До тех пор пока система не станет обладать средствами для предотвращения нарушения тайны частной жизни, банки будут иметь неограниченные возможности для получения информации о расходах клиентов. («Я знаю, что Вы приобрели прошлым летом».) Этого можно избежать в некоторых случаях (но только в некоторых), если клиенты будут приобретать карты с фиксированной суммой денег на них, аналогично некоторым телефонным картам с предоплатой.
Продавец не сумеет непосредственно получить подобные сведения и узнать имя покупателя, однако с помощью других продавцов он может собрать информацию об использовании карты с известным ему идентификационным номером и, сопоставив данные, идентифицировать ее владельца.
Наконец, следует помнить и о возможности подслушивания: люди, вовсе не участвующие во взаиморасчетах, могут подслушивать и собирать информацию.
Четвертый вид преступлений, вызывающих беспокойство, включает вандализм и терроризм. Эти правонарушения в первую очередь направлены против системы в целом, хотя могут совершаться и против отдельных владельцев карт, продавцов и банков. Главная цель таких преступлений – помешать правильному функционированию системы. То, что называется атаками, направленными на отказ в обслуживании, в этом случае может оказаться весьма любопытно. Судите сами.
Действия, направленные против продавца:
• Можно создать помехи во взаимодействии с банком или покупателями.
• Можно объявить карту продавца похищенной или скомпрометированной.
• Можно физически повредить или уничтожить карту продавца.
• Нарушить электрическое питание терминала или разорвать телефонную связь с ним.
Действия, направленные против клиента (покупателя):
• Можно создать помехи во взаимодействии с банком или продавцами.
• Можно объявить карту продавца похищенной или скомпрометированной.
• Можно физически повредить или уничтожить карту клиента (покупателя). Действия, направленные против банка:
• Можно создать помехи во взаимодействии с клиентами или продавцами.
• Можно физически повредить или уничтожить банковские технические средства, обеспечивающие безопасность.
Действия, направленные против системы в целом:
• Заставить систему самосовершенствоваться, прежде чем кто-либо поймет, что с этим делать. (Можно рассматривать это как аналог «проблемы 2000 года».)
• Вызвать отказ в обслуживании многих или вообще всех банков.
• Создать помехи во взаимодействии с клиентами или продавцами.
• Уничтожить открытый ключ высшего уровня сертификации в системах, основанных на PKI.
Преступные действия способны также дестабилизировать работу системы:
• Можно наладить массовый выпуск поддельных карт.
• Можно организовать массовые, широко распространенные мошенничества с картами и подорвать доверие к системе.
Наконец, поговорим об использовании системы для совершения преступлений, то есть о нарушениях закона с ее помощью. До сих пор мы рассматривали лишь возможность отмывания денег, но не менее заманчиво обсудить возможности других противозаконных действий. (Заметим, что большинство злодеяний связаны с передачей наличных денег из рук в руки. Наша система карт позволит легко избавиться от таких преступлений, как торговля наркотиками, незаконные азартные игры, проституция и т. д.)
Некоторые люди получают банковские карточки под вымышленными именами, но нетрудно склонить кого-либо к тому, чтобы он использовал свое настоящее имя. (Несомненно, в мире найдется много желающих открыть банковский счет, который, как они понимают, будет контролироваться другими людьми и использоваться для отмывания денег, если им предложат несколько тысяч долларов или, в отдельных случаях, возможность провести несколько дней или недель в пьяном или наркотическом угаре.) Если на такие карточки положить деньги, их можно использовать как компактное платежное средство, и не существует очевидного способа воспрепятствовать этому.
Обратите внимание на то, что решение вопросов морали и законности в этой сфере далеко не очевидно. Требования о предоставлении финансовой отчетности в государственные органы США и Великобритании могут причинять некоторые неприятности гражданам, но власти редко злоупотребляют этим. Во многих других странах, таких как Китай, Турция. Мексика или Сирия, дело принимает совсем другой оборот. Последнее обстоятельство чревато политическими и юридическими проблемами для тех компаний, которые обязаны предоставлять такие сведения, и способно привести к большему распространению мошенничества в этих странах.
Оценка рисков
Недостаточно просто составить перечень угроз, необходимо знать, как реагировать на каждую из них. Здесь на помощь приходит оценка рисков. Основная идея состоит в том, чтобы оценить возможный ущерб от реализации угрозы и возможное число таких случаев в течение года, а затем вычислить ожидаемые потери за год.
Например, «планируемые» убытки от хакерского вторжения в сеть составляют 10 000 долларов в каждом случае (эта сумма включает в себя оплату труда тех, кто будет обнаруживать такие происшествия, приводить все в порядок и т. д.), а такие происшествия могут случаться трижды в день или тысячу раз в год. В таком случае ожидаемые убытки за год не превзойдут 10 миллионов. (Можно понять, что из этого следует. Если ожидаемые убытки за год составляют 10 миллионов долларов, то приобретение, установка и поддержка брандмауэра за 25 000 в год – весьма выгодное дело. Приобретение нечто такого «супер-пупер-умопомрачительного» за 40 миллионов будет пустой тратой денег. При этом анализе предполагается, что брандмауэр и «супер-пупер-умопомрачительное» одинаково хороши для предотвращения угрозы. Позже мы еще вернемся к этой теме.)
Иногда вероятность реализации угрозы очень мала. Если речь идет о вторжении в систему конкурента с целью получения сведений о новых разработках, потери могут составить, например, десять миллионов долларов в каждом случае. Но предположим, что число таких вторжений составляет 0,001 или 0,1% в год. Таким образом, ожидаемые убытки за год превращаются в 10 000 долларов, и меры противодействия, которые обходятся в 25 000 долларов, становятся совершенно невыгодными.
Страховые компании постоянно имеют дело с оценкой рисков, исходя из нее они и определяют размер страховых взносов. Они считают ожидаемые убытки за год для каждого случая, прибавляют расходы на свою деятельность плюс некоторую прибыль и таким образом получают сумму взносов при страховании от определенных рисков.
При этом, разумеется, им приходится делать множество предположений; конкретные риски, о которых мы говорим, еще слишком новы и трудны для понимания. Иногда требуется особенная проницательность для того, чтобы обнаружить вектор катастрофического развития событий, когда незначительная ошибка чревата многомиллионными потерями.
Для анализа рисков, связанных с компьютерным миром, производители предлагают множество алгоритмов и методов. Однако они в большей степени предназначены для оценки крупных рисков, таких как промышленный шпионаж, а не незначительных опасений вроде взлома шифровального ключа электронной почты.
Анализ рисков важен в том отношении, что позволяет сориентироваться в этой сфере. Огромные зияющие «дыры» в системе безопасности не страшны, пока вероятность реализации угрозы равна нулю. (Токио, например, до сих пор беззащитен перед огнедышащими драконами.) Маленькие «щели» обязательно нужно затыкать, если ежедневно через них может осуществляться десять миллионов нападений.
Сущность моделирования угроз
При разработке системы безопасности жизненно необходимы как моделирование угроз, так и оценка рисков. Слишком многие разработчики систем представляют себе свою деятельность наподобие поваренной книги: смешаем в определенных пропорциях некоторые меры противодействия – хорошими примерами тому являются шифрование и брандмауэры, – и как по волшебству мы окажемся в безопасности.
Так никогда не бывает. Йоги Берра сказал: «Будьте осторожны, если вы не знаете, куда идете, может быть, лучше вам не попадать туда». Часто системы безопасности оказываются неспособны противостоять некоторым угрозам. Шифрование электронной почты может спрятать от посторонних глаз содержание корреспонденции, но никак не сумеет скрыть факт существования переписки. В некоторых случаях выявление корреспондентов оказывается более опасным для них, нежели знание содержания писем. В других ситуациях информация о том, что некто использует шифрование, оказывается чрезвычайно содержательной сама по себе.
Хорошая разработка получается в результате последовательного движения от технических требований к нахождению правильного решения, а не в результате применения сухой технологии для получения конечного продукта. В случае разработки систем безопасности это означает, что сперва необходимо заняться моделированием угроз, выработать политику безопасности и только после этого выбирать подходящие технологии. Угрозы определяют политику безопасности, а она, в свою очередь, – процесс разработки. В частности: