Читать «Журнал "Компьютерра" №710» онлайн - страница 27

Компьютерра

Регулирование значительно улучшилось, когда неудачи рыночного механизма в индустрии информационной безопасности стали ясны. Евросоюз принял документ "Network Security Policy", который установил общеевропейский ответ на атаки на информационные системы. Это послужило началом применения экономических мер при планировании государственного управления. Другой пример: комментарии правительства Германии по поводу инициативы Trusted Computing. Они сильно повлияли на Trusted Computing Group, заставив ее согласиться с принципами членства, исключающими дискриминацию небольших предприятий. Недавно Еврокомиссия высказывала свои соображения об экономических последствиях механизмов безопасности Windows Vista.

По статье Росса Андерсона и Тайлера Мура "Information Security Economics - and Beyond"

 

Трагедия общин и вопрос ответственности

Еще один важный вопрос, поднятый патриархом экономического анализа информационной безопасности Россом Андерсоном (Ross Anderson): кто отвечает за безопасность? Очевидно, что ответственность за безопасность должна возлагаться на того, кто имеет возможность ее обеспечивать. Однако в условиях, когда компьютер домохозяйки может использоваться для атаки на сайт Microsoft, а неграмотно настроенный SMTP-сервер - поставить под удар всю сеть, в которой он находится, это далеко не тривиальная проблема. Сколько вы готовы заплатить за то, чтобы обеспечить безопасность Microsoft? Думаю, немного. И уж конечно, вы практически ничем не рискуете, отказываясь от добровольной помощи редмондскому гиганту - Microsoft вряд ли будет судиться с вами в случае участия вашего компьютера в DDoS-атаке (как мы уже видели, бороться с отдельными участниками распределенной угрозы никто не будет, кроме разве что RIAA и MPAA, но этот клинический случай мы не рассматриваем).

В экономике такая ситуация известна под названием "трагедия ресурсов общего пользования" (Tragedy of the Commons) и описывается обычно так. Пусть 100 жителей деревни пасут своих овец на общинной земле. Если кто-то из них добавляет лишнюю овцу в свое стадо, он получает существенную выгоду, тогда как остальные 99 жителей страдают лишь от незначительного ухудшения состояния пастбища. Вряд ли они поднимут вой по этому поводу - скорее сами добавят по овце. Со временем такая стратегия приводит к безграничному росту общего числа овец и полному истощению земли.

Подобные ситуации, когда эгоистичные (или рациональные, что в данном случае одно и то же) действия отдельных участников сообщества по отношению к общественному ресурсу приводят к краху всей системы, наблюдаются в компьютерной безопасности буквально на каждом шагу. Общественным ресурсом в данном случае является общая безопасность информационной среды, стоимость которой распределяется между участниками. Например, пользователь локальной сети, купив соответствующее ПО и упрочив защиту своего компьютера, повышает общую безопасность.Однако стимул вкладывать личные деньги, по сути, в общее дело невелик: возникает соблазн подождать, когда это сделают другие (а они этого не сделают по тем же самым причинам). Аналогичным образом замена устаревших технологий новыми безопасными аналогами (например, DNSSEC вместо существующего DNS) идет черепашьими темпами: поскольку на начальном этапе (когда пользователей новой технологии немного) затраты велики, каждый участник рынка ждет, когда их возьмет на себя кто-то другой. Социальных механизмов борьбы с этим явлением пока не существует.