Секреты и ложь. Безопасность данных в цифровом мире - [180]
Но если Управлению по контролю за продуктами и лекарствами США (FDA) доверить роль управления Интернетом, то в результате государственного регулирования из Интернета, вероятно, будет вычищено все, что делает его Сетью, сама его сущность. Регулирование часто выбирает неправильные решения (сколько денег было потрачено, чтобы оснастить посадочные места в самолетах спасательными поясами, и какое количество людей реально воспользовались ими при крушении?), и оно медлительно. FDA потребовалось три с половиной года на утверждение Interleukin-2[80], что соответствует вечности в мире Интернета. С другой стороны, неспешность FDA бывает иногда на пользу: из-за нее Соединенные Штаты не имели национальной катастрофы из-за «Талиломида» (Thalidomide)[81] в масштабе Британии. И благодаря ей же продажа «Лаэтрила» (Laetrile)[82] на американском рынке так и не была санкционирована.
Или представим, что Underwriters Laboratory отвечает за безопасность киберпространства. Это частная лаборатория, которая испытывает и сертифицирует электрическое оборудование. (Они также оценивают надежность сейфов.) «Отзывы потребителей» предоставляют подобный сервис для других продуктов. Частная компания может обеспечить компьютерную и сетевую безопасность, но ценой огромных затрат. И поэтому правительство отворачивается от такой модели, а новые законы в Соединенных Штатах не признают законность оценки безопасности продуктов частыми компаниями и лицами.
Другой пример. Medical Doctors и Registered Nurses лицензированы. Инженеры, имеющие сертификаты, могут помещать буквы РЕ (зарегистрированный инженер) после своего имени. Но свидетельства значимы на местах, а Интернет глобален. И все еще нет никакой гарантии.
Все эти модели не выводят нас из затруднительного положения. Мы нуждаемся в технологических решениях, но они пока не совершенны. Мы нуждаемся в специалистах для управления этими технологическими решениями, но имеющихся специалистов мало. Мы нуждаемся в сильных законах, чтобы преследовать по суду преступников, и готовы следовать установленному порядку, но большинство атакованных компаний не хотят обнародовать случившееся.
В главе 24 я доказывал, что способов обеспечить безопасность при ограничениях технологии, кроме как задействовать процессы безопасности, нет. И что эти процессы неразумно осуществлять силами организации, правильнее привлечь профессионалов безопасности киберпространства. Это представляется единственным выходом из обрисованного выше положения.
Предположим, что решение привлечь стороннюю организацию вас устраивает.
В моей первой книге «Прикладная криптография» я писал: «Шифрование слишком важно, чтобы оставить его исключительно правительству». Я все еще верю этому, но в более общем смысле. Безопасность слишком значительна, чтобы разрешить ею заниматься любой организации. Доверие нельзя доверить случаю.
Доверие индивидуально. Один человек всецело доверяет правительству, в то время как другой может не доверять ему вообще. Различные люди могут доверять различным правительствам. Некоторые люди доверяют корпорациям, но не правительству. Невозможно проектировать систему безопасности (продукт или процесс), которая будет лишена доверия; даже человек, пишущий собственное программное обеспечение безопасности, должен вверить его компилятору и компьютеру.
К сожалению, большинство организаций не понимают, кому они доверяют. Кто-то может вслепую положиться на какую-то особую компанию без особой на то причины. (Слепая вера некоторых людей заставляет их иметь особенную операционную систему, брандмауэр или алгоритм шифрования.) Иная администрация безоговорочно доверяет своим служащим. (Я слышал, что некоторые оценивают безопасность не по тому, сколько истратили на брандмауэр, а по тому, сколько стоит системный администратор.)
Из того, что безопасность по своей сути обязана ограничивать риски, вытекает, что организации должны доверять объектам, которые ограничивают их риск. Это значит, что объекты имеют гарантию. Доверенные объекты обладают такими свойствами, как проверенный послужной список, хорошая репутация, независимые сертификаты и аудиторы. Каждое по отдельности не считается доказательством, но все вместе являются основанием для доверия.
Выбор заключается не в том, чтобы доверять организации, а в том, какой организации доверять. Для меня отдел MIS (управленческой информационной структуры) компании, в которой я работаю, вероятно, заслуживает меньшего доверия, чем независимая привлеченная организация, которая всерьез заботится о безопасности.
Безопасность – это не продукт, а процесс. Вы не можете ее просто добавить к системе уже после нападения. Жизненно важно понять реальные угрозы для системы, спроектировать политику безопасности, соразмерную серьезности угроз, и реализовать соответствующие контрмеры. Помните, что не требуются идеальные решения, но также недопустимы системы, которые можно полностью разрушить. Хорошие процессы безопасности также существенны, они помогают продукту работать.
Благоразумнее готовиться к наихудшему. Нападения и нападающие со временем только совершенствуются, а системы, установленные сегодня, могли быть к месту на 20 лет раньше. Реальным уроком Y2K
Движение шифропанков, сформировавшееся в начале девяностых, активно прибегало к «криптографическому оружию», с целью провокации социальных и политических изменений. Термин «шифропанки» впервые употребила Джуд Милхон (хакер, программист и редактор) в качестве игры слов, в адрес группы криптоанархистов. Расцвет деятельности анонимных ремейлеров пришелся на 1997 год, но активисты движения продолжали вести криптовойны за свободу интернета. Многие из них продолжают боевые действия до сих пор, наряду с последователями идей шифропанков 2го и 3го поколений, которые изрядно трансформировали идеалы 90х.
Если вы решили попробовать зарабатывать на копирайтинге, то эта статья для вас.
В статье подробно рассматривается возможность зарабатывать на сервисе Яндекс Толока. Даются подробные инструкции, основанные на личном опыте, приводятся реальные отзывы.
UX-стратегия, или стратегия опыта взаимодействия (UX, User Experience), лежит на стыке UX-дизайна и бизнес-стратегии. Интернет продолжает предлагать потребителям бесконечный ассортимент цифровых решений. Каждый щелчок, жест или наведение мыши становятся решением, которое принимается пользователем. Пользователь постоянно сталкивается с выбором: покупать или не покупать, одобрить или высмеять, рассказать другим или забыть, завершить или отменить. Вы должны знать, какие возможности следует предлагать и как они используются людьми.
Хочешь стать видеоблогером, но не знаешь, с чего начать? У тебя уже есть канал, но ты не понимаешь, что нужно сделать, чтобы он стал популярным, как у Zoella? Твой канал известен и ты хочешь быть как PewDiePie, который зарабатывает на своем блоге более 1 млн долларов в месяц? В этой книге блогер и журналист Зои Гриффин раскрывает все секреты ведения успешного видеоблога.
На живом примере автора книги и ее друзей показано, чем заняться человеку, когда подходит пенсионный возраст. В увлекательной и доступной форме написано, как сделать первые шаги в Интернете, завести почту, найти полезную информацию, общаться в чатах, форумах, блогах и в социальных сетях. Рассмотрены полезные ресурсы для фотолюбителей, дачников, рыбаков, автомобилистов и просто домохозяек. Даны уроки печати на клавиатуре. Рассказано, как завести свой блог, создать свой сайт. Приведена краткая инструкция по возможному заработку в Интернете.Для читателей пенсионного и предпенсионного возраста.
В книге рассказывается история главного героя, который сталкивается с различными проблемами и препятствиями на протяжении всего своего путешествия. По пути он встречает множество второстепенных персонажей, которые играют важные роли в истории. Благодаря опыту главного героя книга исследует такие темы, как любовь, потеря, надежда и стойкость. По мере того, как главный герой преодолевает свои трудности, он усваивает ценные уроки жизни и растет как личность.