Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер
Крушения Boeing 737 MAX представляют собой особенно яркий пример халатности регулирующих органов, которая стала результатом слишком тесных отношений между ними и регулируемыми отраслями. В данном случае регулирующие органы Федерального управления гражданской авиации США недостаточно тщательно изучили модифицированную систему улучшения маневренных характеристик (MCAS), внедренную в конструкцию Boeing 737 MAX. В результате такого недосмотра два самолета этой модели разбились – один в Индонезии в 2018 г., другой в Эфиопии в 2019 г., унеся жизни 346 человек.
Давайте будем откровенны. Предполагается, что регулирующие органы должны быть экспертным посредником, представляющим интересы среднестатистического человека. Я не являюсь экспертом в области безопасности самолетов, автомобилей, продуктов питания, лекарств или того, как банки должны управлять своими балансами для поддержания стабильности экономики. Все эти знания предоставляет гражданам правительство в форме работы регулирующих органов, которые, по сути, устанавливают правила от моего имени, чтобы меня защитить. В приведенном примере подрывается именно этот механизм надзора.
Анализ катастроф указал на сбои в системе регулирования. Федеральное управление гражданской авиации никогда не проводило независимую проверку MCAS, полагаясь на собственные оценки этой системы компанией Boeing. Правительственные эксперты, как оказалось, не обладали достаточным для этого опытом и делегировали большую часть работы компании-производителю. Инженерам, работавшим над самолетом, было разрешено сертифицировать свою собственную работу. И были случаи, когда руководители Федерального управления гражданской авиации принимали предложения Boeing об изменении правил{114}, связанных с безопасностью. В частности, несколько таких правил были просто отменены{115}, чтобы упростить процесс сертификации для Boeing и дать компании возможность быстрее продавать самолеты. В совокупности вырисовывается картина процесса государственного регулирования, хакнутого авиационной отраслью, и среды, где процветает захват регулирующих органов, порочные стимулы, этические дилеммы и опасные нарушения безопасности.
В 2021 г. министерство юстиции заключило мировое соглашение с компанией Boeing по уголовным обвинениям, связанным с этими авариями, предусматривавшее выплату $2,5 млрд. Это может показаться большой суммой, но на самом деле компания легко отделалась. Только $243,3 млн ушло на штрафы Федеральному агентству гражданской авиации – сумма небольшая, по мнению рыночных аналитиков. При этом против компании не были выдвинуты уголовные обвинения и от нее не потребовали признания вины, несмотря на достоверные сообщения о систематической халатности в вопросах безопасности.
Уютные отношения между Boeing и регулирующими органами свидетельствуют о необходимости пересмотреть разделение обязанностей между регуляторами и отраслями. В конечном счете обеспечение ответственного поведения и такого же отношения к выпуску продукции в регулируемых отраслях лежит на плечах регулирующих органов, а слишком сильная зависимость от самосертификации отрасли создает долгосрочный конфликт интересов и ослабляет способность правительства осуществлять надзор. Что еще более важно, существует необходимость особо тщательной подготовки лиц, выполняющих функции регуляторов, в частности введения правила длительного «остывания» кандидата перед приемом на работу в отрасли. Если регуляторы рассматривают себя не как государственных служащих, а как будущих сотрудников компаний, деятельность которых они регулируют, возникает порочный корыстный стимул и регулирование перестает отвечать общественным интересам.
29
Хакинг и власть
Хакинг – это способ осуществления власти. Власти за счет других, а зачастую и всех прочих участников взломанной системы. Хакером движет желание продвигать собственные планы, невзирая на установленные правила. (Это верно даже в отношении типичного хакера-подростка, пытающегося удовлетворить свое любопытство. Да, любопытство не порок, но в данном случае оно нарушает приватность.)
Бесправные люди взламывают существующие структуры власти. Они делают это, чтобы обойти бюрократические препоны или же ради личной выгоды. Большая часть людей в мире не имеет права голоса в глобальных системах, влияющих на их жизнь; часто у них просто нет другого выбора, кроме как хакнуть эти системы. Такой взлом может быть разумным ответом на хакерские атаки со стороны элиты или государства, к примеру на чрезмерное административное бремя.
Но хотя у хакинга есть и такое лицо, когда аутсайдер пытается вырвать у власти какое-то преимущество, гораздо чаще он используется сильными мира сего для увеличения своих преимуществ.
Как я уже говорил, крупнейшие банки США создали специальные рабочие группы юристов для выявления и использования лазеек в законе Додда – Франка и провели трехлетнюю лоббистскую кампанию по их нормализации, стоившую миллионы долларов. Благодаря своим размерам и богатству банки смогли найти и использовать уязвимости, а благодаря купленной на это богатство власти лазейки остаются законными.
При этом существуют различия в том, как хакают системы бесправные граждане и власть имущие. Аутсайдеры – преступники, диссиденты, хакеры-одиночки – действуют более проворно и за счет этого увеличивают свою коллективную силу. Но когда устоявшиеся институты наконец находят способы взлома систем, которые их сдерживают, они действуют более эффективно. А поскольку у них больше денег и власти, которые нужно увеличивать, то и выгоды от хакинга они получают больше. Это справедливо как для правительств, так и для крупных корпораций.
О динамике власти можно говорить не только в связи с процессом хакинга, но и в отношении нормализации успешных хаков. Влиятельные люди (под которыми я обычно подразумеваю людей богатых) лучше подготовлены к тому, чтобы устроенные ими взломы были долговечными, а мы с вами не считали их подлыми мошенниками и воспринимали их действия как совершенно нормальные. Ведь именно так, скорее всего, вы и думаете о хедж-фондах, венчурном финансировании и всевозможных стратегиях ухода от налогов.
Причины такого положения дел носят структурный характер. Во-первых, для эффективного использования налоговых лазеек часто требуется помощь высокооплачиваемых юристов и бухгалтеров. Во-вторых, у богатых людей и организаций, как правило, больше денег, которые необходимо скрывать, и потому у них более сильная мотивация для поиска и использования уязвимостей в налоговом кодексе. В-третьих, налоговые эксплойты часто обслуживают теневую зону экономики, а борьба с налоговыми органами требует немалых финансовых ресурсов. И в-четвертых, слабое правоприменение означает, что богатые налоговые мошенники с меньшей вероятностью будут привлечены к ответственности.
Давайте обобщим. Успешные хаки обычно требуют либо специальных знаний, либо ресурсов для найма людей с такими знаниями, либо ресурсов для создания вспомогательной системы, облегчающей взлом. По всем трем пунктам богатые и влиятельные люди и организации имеют преимущество и куда лучше оснащены, чтобы устраивать и нормализовывать масштабные хаки.
Здесь также имеет место социальная динамика власти. Разнообразные меньшинства, маргинальные слои населения, а также представители классов, рас, полов и этнических групп, обладающие меньшей властью, менее склонны и к хакингу. Взлом системы вряд ли сойдет им с рук, если они попытаются это сделать. Да, они могут совершать преступления, но это не одно и то же. Женщин учат следовать правилам, в то время как белых мужчин учат нарушать их, если подворачивается такая возможность. Это важное соображение, которое следует иметь в виду, размышляя о хакинге и власти.
Правящая элита лучше справляется и с противодействием хакерским атакам менее влиятельных индивидов и групп. Профсоюзные тактики, такие как «работа по правилам», применяются сегодня гораздо реже и прежде всего потому, что сильные мира сего неуклонно подрывают власть профсоюзов. Руководство в целом все более враждебно относится к профсоюзным организациям и продвигает антипрофсоюзные законы и судебные решения. В результате многие сотрудники могут быть уволены без причины. Поскольку тактика «работы по правилам» требует членства в профсоюзе или как минимум защиты от безосновательных увольнений, то со временем она стала терять свою актуальность.
Профессор права Джорджтаунского университета Джули Коэн утверждает, что «власть интерпретирует регулирование как ущерб и идет обходными путями». Под этим она подразумевает, что у привилегированного класса есть все необходимое, чтобы обходить установленные правила. Как только хозяева жизни осознали, что им нужно взламывать системы – и в первую очередь процессы регулирования, которые мешают им делать то, что заблагорассудится, – они развили компетентность в этом вопросе. Мы уже имели возможность убедиться в этом на примере банковской сферы, финансовых рынков и элитной недвижимости.
Вспомните об отказе сената США даже рассмотреть кандидатуру Меррика Гарланда в качестве кандидата в Верховный суд страны в 2016 г. Это был хак, подрывающий процесс утверждения кандидатуры в сенате.