Брюс Шнайер обладает столь большим опытом и знаниями, что при его упоминании многие люди используют словосочетание «светило индустрии» или называют его «отцом современной компьютерной криптографии». Однако интерес Шнайера не ограничивается шифрами, он уже давно задается более глобальными вопросами о том, почему в сфере информационной безопасности за все эти десятилетия произошло так мало улучшений. Поскольку он имеет авторитетное мнение по широкому кругу вопросов, связанных с ИБ, его часто приглашают в качестве эксперта на национальные телевизионные шоу. Несколько раз он даже выступал перед Конгрессом Соединенных Штатов. Шнайер пишет книги и ведет блоги, и я всегда считал ознакомление с его работами получением неофициальной степени магистра в области информационной безопасности. Я и наполовину не был бы тем специалистом по ИБ, которым стал, без знаний, которые почерпнул у него. Он мой неофициальный наставник.
Шнайер известен тем, что говорит обезоруживающе простые вещи, которые заставляют пересмотреть старые догмы. Например, возьмем его фразу: «Если вы сосредоточены на SSL-атаках, значит, вы превосходите всех остальных экспертов в области ИБ». Это означает, что существует очень много других, часто более успешно эксплуатируемых уязвимостей, о которых стоит задуматься, поэтому, если вы действительно беспокоитесь об относительно редко используемом SSL-эксплойте, значит, уже устранили остальные, более вероятные и важные угрозы. Другими словами, мы должны расставить акценты среди мер обеспечения информационной безопасности, а не реагировать на каждую анонсированную уязвимость (которая, возможно, никогда не будет эксплуатироваться).
Он также говорил о том, что специалисты по ИБ часто расстраиваются, если сотрудники не относятся к парольной защите достаточно серьезно, используют слабые пароли (если это допустимо), применяют один и тот же на многих несвязанных веб-сайтах (словно умоляя о том, чтобы их взломали) и часто передают его друзьям, коллегам и даже незнакомым людям. Мы расстраиваемся по этому поводу, поскольку в отличие от рядовых сотрудников представляем возможные последствия для бизнеса. Согласно Шнайеру, конечный пользователь оценивает сложность паролей, исходя из степени риска лично для себя. Сотрудников редко увольняют за использование недостаточно надежных паролей. Даже если хакер украл деньги с банковского счета вкладчика, эти средства, как правило, немедленно возмещаются. Шнайер учит нас тому, что именно профессионалы в сфере ИБ не вполне адекватно оценивают риски. И пока вред не будет причинен конечному пользователю, они не изменят свое поведение. Каково это, быть специалистом по вопросам ИБ, а потом осознать, что рядовой пользователь оценивает риски лучше вас?
Шнайер написал более десятка книг, включая «Прикладную криптография. Протоколы, алгоритмы и исходный код на C», написанную в 1996 году и вышедшую на русском языке. Создав еще несколько трудов на тему криптографии (в том числе вместе с Нильсом Фергюсоном), он начал интересоваться причинами, по которым в сфере ИБ не наступало значимых улучшений. Результатом этого стала серия книг, каждая из которых посвящена причинам нетехнического характера, связанным с доверием, экономикой, социологией и т. д. Они наполнены простой для понимания теорией и подкреплены реальными примерами. Вот мои любимые книги Шнайера:
• Secrets and Lies: Digital Security in a Networked World (https://www.amazon.com/Secrets-Lies-Digital-Security-Networked/dp/0471453803);
• Beyond Fear: Thinking Sensibly About Security in an Uncertain World (https://www.amazon.com/Beyond-Fear-Thinking-Sensibly-Uncertain/dp/0387026207);
• Liars and Outliers: Enabling the Trust that Society Needs to Thrive (https://www.amazon.com/Liars-Outliers-Enabling-Society-Thrive/dp/1118143302);
• Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (https://www.amazon.com/Data-Goliath-Battles-Collect-Control/dp/039335217X).
Если вы действительно хотите разобраться в сфере ИБ и ее проблемах, вам следует их прочитать. Также подпишитесь на блог Шнайера (https://www.schneier.com/) и ежемесячную рассылку канала Crypto-Gram (https://www.schneier.com/crypto-gram/). Существует заметная разница между теми, кто регулярно читает Шнайера, и теми, кто этого не делает. Его манера письма понятна и интересна, и он рьяно борется с теми, кто продвигает неработающие методы обеспечения информационной безопасности. То, как он разоблачает криптомошенников, само по себе можно считать уроками по кибербезопасности. Он регулярно освещает самые актуальные вопросы в этой области.
На протяжении многих лет я несколько раз брал у Шнайера интервью, и иногда мне бывало страшновато. Не потому что он сложный или высокомерный собеседник (это не так), а потому что он часто позволяет интервьюеру рассуждать, опираясь на собственные убеждения и предположения. Если вы чего-то не понимаете или не согласны с ним, он не сразу отвергает ваш аргумент. Вместо этого Брюс задает вопрос за вопросом, позволяя вам самому прийти к выводу. В ходе интервью Шнайер всегда обучает собеседника. В процессе разговора становится ясно, что он обдумывал эти вопросы намного дольше, чем вы. Теперь я пытаюсь заимствовать кое-что из его техники самодопроса, когда обдумываю собственные глубоко укорененные убеждения.
Я спросил Шнайера о том, когда он впервые заинтересовался темой информационной безопасности, на что он ответил: «Я всегда интересовался математикой и секретными кодами – криптографией. Свою первую книгу, “Прикладная криптография”, я бы с удовольствием сам прочитал в свое время. Однако я понял, что технологии – это не самая большая проблема. Проблема в людях или интерфейсе, с которыми они взаимодействуют. Самые сложные проблемы ИБ связаны не с технологиями, а с социологическими, политическими и экономическими аспектами их применения. Я провожу много времени, думая о пользователях, склонных к риску. У нас есть технологии, чтобы защитить их, но можем ли мы создать такие решения, которые не помешают им делать свою работу? В противном случае мы просто не сможем убедить их использовать эти продукты».
Я спросил Шнайера, что он думает о недавних утечках информации из некоторых американских спецслужб. Он сказал: «В этих данных практически не содержалось того, о чем не знали люди, внимательно следящие за происходящим. Обнародованные сведения были скорее подтверждением. Удивили подробности. Удивила секретность. Я не думаю, что мы смогли бы как-то повлиять на методы спецслужб, если бы знали о них больше, потому что после событий 11 сентября 2001 года любые их методы были бы одобрены. Так что, к сожалению, это не привело к серьезным изменениям, по крайней мере, сразу. Был принят один незначительный закон [запрещающий АНБ собирать метаданные о телефонных переговорах американцев]. Однако утечка спровоцировала публичное обсуждение проблемы, связанной с правительственной слежкой, что привело к изменению общественного мнения. Теперь люди знают и беспокоятся об этом. Может потребоваться еще десять лет, чтобы ощутить все последствия, но в итоге ситуация улучшится».
Я спросил Шнайера, что он считает самой большой проблемой в сфере компьютерной безопасности, и он ответил: «Корпоративная слежка! Корпорации хотят шпионить за людьми даже больше, чем правительства. Facebook и Google следят за пользователями, нарушая их интересы, а ФБР может получить доступ к собранным ими данным, хотят того корпорации или нет. Следящий капитализм – вот фундаментальная проблема».
Я спросил Шнайера, над какой книгой он работает (он постоянно что-то пишет). Он рассказал: «Я обдумываю новую книгу, посвященную проблемам кибербезопасности, например связанным с Интернетом вещей и с тем, как все меняется, когда компьютеры действительно становятся опасными. Одно дело, если скомпрометированной оказывается уязвимая электронная таблица, и совсем другое, если речь идет о вашем автомобиле. Прорехи в системе защиты могут привести к человеческим жертвам. Это все меняет! В прошлом месяце я выступал в Конгрессе с докладом на эту тему. Я сказал, что игры кончились, и настало время для серьезной работы. Необходим контроль. На карту поставлены жизни людей! Мы не можем больше мириться со слабо защищенным и полным ошибок программным обеспечением. Но индустрия не готова осознать всю серьезность угрозы, хотя и должна. Как могут люди, работающие над улучшением системы безопасности автомобилей, на самом деле решить эту задачу, если нам до сих пор так и не удалось остановить хакеров и исправить все уязвимости? Необходимы перемены. И они произойдут».
Брюс Шнайер на протяжении нескольких десятилетий является одним из лидеров в области ИБ и остается ключевым участником самых важных дискуссий. Если вас интересует тема информационной безопасности, выберите его в качестве своего неофициального наставника.