Киберзащита Белого Дома игнорирует глюки в программном обеспечении Microsoft

В статье Дианы Франк «Bills Aim at Cyber R&D», опубликованной 5 декабря в “Federal Computer Week”, сообщается, что законопроект об Исследовании и Разработке Кибер-Защиты, представленный конгрессменом Шервудом Боехлертом (Республиканец, Нью-Йорк), предполагает выделение почти полмиллиарда долларов на финансирование исследований и обучения вопросам информационной защиты. В существующем законодательстве на эти цели Национальному Научному Фонду выделено 233 миллионов долларов для исследований того, что Франк назвала, "основами киберзащиты".

По аналогичной теме недавно выступил Ричард Кларк, координатор компьютерной защиты Белого дома. Он заявил, что его офис планирует создать национальную карту информационных сетей (компьютерные сети, линии электропередачи и родственные инфраструктуры) для обеспечения исследований и предотвращения возможных проблем в будущем. Этот проект планируется выполнить через Национальный Центр Моделирования и Анализа, который будет создан для этой цели в 2002 году.

Оба вышеупомянутых проекта означают огромные деньги, большее количество рабочих мест и большой объем исследований на длительное время по вопросам безопасности. Предполагается также выделение средств на реальные, уже существующие задачи подключения к Internet. Предложенный Шервудом Боехлертом законопроект обещает также 90 миллионов долларов колледжам на разработку программы дипломированного специалиста в киберзащите, как будто получение научной степени подтверждает, что любой ее обладатель является более знающим в информационной защите, чем кто-то, имеющий за плечами двадцатилетний стаж практического опыта. Мудрость приходит через испытания, ошибки и опыт в течение длительного периода времени. Невозможно создать экспертов ни за одни сутки, ни даже за два года, пусть и затратив миллионы долларов. Степень академика или профессиональное свидетельство не обязательно подразумевают, что новоиспеченный работник более компетентен и опытен, и не должен быть необходимым или приоритетным фактором при найме сотрудников.

На недавнем форуме по информационным технологиям в Вашингтоне Кларк заявил: "Мы должны сделать так, чтобы функциональные возможности защиты были основаны на том, что мы делаем, а не являлись, как сейчас, запоздалой реакцией на произошедшие проблемы". Золотые слова, но где был Кларк (являвшийся, в конце концов, «царем» компьютерной безопасности в администрации Клинтона) в течение последних десяти лет, когда важнейшие информационные инфраструктуры были разработаны без соответствующей и необходимой защиты? Почему он и его друзья в правительстве не начинают шагать вперед уже сейчас, заявив, что защита должна стать неотъемлемой частью всех аспектов инфраструктуры информационных технологий, включая программное обеспечение?

Федеральное правительство ведь может использовать свою законодательную силу, чтобы заставить программных производителей и продавцов быть ответственными за создание и распределение некачественных, опасных программ. Кроме того, значительным экономическим аргументом мог бы оказать отказ от покупок неоднократно сбойного, некачественного программного обеспечения. Теперь, когда такие насквозь испорченные дефектами и уязвимостями программы - скорее печальное правило, чем исключение, Кларк предлагает, чтобы продавцы программ обеспечили автоматические модификации к своим изделиям при обнаружении ошибок. Это избавит пользователей от необходимости искать и устанавливать такие модификации самим, и может осуществляться, оставляя для доверенного продавца «запасные входы» в программном обеспечении.

Это, конечно, смешно: установка специальных точек входа в программах, для обеспечения модификации защиты. Нетрудно предсказать, что это будет означать новые, доступные места уязвимости для атакующих, которые можно эксплуатировать. Такая стратегия нарушает первое правило сетевой защиты, которая должна отрицать весь подозрительный трафик и принимать только известные, проверенные подключения. Кроме того, продавцы уже обеспечивают услуги модификации, типа Windows Update, Red Hat Patch Updater, или Apple Software Update. Но, как правило, опытные пользователи (и большинство специалистов защиты, известных мне), отключают такие отдаленные возможности, чтобы поддерживать полный контроль над своими системами.

Не надо быть пророком, чтобы предсказать, что в один прекрасный день вместо продавца наши системы «модифицируют» кибер-злоумышленники. Что скажет Кларк тогда? Будет ли продавец, чьим «запасным входом» для модификации воспользовались мошенники, ответственным за возникшие проблемы? Или это просто будет списано на издержки ведения бизнеса посредством Internet? Вместо "заталкивания модификаций в горло пользователям" чего требует Кларк, почему бы ни предпринять активные шаги для того, чтобы гарантировать, что программное обеспечение не будет настолько безнадежно испорчено дефектами и едва годно для использования? Что дало бы больше пользы, как вы думаете?

Кларк и многие другие находятся, по крайней мере, на правильном пути - они начинают признавать масштабы проблемы компьютерной защиты. Исследование - долгосрочная инвестиция и даст кое-что, в чем общество действительно нуждается; но оно не должно быть заменой решению актуальных существующих проблем. Более, чем трата долларов американских налогоплательщиков на повышение благосостояния, правительственные программы и дорогостоящие исследования, федеральное правительство должно сосредоточиться на двух критических областях информационных технологий.

Для начала, они должны консультироваться не с генеральными директорами и продавцами (как принято сейчас), а более с техническими директорами, руководителями информационных служб, и даже рядовыми чиновниками и сотрудниками ИТ-отделов. Они - люди, понимающие природу проблемы и способные дать полезные советы, которые могут способствовать развитию эффективной национальной информационной программы. Приглашение Говарда Шмидта, эксперта безопасности Microsoft - хороший первый шаг. Он прошел великолепную школу, находясь много лет «на передовой», успешно отражая непрерывные атаки на Microsoft. (Будем надеяться, что он не пил также много во время его пребывания в последнее время в Redmond).

Во-вторых, часть полумиллиарда (или большего количества) долларов, выделенных для различных долгосрочных инициатив компьютерной безопасности, должна быть потрачена, для проведения объективного обзора проектов информационных инфраструктур. Это также должно заставить основных производителей и продавцов стать ответственными за неудачи в обеспечении соответствующей защиты и пригодности. Нам не придется тогда оплачивать ошибки, вызванные их близорукостью из-за получения ими прибыли. Также в этот раздел надо включить построчную оценку программного кода любых используемых программ Microsoft. Я даже предложил бы, чтобы часть той половины миллиарда использовалась для поддержки открыто-исходного программного развития, чтобы дать пользователям осознанный выбор в этих ИТ-инфраструктурах. Как в Ирландии не полагаются на одиночный урожай определенной культуры, опасаясь возможных проблем и, как следствие, голода, так, почему бы ни сделать то же самое с программным обеспечением, особенно с изделием, столь склонным к болезни, как Windows?