Юрий Высоцкий
(декан факультета театрального искусства Киевского государственного института театрального искусства им.И.Карпенко-Карого)
Понятно, что позиционирование издания – дело непростое. Важным моментом является и величина разброса мнений. Точнее, даже не мнений, и мировоззрений, подходов. Печатать только авторов, выражающих одну или очень близкие точки зрения нельзя, будет скучно, пропадёт интрига. Но даже в советское время статьи журнала «Политическое самообразование» не проникали на территорию таких изданий, как «Знание - сила» или «Наука и жизнь», нельзя же смешивать пропаганду и науку!. Статья «Доктринальное лидерство», на мой взгляд, раздвинула рамки «Компьютерры» за все разумные пределы, допустимые для научно-технической литературы.
«В России была принята самая первая в мире национальная доктрина обеспечения информационной безопасности (ИБ) - в сентябре 2000 года. Там отражен весь спектр угроз ИБ - от угроз критическим сетевым структурам до угроз в духовной сфере. После этого мы долго учили всех остальных, как это делать». Сразу вспоминается фраза: «Кто умеет – делает (Windows, Google Earth…), кто не умеет - учит». Не зря вопрос автора статьи: «У нас есть разработки своих защищенных операционных систем?» повис в воздухе. «Компетентные люди с впечатляющими титулами» наверняка знали ответ на него, но не отвечать же, что у нас вообще не ведутся разработки никаких ОС – как же тогда быть с лидерством? А вот по поводу «угроз в духовной сфере» хотелось бы узнать поподробнее. В статье, к сожалению, не развивается эта тема, зато Google по этому запросу выдал ссылку на документ под названием «Вклад Русской Православной Церкви в духовную безопасность страны», где говорится о «роли Церкви как ключевого элемента системы духовной безопасности государства». Это объясняет, почему американцы потребовали заменить термин «информационная безопасность» на «информационная этика». Вот только непонятно, что в этом смешного?
И уж совсем не смешно читать такую фразу: «после 11 сентября 2001 года американцы поняли, что они не самые умные». У нас был Беслан, у них 9/11, и то и другое – трагедии, о которых нельзя писать в таком тоне. Это уже не «информационная этика», а просто этика, которая выше безопасности.
Далее идёт пассаж о нестыковках между штатовскими базами данных. Признаётся, правда, что у нас всё это тоже не в идеальном состоянии, «но на политическом уровне наша стратегия была самой передовой. Американцы нас обогнали, потому что выделили большие деньги на реализацию всех этих идей. Тем не менее, в доктринальном смысле мы до сих пор впереди». Впервые я столкнулся с этим «лидерством» в конце 80-х в Болгарии. Болгары по рекомендации американцев стали присваивать каждому гражданину идентификатор, состоящий из даты рождения и номера регистрационной записи в органах типа наших ЗАГСов. Получилось, что этими идентификаторами уже обладали все граждане, надо было просто поднять книги регистрации и взять оттуда часть кода. Для тех, кто ещё не понял, поясняю: это единый государственный идентификатор личности, действующий от регистрации ребёнка в ЗАГСе и до смерти. Это не номер/серия бланка паспорта, и не номер карточки поликлиники или библиотеки. Этот идентификатор проставляется на всех документах, выдаваемых гражданину и по нему осуществляется связь между всеми мыслимыми базами. Наша политическая стратегия наделила граждан ИНН, пенсионным и другими идентификаторами, не стыкующимися между собой. При этом существует вероятность, что какая-нибудь никогда не болеющая и не работающая домохозяйка останется вне сферы любого из идентификаторов. Денег нам не хватило на единый идентификатор, который у болгар получился вообще бесплатным? Если же говорить об объектах административных, в частности, адресов, то и здесь картина не лучше. Многие улицы у нас названы именами национальных героев, писателей и других известных личностей. Но как правильно идентифицировать: улица Лазо, С. Лазо или Сергея Лазо? Знаменитый КЛАДР (классификатор адресов), разработанный налоговой службой содержит все эти варианты – для каждого города свой. В своё время я пытался выяснить причины такой самобытности. Оказалось, что это не следствие того, что в каждом городе администрацией утверждено своё название – такого списка «правильных» названий вообще не существует. Это просто самодеятельность налоговой службы. Какая уж тут информационная политика, когда идентификация объектов учёта с самого начала пущена на самотёк!
Но всё это про информационные системы в целом и их оптимизацию. А что же с безопасностью? Вот хороший вопрос автора:
А опенсорсность дает преимущество в надежности? Ведь программу могут проверять все желающие.
И вот ответ на него:
Коды (Windows – В.Б.) были открыты на каких то сверхжестких условиях, смотреть можно было только в отдельном помещении, с дискетой не заходить, смотреть с экрана и т. п. - но тем не менее. В результате - отдельные куски проанализировали, ничего не нашли. Ну и что? Полностью все эти гигабайты невозможно проанализировать. То же самое и с опенсорсом.
Это, пожалуй, самое интересное место во всей статье, и его надо прокомментировать подробнее. Для начала два примера.
1. Программа автопилота американского военного самолёта прошла тестирование на компьютере, тестирование на борту самолёта и была принята в эксплуатацию. Через несколько лет успешной эксплуатации выяснилось, что при перелёте через экватор (до этого программа работала исключительно в северном полушарии!) самолёт переворачивается «на спину».
2. Для печати платёжных поручений мы в 90-е годы написали модуль преобразование числа в сумму прописью. Через несколько лет успешной эксплуатации выяснилось, что при вводе отрицательного числа (плательщик перечисляет отрицательную сумму денег!), программа «вылетает».
Оба этих примера говорят о том, что, даже имея на руках исходные тексты, программу-отладчик, время и людей для тестирования, исключить ошибки удаётся не всегда. Но опыт многих людей, набивших шишки каждый на своих ошибках, минимизирует наличие дефектов в системе. Подробности процесса проверки могут быть любыми, но без возможности запустить под отладчиком фрагмент кода и по шагам проверить работу программы это вообще не тестирование.
И самое главное: если исходные тексты доступны только для просмотра с экрана, а программа в машинных кодах откомпилирована в Microsoft, то как можно утверждать, что эта программа откомпилирована именно с этих исходных текстов? Проверить сей факт невозможно, откомпилировать самим тоже нельзя – исходные тексты для компиляции не предоставлены, остаётся только верить на слово. Я не собираюсь утверждать, что верить Microsoft на слово нельзя, но тогда зачем это называть анализом и тратить на эту процедуру деньги?
С опенсорсом как раз всё совсем наоборот: опенсорс каждый специалист имеет право унести с собой и анализировать сколько хочет. А потом откомпилировать в машинные коды и сдать в архив полный комплект программной документации. Кстати, потом этого специалиста можно проверить.
Единственное, за что можно быть благодарным Алексею Сальникову, так это за то, что он открыл тайну тестирования Windows нашими экспертами. Я бы не взял на себя смелость анализировать даже небольшую статью, не имея оригинала перед глазами. Эти же ребята гарантировали отсутствие закладок, просмотрев на экране фрагменты кода. Браво, профессионалы!
А вот ещё пассаж:
Валерий Ященко: Я совсем по-простому скажу. Вторая сторона вопроса - не всегда даже крупный игрок заинтересован, чтобы у него не было дыр в ИБ.
Почему?
Алексей Сальников: Потому что иногда он думает: «Если ты придешь ко мне и сделаешь все как надо - как же я тогда буду воровать деньги?»
Если информационная система предприятия настроена на воровство денег, то любой хозяин ещё больше заинтересован в безопасности такой системы. А вот специалиста по ИБ как раз не должно волновать, что варится внутри системы, правильно ли она считает налоги, важно, чтобы через дыры информация не утекала наружу. То есть «в огороде бузина…», или не надо мух смешивать с котлетами.
Ну, и, наконец, закономерный финал. «Людей широкого профиля, которые могут дать рекомендации по защите крупного объекта, никто нигде в России не готовит. За исключением закрытых структур готовящих кадры для закрытых же структур». Мне всегда казалось, что широта и открытость являются почти синонимами и противопоставляются узости и закрытости. Вот что писал в 1974 году академик Андрей Сахаров в своей работе «Мир через полвека»:
Одним из первых этапов этого прогресса представляется создание единой всемирной телефонной и видеотелефонной системы связи. В перспективе, быть может, позднее, чем через 50 лет, я предполагаю создание всемирной информационной системы (ВИС), которая и сделает доступным для каждого в любую минуту содержание любой книги, когда-либо и где-либо опубликованной, содержание любой статьи, получение любой справки.
Ho поистине историческая роль ВИС будет в том, что окончательно исчезнут все барьеры обмена информацией между странами и людьми.
И вот реакция «закрытых структур».
Комитетом госбезопасности оперативным путем получена рукопись Сахарова «Мир через полвека» (копия прилагается), подготовленная им в мае с.г. по заказу буржуазных пропагандистских органов. Автор, как и в предыдущих своих выступлениях, с антисоциалистических позиций рассматривает процесс разрядки международной напряженности, допускает клеветнические измышления относительно материального и социального прогресса социалистических стран.
Сахаров был, прежде всего, учёным и прогнозы его были научными и широкими. А вот госбезопасность узко мыслила исключительно в терминах пропаганды, в чём и расписалась.
Что касается дня сегодняшнего, то серьёзнейшая проблема безопасности заключается в спаме. Я бы сравнил спам с крысами, переносящими инфекцию. Можно не представлять подробностей действия инфекции и особенностей борьбы с ней, но пока у всех под ногами шныряют крысы, опасность заражения велика. И что же делают в отношении спама гебисты, которые сегодня находятся во всех властных структурах? Где указы президента, постановления правительства, инициативы депутатов, ставящие спам вне закона? Где позиция православной церкви, трактующая спам как разновидность греха?
Леонид Левкович-Маслюк в подзаголовке своей статьи написал: «Россия лидирует в осмыслении информационных угроз». Операционных систем не пишем, и даже исходников для анализа не имеем, аппаратные компоненты тоже не проектируем и не изготавливаем, но лидерами себя считаем. И ведь сколько об этом писали, и не только Владимир Высоцкий. Например, Эльдар Рязанов так сформулировал:
Мы не пашем, не сеем, не строим,
Мы гордимся общественным строем.