информации
{93}. В итоге мы получаем техническое устройство – самое сложное из когда-либо созданных человеком.
Среди прочего сложность компьютерных систем означает использование при их производстве все большего количества деталей, взаимодействие с ними все большего количества людей и их включение во все большее количество коммуникаций. А еще – новые уровни абстракции, огромное количество ошибок, допущенных при конструировании и разработке, все бо́льшие трудности, которые приходится преодолевать в ходе тестирования, и появление все большего количества мест в коде, где могут скрываться ошибки.
Экспертам в области компьютерной безопасности нравится говорить о поверхности атаки – потенциальных точках – целях взломщиков{94}. Сложная система подразумевает огромную поверхность атаки, то есть возможный агрессор получает существенное преимущество. Достаточно отыскать одну-единственную уязвимость – незащищенный путь – и выбрать время и метод нападения. С не меньшим успехом хакер может предпринять серию атак. Обороняющемуся же нужно обезопасить всю поверхность атаки от всех возможных нападений. По сути, у него нет права на ошибку, он должен побеждать каждый раз, в то время как атакующему достаточно всего одной победы. Неравный бой: расходы на атаку минимальны по сравнению с затратами на оборону.
Даже при усовершенствовании технологий сложность компьютерных систем опережает модернизацию безопасности. Новые идеи по усовершенствованию системы, новые результаты исследований, новые продукты и новые услуги появляются каждый год. Одновременно с ними появляются новые уязвимости. Мы сдаем позиции, несмотря на то что улучшаем технологии.
В сложных системах значительное количество опций, затрудняющих безопасную работу пользователей-любителей. Непрофессионалы забывают сменить пароль, присвоенный по умолчанию, или неправильно настраивают доступ к данным в облаке{95}. В 2017 г. руководство Стэнфордского университета заявило, что в результате «неправильно сконфигурированных разрешений» в сеть попали данные тысяч студентов и сотрудников{96}. И это далеко не единичный случай.
Нападение эффективнее защиты и по ряду других причин. Во-первых, у атакующих преимущество первого хода, а во-вторых, их действиям присуща определенная гибкость, которой часто не хватает обороняющимся. Те, кто становится жертвой взломщиков, как правило, плохо разбираются в проактивной безопасности или не придают той должного значения. У атакующих есть за что бороться, в то время как защита сопряжена с издержками, на которые редко когда готовы пойти руководители. Многие до последнего отказываются верить, что целью может стать именно их компания. Вот тут-то хакер и получает дополнительное преимущество.