества. В Сети появляются реальные предпосылки для возникновения единых глобальных банков данных, содержащих информацию обо всех информационных субъектах, причем не только статическую информацию, но и динамическую, получаемую в процессе возникновения контактов и практически в реальном времени. Эта информация может быть достаточно отчетливо структурирована, для того чтобы удавалось сформулировать поисковый запрос. И вот в этих условиях информационной прозрачности встает крайне важная задача обеспечения закрытых областей информации. Таких, к которым не имеет доступа никто, кроме ее владельца или того информационного субъекта, которому владелец эту информацию предоставил на взаимоприемлемых условиях. Таких “темных” областей должно быть много, и они должны быть друг от друга независимы.
Размывание (или вовсе отмена для определенных информационных субъектов) конфиденциальности информации может привести к тяжелым последствиям для того общества, которое строится на информационном обмене.
Непрозрачные, “темные” области стабилизируют информационное пространство, придают ему определенную тяжесть и необходимую предсказуемость. Они приводят к рассеянию (распределению) власти информации и потому к большей устойчивости системы. Настаивая на открытости и коммуникабельности, необходимо об этом помнить.
Власть информации должна быть обязательно ограничена отсутствием точки глобального обозрения. Сеть должна научиться не только быстро и качественно отдавать все, что угодно, по первому требованию, но и научиться хранить тайны. Только тогда наше информационное тело будет чувствовать себя в безопасности.