Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире
Правительства также нуждаются в краткосрочной секретности. Интересы любой страны вынуждают ее следить за интересами других государств, и правительства заинтересованы в сохранении определенной информации в тайне от других государств. К несчастью, страны намного больше, чем компании. Невозможно сообщить каждому гражданину США секретную информацию так, чтобы при этом не произошла ее утечка к китайскому правительству. Таким образом, если Соединенные Штаты хотят сохранить секрет от китайцев, они должны также тщательно охранять его от большинства американцев.
Эти секреты обычно по своей природе – военные: стратегии и тактики, возможности оружия, разработки и обеспечение, мощь войск и их передвижение, научные исследования и разработки. Военные секреты часто перерастают в государственные: позиции на переговорах о соглашениях и т. п. Часто они пересекаются с корпоративными секретами: военными контрактами, положением на торгах, импортными и экспортными сделками и т. д.
Исключения для краткосрочной секретности связаны с затруднениями: личными, политическими или деловыми. Правительства не хотят, чтобы информация об их политических трудностях просочилась в прессу. (Вспомните Уотергейт. Вспомните мятеж в Иране. Вспомните любой политический скандал, раскрытый средствами массовой информации.) Люди не хотят обнародования своего личного прошлого. (Вспомните Билла Клинтона. Вспомните Боба Ливингстона, конгрессмена и спикера, который ушел в отставку в 1999 году после того, как было обнародовано дело двадцатилетней давности. Вспомните Артура Аша, чье заболевание СПИДом было обнаружено прессой.) Приблизительно через два десятилетия у нас будут выборы, в которых кандидаты окажутся перед необходимостью объяснять послания по электронной почте, которые они написали, когда были подростками.
Немногие случаи, которые требуют очень продолжительной секретности – из тех, что я знаю, – связаны с правительством. Американские данные переписи – имеются в виду оригиналы, а не что-либо, подвергшееся обработке, – должны остаться тайной в течение 72 лет. Мандаты ЦРУ, которые идентичны шпионским, остаются секретными, пока не переживут и шпиона, и его детей. Канадские данные переписи остаются секретными навсегда.
Многоуровневая секретностьВоенные обладают большим количеством информации, которая должна храниться в тайне; разные части этой информации имеют различную степень секретности. Местоположение морских судов может быть интересно врагу, но коды запуска ракет на этих судах намного важнее. Количество шинелей в поставках крайне интересно, но количество винтовок более важно.
Имея дело с подобными вещами, военные заинтересованы в многоуровневой классификации секретности. У военных США данные могут являться несекретными, конфиденциальными, секретными и совершенно секретными. Правила устанавливают, какие данные к какому уровню классификации относятся, и обусловливают различные правила хранения, распространения и т. д. Например, требуются сейфы различной прочности для хранения данных разного уровня секретности. Данные высшей степени секретности могут храниться только в надежно охраняемом, лишенном окон помещении без фотокопировальных устройств; за них должны расписываться.
Люди, работающие с этими данными, должны проходить проверки, соответствующие информации самой высокой степени секретности из всех, с которыми они работают. Кто-нибудь с секретным допуском, например, может видеть информацию и несекретную, и конфиденциальную, и секретную. Кто-то с допуском к конфиденциальной работе может видеть только несекретные и конфиденциальные данные. (Конечно, допуск не является гарантией доверия. Глава российского отдела контрразведки ЦРУ Олдридж Эймс имел высший допуск секретности, но при этом он был российским шпионом.)
Данные на высшем уровне секретности иногда подразделяются по темам или по разделам, имеющим к ним отношение. На эти документы ставится гриф «TS/SCI» (высшая секретность/специальный раздел сведений). Каждый раздел имеет ключевое слово. TALENT и KETHOLE, например, являются ключевыми словами, связанными со спутниками-шпионами КН-11. SILVER, RUFF, TEAPOT, UMBRA и ZARF – с другими. (UMBRA применяется к информации о коммуникациях, RUFF соотносится с изображениями.)
Разделы – это важные барьеры доступа: кто-нибудь, имеющий доступ высшей степени секретности с дополнительным доступом KEYHOLE (иногда называемым «билетом»), не уполномочен видеть данные высшей степени секретности COBRA.
Дробление на разделы формально отражает понятие «потребности знать». Наличие у кого-либо некоторого уровня доступа не означает, что он автоматически получает возможность видеть все данные на этом уровне доступа. Он может получать для просмотра только те данные, которые должен знать, чтобы выполнять свою работу. Имеются и другие обозначения, которые уточняют классификацию: NOFORN – «Не для иностранных подданных», WNINTEL – «Внимание: источники и методы разведки», LIMDIS – «Ограниченное распространение».
В других странах также существуют подобные правила. В Великобритании один дополнительный уровень классификации – ограниченный, который находится между несекретным и конфиденциальным. Соединенные Штаты имеют нечто подобное, называемое FOUO (For Official Use Only) – только для служебного пользования – что означает «несекретно, но не подлежит сообщению посторонним лицам».
Здесь существенны два момента. Во-первых, все это намного легче осуществить на бумаге, чем на компьютере. В главе 8 говорится о некоторых из многоуровневых систем секретности, которые были построены и использовались, но ни одна из них никогда не работала в крупном масштабе. Во-вторых, эти системы в значительной степени не соответствуют враждебному внешнему окружению. В них не признаются ни корпоративные тайны, ни личные секреты. Секретность в реальном мире не вписывается в узкие иерархические рамки.
АнонимностьНуждаемся ли мы в анонимности? Хорошая ли это штука? В Интернете горячо обсуждалась целая концепция анонимности, взвешивались самые разные мнения людей по этому спорному вопросу.
Любой, кто работает на кризисной телефонной линии – будь то звонки о самоубийстве или насилии – знает силу анонимности. Тысячи людей в Интернете обсуждают свою личную жизнь в конференциях для оставшихся в живых жертв злоупотребления наркотиками, больных СПИДом и т. д.; они желают делать это только через анонимную пересылку. Это – социальная анонимность и она жизненно важна для здоровья мира, потому что позволяет людям обсуждать такие вещи, говоря о которых нет желания указывать свое имя. Например, послания по почте некоторых людей в alt religion scientolgy[15] сделаны анонимно, иначе они не стали бы писать.
Политическая анонимность также важна. Не бывает и не может быть того, чтобы все политические выступления были подписаны. Так же как кто-то может совершить массовую политическую рассылку по почте без обратного адреса, может сделать то же самое через Интернет. Это играет важную роль в некоторых случаях: в 1999 году онлайновая анонимность позволила сербам, представителям Косово и другим прекратить Балканскую войну; они посылали новости о происходящем конфликте в остальные части света без непосредственного риска для жизни из-за раскрытия своей личности.
С другой стороны, люди используют анонимность Интернета, чтобы рассылать угрожающие сообщения по электронной почте, печатать речи, полные ненависти и оскорблений, распространять компьютерные вирусы и иным способом досаждать нормальным гражданам киберпространства.
Есть два различных вида анонимности. Первый – полная анонимность: письмо без обратного адреса, сообщение в бутылке, обращение по телефону без автоответчика или телефонной идентификации. О человеке, создающем полностью анонимный контакт, никто не может выяснять, кем он является, и если, что еще более важно, этот человек еще раз вступает в контакт, контактирующий не знает, что он имеет дело с тем же самым человеком.
Второй тип анонимности связан с использованием псевдонима. Подумайте о счете в швейцарском банке (хотя это фактически прекращено в 1990 году), о почтовом ящике, арендованном за наличные под вымышленным именем (хотя это больше невозможно в Соединенных Штатах без поддельного удостоверения), о встречах анонимных алкоголиков, где вы известны только как Боб. Эта анонимность заключается в том, что никто не знает, кто вы, но есть возможность идентифицировать вас по этому псевдониму. Это то, что нужно швейцарским банкам: их не заботит, кто вы, – только то, что вы являетесь тем же самым человеком, который внес деньги на прошлой неделе. Торговец не должен знать ваше имя, но должен знать, что вы законно купили товар, который теперь пытаетесь возвратить.
Оба типа анонимности сложно осуществить в киберпространстве, потому что многое в его структуре требует установления личности. Новые микропроцессоры класса Intel Pentium III имеют уникальные серийные номера, которые могут быть отождествлены так же, как и сетевые карты в компьютерах локальных вычислительных сетей. Документы Microsoft Office автоматически сохраняют информацию, указывающую на автора. Веб-серверы прослеживают людей в Сети; даже по анонимным обращениям по электронной почте теоретически можно вычислить реального человека, если отследить IP-адрес. Много недостатков было найдено в различных программах, которые обещали анонимную работу. Поверхностная анонимность проста, но истинная анонимность, вероятно, в сегодняшнем Интернете невозможна.