Страница:
Последний пункт стал причиной осложнений между ЕС и Соединенными Штатами, так как Соединенные Штаты не ведут никакого контроля за сбором персональных данных и позволяют компаниям покупать и продавать последние по желанию. Соединенные Штаты и ЕС в порядке эксперимента приняли соглашение относительно условий секретности для американских компаний, что должно было обеспечить «адекватный» уровень секретности к июлю 2001 года. Некоторые члены Конгресса несколько раз пробовали изменить законодательство о секретности, но под давлением промышленников эти попытки были блокированы. Группа лоббирования NetCoalition com, которая включает в себя AOL, Amazon com, Yahoo! eBay и DoubleClick, верит в саморегулирование, которое является эквивалентом отсутствия секретности. К сожалению, большая часть деловых людей считают, что секретность плоха для бизнеса и что нарушение права на защиту частной информации – иногда единственный путь заработать деньги.
О деловой секретности. Предприниматели вообще не нуждаются в долгосрочной секретности. (Торговые секреты – формула кока-колы, например, – являются исключениями.) Клиентские базы данных должны оставаться конфиденциальными в течение многих лет. Данные развития производства – только несколько лет, а в бизнесе, связанном с компьютерами, намного меньше этого. Информация об общем финансовом здоровье, деловых переговорах и тактических маневрах – от недель до месяцев. Маркетинг и планы производства, стратегии, долгосрочные переговоры – от месяцев до нескольких лет. Подробная финансовая информация, возможно, нуждается в секретности в течение нескольких лет, но, вероятно, не больше. Даже общие пятилетние планы после девяти месяцев устаревают. Мы живем в мире, где информация распространяется быстро. Деловые тайны прошлой недели к этой неделе вытеснились новыми. А деловые тайны этой недели – это заголовки Wall Street Journal следующей недели.
Правительства также нуждаются в краткосрочной секретности. Интересы любой страны вынуждают ее следить за интересами других государств, и правительства заинтересованы в сохранении определенной информации в тайне от других государств. К несчастью, страны намного больше, чем компании. Невозможно сообщить каждому гражданину США секретную информацию так, чтобы при этом не произошла ее утечка к китайскому правительству. Таким образом, если Соединенные Штаты хотят сохранить секрет от китайцев, они должны также тщательно охранять его от большинства американцев.
Эти секреты обычно по своей природе – военные: стратегии и тактики, возможности оружия, разработки и обеспечение, мощь войск и их передвижение, научные исследования и разработки. Военные секреты часто перерастают в государственные: позиции на переговорах о соглашениях и т. п. Часто они пересекаются с корпоративными секретами: военными контрактами, положением на торгах, импортными и экспортными сделками и т. д.
Исключения для краткосрочной секретности связаны с затруднениями: личными, политическими или деловыми. Правительства не хотят, чтобы информация об их политических трудностях просочилась в прессу. (Вспомните Уотергейт. Вспомните мятеж в Иране. Вспомните любой политический скандал, раскрытый средствами массовой информации.) Люди не хотят обнародования своего личного прошлого. (Вспомните Билла Клинтона. Вспомните Боба Ливингстона, конгрессмена и спикера, который ушел в отставку в 1999 году после того, как было обнародовано дело двадцатилетней давности. Вспомните Артура Аша, чье заболевание СПИДом было обнаружено прессой.) Приблизительно через два десятилетия у нас будут выборы, в которых кандидаты окажутся перед необходимостью объяснять послания по электронной почте, которые они написали, когда были подростками.
Немногие случаи, которые требуют очень продолжительной секретности – из тех, что я знаю, – связаны с правительством. Американские данные переписи – имеются в виду оригиналы, а не что-либо, подвергшееся обработке, – должны остаться тайной в течение 72 лет. Мандаты ЦРУ, которые идентичны шпионским, остаются секретными, пока не переживут и шпиона, и его детей. Канадские данные переписи остаются секретными навсегда.
Имея дело с подобными вещами, военные заинтересованы в многоуровневой классификации секретности. У военных США данные могут являться несекретными, конфиденциальными, секретными и совершенно секретными. Правила устанавливают, какие данные к какому уровню классификации относятся, и обусловливают различные правила хранения, распространения и т. д. Например, требуются сейфы различной прочности для хранения данных разного уровня секретности. Данные высшей степени секретности могут храниться только в надежно охраняемом, лишенном окон помещении без фотокопировальных устройств; за них должны расписываться.
Люди, работающие с этими данными, должны проходить проверки, соответствующие информации самой высокой степени секретности из всех, с которыми они работают. Кто-нибудь с секретным допуском, например, может видеть информацию и несекретную, и конфиденциальную, и секретную. Кто-то с допуском к конфиденциальной работе может видеть только несекретные и конфиденциальные данные. (Конечно, допуск не является гарантией доверия. Глава российского отдела контрразведки ЦРУ Олдридж Эймс имел высший допуск секретности, но при этом он был российским шпионом.)
Данные на высшем уровне секретности иногда подразделяются по темам или по разделам, имеющим к ним отношение. На эти документы ставится гриф «TS/SCI» (высшая секретность/специальный раздел сведений). Каждый раздел имеет ключевое слово. TALENT и KETHOLE, например, являются ключевыми словами, связанными со спутниками-шпионами КН-11. SILVER, RUFF, TEAPOT, UMBRA и ZARF – с другими. (UMBRA применяется к информации о коммуникациях, RUFF соотносится с изображениями.)
Разделы – это важные барьеры доступа: кто-нибудь, имеющий доступ высшей степени секретности с дополнительным доступом KEYHOLE (иногда называемым «билетом»), не уполномочен видеть данные высшей степени секретности COBRA.
Дробление на разделы формально отражает понятие «потребности знать». Наличие у кого-либо некоторого уровня доступа не означает, что он автоматически получает возможность видеть все данные на этом уровне доступа. Он может получать для просмотра только те данные, которые должен знать, чтобы выполнять свою работу. Имеются и другие обозначения, которые уточняют классификацию: NOFORN – «Не для иностранных подданных», WNINTEL – «Внимание: источники и методы разведки», LIMDIS – «Ограниченное распространение».
В других странах также существуют подобные правила. В Великобритании один дополнительный уровень классификации – ограниченный, который находится между несекретным и конфиденциальным. Соединенные Штаты имеют нечто подобное, называемое FOUO (For Official Use Only) – только для служебного пользования – что означает «несекретно, но не подлежит сообщению посторонним лицам».
Здесь существенны два момента. Во-первых, все это намного легче осуществить на бумаге, чем на компьютере. В главе 8 говорится о некоторых из многоуровневых систем секретности, которые были построены и использовались, но ни одна из них никогда не работала в крупном масштабе. Во-вторых, эти системы в значительной степени не соответствуют враждебному внешнему окружению. В них не признаются ни корпоративные тайны, ни личные секреты. Секретность в реальном мире не вписывается в узкие иерархические рамки.
Любой, кто работает на кризисной телефонной линии – будь то звонки о самоубийстве или насилии – знает силу анонимности. Тысячи людей в Интернете обсуждают свою личную жизнь в конференциях для оставшихся в живых жертв злоупотребления наркотиками, больных СПИДом и т. д.; они желают делать это только через анонимную пересылку. Это – социальная анонимность и она жизненно важна для здоровья мира, потому что позволяет людям обсуждать такие вещи, говоря о которых нет желания указывать свое имя. Например, послания по почте некоторых людей в alt religion scientolgy[15] сделаны анонимно, иначе они не стали бы писать.
Политическая анонимность также важна. Не бывает и не может быть того, чтобы все политические выступления были подписаны. Так же как кто-то может совершить массовую политическую рассылку по почте без обратного адреса, может сделать то же самое через Интернет. Это играет важную роль в некоторых случаях: в 1999 году онлайновая анонимность позволила сербам, представителям Косово и другим прекратить Балканскую войну; они посылали новости о происходящем конфликте в остальные части света без непосредственного риска для жизни из-за раскрытия своей личности.
С другой стороны, люди используют анонимность Интернета, чтобы рассылать угрожающие сообщения по электронной почте, печатать речи, полные ненависти и оскорблений, распространять компьютерные вирусы и иным способом досаждать нормальным гражданам киберпространства.
Есть два различных вида анонимности. Первый – полная анонимность: письмо без обратного адреса, сообщение в бутылке, обращение по телефону без автоответчика или телефонной идентификации. О человеке, создающем полностью анонимный контакт, никто не может выяснять, кем он является, и если, что еще более важно, этот человек еще раз вступает в контакт, контактирующий не знает, что он имеет дело с тем же самым человеком.
Второй тип анонимности связан с использованием псевдонима. Подумайте о счете в швейцарском банке (хотя это фактически прекращено в 1990 году), о почтовом ящике, арендованном за наличные под вымышленным именем (хотя это больше невозможно в Соединенных Штатах без поддельного удостоверения), о встречах анонимных алкоголиков, где вы известны только как Боб. Эта анонимность заключается в том, что никто не знает, кто вы, но есть возможность идентифицировать вас по этому псевдониму. Это то, что нужно швейцарским банкам: их не заботит, кто вы, – только то, что вы являетесь тем же самым человеком, который внес деньги на прошлой неделе. Торговец не должен знать ваше имя, но должен знать, что вы законно купили товар, который теперь пытаетесь возвратить.
Оба типа анонимности сложно осуществить в киберпространстве, потому что многое в его структуре требует установления личности. Новые микропроцессоры класса Intel Pentium III имеют уникальные серийные номера, которые могут быть отождествлены так же, как и сетевые карты в компьютерах локальных вычислительных сетей. Документы Microsoft Office автоматически сохраняют информацию, указывающую на автора. Веб-серверы прослеживают людей в Сети; даже по анонимным обращениям по электронной почте теоретически можно вычислить реального человека, если отследить IP-адрес. Много недостатков было найдено в различных программах, которые обещали анонимную работу. Поверхностная анонимность проста, но истинная анонимность, вероятно, в сегодняшнем Интернете невозможна.
Очевидно, можно, потому что существуют наличные деньги. Реально вопрос состоит в том, хотим ли мы когда-нибудь получить электронную версию наличных денег. Я не верю, что хотим, может быть, исключая лишь небольшие сделки.
Анонимность дорого стоит, потому что с ней связаны дополнительные риски. (Правительственное регулирование также влияет на это.) Банки не глупы, они предпочитают менее опасную систему. И анонимная система обходится дороже, чем система, основанная на учетных записях и отношениях. Банки могут вложить дополнительные затраты в систему, но клиенты не желают за это платить. Если вы – торговец, то проведите эксперимент. Поднимите цены в своем магазине со словами: «Пять процентов скидки, если вы дадите нам свое имя и адрес и позволите проследить ваши привычки в покупках». Посмотрите, сколько клиентов предпочитает анонимность. Люди скажут, что они не хотят попасть в мегабазы данных, прослеживающие каждую их денежную трату, но желают получить такую симпатичную карту постоянного клиента, которая предоставляет все возможности выиграть бесплатное путешествие на Гавайи (одно на тысячу карт). Если Макдоналдс предлагает три бесплатных Биг-Мака за образец дезоксирибонуклеиновой кислоты, то значит, что на это есть причина.
С другой стороны, поднимите цену, сказав: «Пять процентов скидки, если вы сообщите нам название и адрес школы вашего ребенка», и вы, вероятно, увидите другую реакцию. Есть некоторые вещи, которые большинство людей хотят сохранить в секрете, и есть люди, которые хотят держать в секрете большинство вещей. Всегда будет существовать стиль швейцарского банка – анонимной платежной системы для богатых, которые готовы нести расходы за сохранение секретности. Но средний потребитель далек от богатых. Среди средних потребителей есть некоторые исключения, но вообще-то они не заботятся об анонимности. А у банков нет никакой причины предоставлять им ее, особенно если правительство не заставляет их этого делать.
Эту информацию получить нетрудно. Медицинские записи о Николь Браун Симпсон были опубликованы через неделю после ее убийства в 1994 году. А в 1995–м Лондонская Sunday Times сообщила, что цена каждой медицинской записи в Англии составляет 200 фунтов стерлингов. И если так обстоят дела в богатых странах, то вы только вообразите, какие злоупотребления могут стать возможными в странах типа Индии и Мексики, где сумма в 10 долларов способна соблазнить даже наиболее добродетельного государственного служащего.
Компьютеризированные данные пациентов плохи с точки зрения секретности. Но они хороши для всего остального, так что их сбор неизбежен. В Законе о мобильном и общедоступном страховании здоровья (HIPAA) теперь есть стандарты для компьютеризированных медицинских записей. Они делают информацию легко доступной там, где в этом есть необходимость, что удобно для населения, которое реже пользуется услугами семейного доктора и чаще ездит по всей стране, посещая различных докторов и клиники в случае необходимости. Специалисты могут легко получать нужные данные. Так же поступают и страховые компании, потому что такие данные более содержательны, более стандартизированы и более дешевы для обработки: если все данные электронные, то проверять клиентов будет дешевле. Это лучше и для исследователей, потому что позволяет им эффективнее использовать доступную информацию: впервые они могут смотреть на все в стандартной форме.
Это большое мероприятие, вероятно, столь же важное, как ранее упомянутые финансовые и кредитные базы данных. Как общество мы окажемся перед необходимостью сбалансировать потребность в доступе (который более очевиден для медицинской, чем для финансовой информации) с потребностью в секретности. Так или иначе, компьютеризация приходит в медицину. Мы должны быть уверены, что все сделано правильно.
В течение нескольких последних десятилетий развитие компьютерной секретности в Соединенных Штатах было ограничено тем, что называется экспортными законами. Экспортные законы определяют те виды шифрования, которые компании США могут экспортировать. Так как большинство программных продуктов распространено по всему миру, такие законы значительно ограничивали эффективность шифрования в массовых программах, подобных браузерам и операционным системам[16].
В 1993 году американское правительство отстояло так называемый «Клиппер-Чип», который будет обсуждаться подробно в главе 16. Это система, которая дает полицейским доступ к вашим ключам кодирования.
Дебаты продолжаются. ФБР стремится к узакониванию прав, нарушающих секретность: прослушиванию широкополосных телефонных сетей, установке подслушивающих устройств в компьютеры пользователей без ордера везде, где возможно. Во время написания книги у нас появились новые экспортные правила для программного обеспечения, представленного на массовом рынке, разнообразие законопроектов либерализации шифрования находится в Конгрессе, и несколько дел о контроле над экспортом направлены в Верховный суд. Изменения происходят постоянно; что-либо сказанное мной здесь может устареть к моменту издания книги.
Также интересны (и бесконечны) философские проблемы. Первое – правильно ли думает правительство, когда оно предполагает, что социальные беды от секретности перевешивают социальные преимущества? В предыдущем разделе я приводил доводы, что преимущества анонимности перетягивают связанные с ней проблемы. То же самое с секретностью. Она чаще всего применяется там, где нужно, и положительных сторон ее использования намного больше, чем отрицательных.
Второе – может ли правительство закупать технологию, которая совершенно очевидно приносит большие социальные выгоды, но, с другой стороны, некоторым образом препятствует законному принуждению, так что, по идее, необходимо ограничивать ее использование? Ключевой козырь ФБР – это шифрование, являющееся большой помехой для расследования уголовных дел, так как ФБР имеет те же самые возможности подслушивания, что и десять лет назад. Однако подслушивание не обеспечивает доказательств, и история убедительно показывает, что перехват – это нерентабельный метод борьбы с преступностью. Широко распространенное шифрование может быть шагом назад в осуществлении механизмов законного принуждения, но не в обвинении преступников.
Я не знаю ответов. Существует равновесие между секретностью и безопасностью. Законы, которые регламентируют розыскную деятельность и соблюдаются должным образом, препятствуют юридическому принуждению, и это может кончиться тем, что некоторые преступники получат свободу. С другой стороны, эти законы защищают граждан от злоупотреблений полиции. Мы, как общество, должны решить, какое равновесие является правильным для нас, и затем создать условия для законного проведения его в жизнь. Но я громогласно возражаю против ФБР, старающегося насадить выгодное ему решение без общественного обсуждения и без общественного понимания.
В любом случае будущее не оптимистично. Право на секретность – это первое, чем пренебрегают в случае кризиса, и ФБР попробует сфабриковать кризисы, чтобы попытаться захватить большее количество полномочий для вторжения в секретность. Война, террористические нападения, полицейские акции… наверняка вызовут большие изменения в точках зрения. И даже сейчас, в обстоятельствах, наиболее способствующих аргументированным дебатам о секретности, мы теряем ее все больше и больше.
Люди аутентифицируют себя огромное количество раз в день. При входе в компьютерную систему, вы подтверждаете свою подлинность компьютеру. В 1997 году управление социального обеспечения пробовало ввести данные людей в сеть; они прекратили это после жалоб на то, что номер социального обеспечения и девичья фамилия матери не являются достаточно хорошими опознавательными средствами и что у людей будет возможность читать данные других людей. Компьютер также должен подтвердить свою подлинность вам; в противном случае как вы узнаете, что это ваш компьютер, а не какой-нибудь самозванец?
Посмотрите на среднего человека на улице, собирающегося купить пирог. Он рассматривает витрину за витриной, ища тот магазин, в котором продают пироги. Или, возможно, он уже знает свою любимую булочную, но еще только идет туда. В любом случае, когда он добирается до магазина, он подтверждает подлинность того, что это – правильный магазин. Аутентификация сенсорная: он видит пироги в меню, чувствует их запах в воздухе, магазин выглядит точно так же, как тогда, когда он последний раз был в нем.
Человек говорит с продавцом магазина и спрашивает о пироге. В некоторой степени оба аутентифицируют друг друга. Продавец хочет знать, способен ли клиент заплатить. Если клиент одет в тряпье, продавец может попросить, чтобы он ушел (или, по крайней мере, заплатил сразу). Если клиент носит лыжную маску и размахивает АК-47, продавец, скорее всего, убежит сам.
Клиент также аутентифицирует подлинность торговца. Он на самом деле продавец? Он продаст мне пирог или даст мне только кучу опилок в булочке? Что сказать о булочной? В наличии есть некое свидетельство о чистоте, подписанное местным санитарным инспектором, оно висит где-то на стене, если вдруг клиент захочет проверить. Но чаще клиент доверяет своим инстинктам. Мы все уходим из булочной, если нам не понравилось «ощущение» этого места.
О деловой секретности. Предприниматели вообще не нуждаются в долгосрочной секретности. (Торговые секреты – формула кока-колы, например, – являются исключениями.) Клиентские базы данных должны оставаться конфиденциальными в течение многих лет. Данные развития производства – только несколько лет, а в бизнесе, связанном с компьютерами, намного меньше этого. Информация об общем финансовом здоровье, деловых переговорах и тактических маневрах – от недель до месяцев. Маркетинг и планы производства, стратегии, долгосрочные переговоры – от месяцев до нескольких лет. Подробная финансовая информация, возможно, нуждается в секретности в течение нескольких лет, но, вероятно, не больше. Даже общие пятилетние планы после девяти месяцев устаревают. Мы живем в мире, где информация распространяется быстро. Деловые тайны прошлой недели к этой неделе вытеснились новыми. А деловые тайны этой недели – это заголовки Wall Street Journal следующей недели.
Правительства также нуждаются в краткосрочной секретности. Интересы любой страны вынуждают ее следить за интересами других государств, и правительства заинтересованы в сохранении определенной информации в тайне от других государств. К несчастью, страны намного больше, чем компании. Невозможно сообщить каждому гражданину США секретную информацию так, чтобы при этом не произошла ее утечка к китайскому правительству. Таким образом, если Соединенные Штаты хотят сохранить секрет от китайцев, они должны также тщательно охранять его от большинства американцев.
Эти секреты обычно по своей природе – военные: стратегии и тактики, возможности оружия, разработки и обеспечение, мощь войск и их передвижение, научные исследования и разработки. Военные секреты часто перерастают в государственные: позиции на переговорах о соглашениях и т. п. Часто они пересекаются с корпоративными секретами: военными контрактами, положением на торгах, импортными и экспортными сделками и т. д.
Исключения для краткосрочной секретности связаны с затруднениями: личными, политическими или деловыми. Правительства не хотят, чтобы информация об их политических трудностях просочилась в прессу. (Вспомните Уотергейт. Вспомните мятеж в Иране. Вспомните любой политический скандал, раскрытый средствами массовой информации.) Люди не хотят обнародования своего личного прошлого. (Вспомните Билла Клинтона. Вспомните Боба Ливингстона, конгрессмена и спикера, который ушел в отставку в 1999 году после того, как было обнародовано дело двадцатилетней давности. Вспомните Артура Аша, чье заболевание СПИДом было обнаружено прессой.) Приблизительно через два десятилетия у нас будут выборы, в которых кандидаты окажутся перед необходимостью объяснять послания по электронной почте, которые они написали, когда были подростками.
Немногие случаи, которые требуют очень продолжительной секретности – из тех, что я знаю, – связаны с правительством. Американские данные переписи – имеются в виду оригиналы, а не что-либо, подвергшееся обработке, – должны остаться тайной в течение 72 лет. Мандаты ЦРУ, которые идентичны шпионским, остаются секретными, пока не переживут и шпиона, и его детей. Канадские данные переписи остаются секретными навсегда.
Многоуровневая секретность
Военные обладают большим количеством информации, которая должна храниться в тайне; разные части этой информации имеют различную степень секретности. Местоположение морских судов может быть интересно врагу, но коды запуска ракет на этих судах намного важнее. Количество шинелей в поставках крайне интересно, но количество винтовок более важно.Имея дело с подобными вещами, военные заинтересованы в многоуровневой классификации секретности. У военных США данные могут являться несекретными, конфиденциальными, секретными и совершенно секретными. Правила устанавливают, какие данные к какому уровню классификации относятся, и обусловливают различные правила хранения, распространения и т. д. Например, требуются сейфы различной прочности для хранения данных разного уровня секретности. Данные высшей степени секретности могут храниться только в надежно охраняемом, лишенном окон помещении без фотокопировальных устройств; за них должны расписываться.
Люди, работающие с этими данными, должны проходить проверки, соответствующие информации самой высокой степени секретности из всех, с которыми они работают. Кто-нибудь с секретным допуском, например, может видеть информацию и несекретную, и конфиденциальную, и секретную. Кто-то с допуском к конфиденциальной работе может видеть только несекретные и конфиденциальные данные. (Конечно, допуск не является гарантией доверия. Глава российского отдела контрразведки ЦРУ Олдридж Эймс имел высший допуск секретности, но при этом он был российским шпионом.)
Данные на высшем уровне секретности иногда подразделяются по темам или по разделам, имеющим к ним отношение. На эти документы ставится гриф «TS/SCI» (высшая секретность/специальный раздел сведений). Каждый раздел имеет ключевое слово. TALENT и KETHOLE, например, являются ключевыми словами, связанными со спутниками-шпионами КН-11. SILVER, RUFF, TEAPOT, UMBRA и ZARF – с другими. (UMBRA применяется к информации о коммуникациях, RUFF соотносится с изображениями.)
Разделы – это важные барьеры доступа: кто-нибудь, имеющий доступ высшей степени секретности с дополнительным доступом KEYHOLE (иногда называемым «билетом»), не уполномочен видеть данные высшей степени секретности COBRA.
Дробление на разделы формально отражает понятие «потребности знать». Наличие у кого-либо некоторого уровня доступа не означает, что он автоматически получает возможность видеть все данные на этом уровне доступа. Он может получать для просмотра только те данные, которые должен знать, чтобы выполнять свою работу. Имеются и другие обозначения, которые уточняют классификацию: NOFORN – «Не для иностранных подданных», WNINTEL – «Внимание: источники и методы разведки», LIMDIS – «Ограниченное распространение».
В других странах также существуют подобные правила. В Великобритании один дополнительный уровень классификации – ограниченный, который находится между несекретным и конфиденциальным. Соединенные Штаты имеют нечто подобное, называемое FOUO (For Official Use Only) – только для служебного пользования – что означает «несекретно, но не подлежит сообщению посторонним лицам».
Здесь существенны два момента. Во-первых, все это намного легче осуществить на бумаге, чем на компьютере. В главе 8 говорится о некоторых из многоуровневых систем секретности, которые были построены и использовались, но ни одна из них никогда не работала в крупном масштабе. Во-вторых, эти системы в значительной степени не соответствуют враждебному внешнему окружению. В них не признаются ни корпоративные тайны, ни личные секреты. Секретность в реальном мире не вписывается в узкие иерархические рамки.
Анонимность
Нуждаемся ли мы в анонимности? Хорошая ли это штука? В Интернете горячо обсуждалась целая концепция анонимности, взвешивались самые разные мнения людей по этому спорному вопросу.Любой, кто работает на кризисной телефонной линии – будь то звонки о самоубийстве или насилии – знает силу анонимности. Тысячи людей в Интернете обсуждают свою личную жизнь в конференциях для оставшихся в живых жертв злоупотребления наркотиками, больных СПИДом и т. д.; они желают делать это только через анонимную пересылку. Это – социальная анонимность и она жизненно важна для здоровья мира, потому что позволяет людям обсуждать такие вещи, говоря о которых нет желания указывать свое имя. Например, послания по почте некоторых людей в alt religion scientolgy[15] сделаны анонимно, иначе они не стали бы писать.
Политическая анонимность также важна. Не бывает и не может быть того, чтобы все политические выступления были подписаны. Так же как кто-то может совершить массовую политическую рассылку по почте без обратного адреса, может сделать то же самое через Интернет. Это играет важную роль в некоторых случаях: в 1999 году онлайновая анонимность позволила сербам, представителям Косово и другим прекратить Балканскую войну; они посылали новости о происходящем конфликте в остальные части света без непосредственного риска для жизни из-за раскрытия своей личности.
С другой стороны, люди используют анонимность Интернета, чтобы рассылать угрожающие сообщения по электронной почте, печатать речи, полные ненависти и оскорблений, распространять компьютерные вирусы и иным способом досаждать нормальным гражданам киберпространства.
Есть два различных вида анонимности. Первый – полная анонимность: письмо без обратного адреса, сообщение в бутылке, обращение по телефону без автоответчика или телефонной идентификации. О человеке, создающем полностью анонимный контакт, никто не может выяснять, кем он является, и если, что еще более важно, этот человек еще раз вступает в контакт, контактирующий не знает, что он имеет дело с тем же самым человеком.
Второй тип анонимности связан с использованием псевдонима. Подумайте о счете в швейцарском банке (хотя это фактически прекращено в 1990 году), о почтовом ящике, арендованном за наличные под вымышленным именем (хотя это больше невозможно в Соединенных Штатах без поддельного удостоверения), о встречах анонимных алкоголиков, где вы известны только как Боб. Эта анонимность заключается в том, что никто не знает, кто вы, но есть возможность идентифицировать вас по этому псевдониму. Это то, что нужно швейцарским банкам: их не заботит, кто вы, – только то, что вы являетесь тем же самым человеком, который внес деньги на прошлой неделе. Торговец не должен знать ваше имя, но должен знать, что вы законно купили товар, который теперь пытаетесь возвратить.
Оба типа анонимности сложно осуществить в киберпространстве, потому что многое в его структуре требует установления личности. Новые микропроцессоры класса Intel Pentium III имеют уникальные серийные номера, которые могут быть отождествлены так же, как и сетевые карты в компьютерах локальных вычислительных сетей. Документы Microsoft Office автоматически сохраняют информацию, указывающую на автора. Веб-серверы прослеживают людей в Сети; даже по анонимным обращениям по электронной почте теоретически можно вычислить реального человека, если отследить IP-адрес. Много недостатков было найдено в различных программах, которые обещали анонимную работу. Поверхностная анонимность проста, но истинная анонимность, вероятно, в сегодняшнем Интернете невозможна.
Коммерческая анонимность
Понятие псевдонима приносит нам приятную анонимность в финансовых сделках. Но с другой стороны, ее же используют и недобросовестные продавцы, не несущие за товар никакой ответственности: это – ничей бизнес, не принадлежащий ни правительству, ни оптовым, ни мелким торговцам, – что бы люди не покупали, будь то порнофильмы или сюрпризы к дню рождения. К сожалению, существует еще и большая группа негласных сторонников финансовой анонимности: торговцы наркотиками и другие темные элементы. Можно ли примирить две эти стороны?Очевидно, можно, потому что существуют наличные деньги. Реально вопрос состоит в том, хотим ли мы когда-нибудь получить электронную версию наличных денег. Я не верю, что хотим, может быть, исключая лишь небольшие сделки.
Анонимность дорого стоит, потому что с ней связаны дополнительные риски. (Правительственное регулирование также влияет на это.) Банки не глупы, они предпочитают менее опасную систему. И анонимная система обходится дороже, чем система, основанная на учетных записях и отношениях. Банки могут вложить дополнительные затраты в систему, но клиенты не желают за это платить. Если вы – торговец, то проведите эксперимент. Поднимите цены в своем магазине со словами: «Пять процентов скидки, если вы дадите нам свое имя и адрес и позволите проследить ваши привычки в покупках». Посмотрите, сколько клиентов предпочитает анонимность. Люди скажут, что они не хотят попасть в мегабазы данных, прослеживающие каждую их денежную трату, но желают получить такую симпатичную карту постоянного клиента, которая предоставляет все возможности выиграть бесплатное путешествие на Гавайи (одно на тысячу карт). Если Макдоналдс предлагает три бесплатных Биг-Мака за образец дезоксирибонуклеиновой кислоты, то значит, что на это есть причина.
С другой стороны, поднимите цену, сказав: «Пять процентов скидки, если вы сообщите нам название и адрес школы вашего ребенка», и вы, вероятно, увидите другую реакцию. Есть некоторые вещи, которые большинство людей хотят сохранить в секрете, и есть люди, которые хотят держать в секрете большинство вещей. Всегда будет существовать стиль швейцарского банка – анонимной платежной системы для богатых, которые готовы нести расходы за сохранение секретности. Но средний потребитель далек от богатых. Среди средних потребителей есть некоторые исключения, но вообще-то они не заботятся об анонимности. А у банков нет никакой причины предоставлять им ее, особенно если правительство не заставляет их этого делать.
Медицинская анонимность
А еще существуют медицинские базы данных. С одной стороны, медицинские данные только полезны, если использовать их по назначению. Доктора должны знать историю болезни своих пациентов, а общие медицинские данные нужны для всех видов исследований. С другой стороны, медицинская информация рассказывает о пациенте без прикрас: генетическая предрасположенность к болезням, аборты и репродуктивное здоровье, эмоциональное и психическое здоровье, злоупотребление наркотиками, сексуальные реакции, болезни, переданные половым путем, ВИЧ-статус, физические отклонения. Люди имеют право хранить медицинские данные о себе в секрете. После того как личная медицинская информация обнародована, людей могут беспокоить, угрожать им и даже обстреливать.Эту информацию получить нетрудно. Медицинские записи о Николь Браун Симпсон были опубликованы через неделю после ее убийства в 1994 году. А в 1995–м Лондонская Sunday Times сообщила, что цена каждой медицинской записи в Англии составляет 200 фунтов стерлингов. И если так обстоят дела в богатых странах, то вы только вообразите, какие злоупотребления могут стать возможными в странах типа Индии и Мексики, где сумма в 10 долларов способна соблазнить даже наиболее добродетельного государственного служащего.
Компьютеризированные данные пациентов плохи с точки зрения секретности. Но они хороши для всего остального, так что их сбор неизбежен. В Законе о мобильном и общедоступном страховании здоровья (HIPAA) теперь есть стандарты для компьютеризированных медицинских записей. Они делают информацию легко доступной там, где в этом есть необходимость, что удобно для населения, которое реже пользуется услугами семейного доктора и чаще ездит по всей стране, посещая различных докторов и клиники в случае необходимости. Специалисты могут легко получать нужные данные. Так же поступают и страховые компании, потому что такие данные более содержательны, более стандартизированы и более дешевы для обработки: если все данные электронные, то проверять клиентов будет дешевле. Это лучше и для исследователей, потому что позволяет им эффективнее использовать доступную информацию: впервые они могут смотреть на все в стандартной форме.
Это большое мероприятие, вероятно, столь же важное, как ранее упомянутые финансовые и кредитные базы данных. Как общество мы окажемся перед необходимостью сбалансировать потребность в доступе (который более очевиден для медицинской, чем для финансовой информации) с потребностью в секретности. Так или иначе, компьютеризация приходит в медицину. Мы должны быть уверены, что все сделано правильно.
Секретность и правительство
Правительство и ФБР, в частности, любят изображать частную секретность чудовищным инструментом четырех всадников Апокалипсиса: террористов, торговцев наркотиками, тех, кто отмывает деньги, и тех, кто занимается детской порнографией. В 1994 году ФБР протаскивало через Конгресс законопроект о цифровой телефонной связи, согласно которому телефонные компании должны были бы установить на своих коммутаторах оборудование, позволяющее легко подключаться к любой линии. После таранов Центра международной торговли оно продвигало законопроект о всесторонней борьбе с терроризмом, который дал бы ему полномочия проводить прослушивание телефонных переговоров и наделил бы Президента властью единолично объявлять политические группы террористическими организациями. К счастью, это не прошло. После падения из-за взрыва топливного бака самолета в 1996 году ФБР играло на слухах о том, что это было попадание ракеты, и принимало ряд мер, которые разрушали частную секретность. Оно продолжает лоббировать предоставление правительственного доступа ко всем шифровальным ключам или ослабление защиты до того уровня, когда она уже не будет играть никакой роли.В течение нескольких последних десятилетий развитие компьютерной секретности в Соединенных Штатах было ограничено тем, что называется экспортными законами. Экспортные законы определяют те виды шифрования, которые компании США могут экспортировать. Так как большинство программных продуктов распространено по всему миру, такие законы значительно ограничивали эффективность шифрования в массовых программах, подобных браузерам и операционным системам[16].
В 1993 году американское правительство отстояло так называемый «Клиппер-Чип», который будет обсуждаться подробно в главе 16. Это система, которая дает полицейским доступ к вашим ключам кодирования.
Дебаты продолжаются. ФБР стремится к узакониванию прав, нарушающих секретность: прослушиванию широкополосных телефонных сетей, установке подслушивающих устройств в компьютеры пользователей без ордера везде, где возможно. Во время написания книги у нас появились новые экспортные правила для программного обеспечения, представленного на массовом рынке, разнообразие законопроектов либерализации шифрования находится в Конгрессе, и несколько дел о контроле над экспортом направлены в Верховный суд. Изменения происходят постоянно; что-либо сказанное мной здесь может устареть к моменту издания книги.
Также интересны (и бесконечны) философские проблемы. Первое – правильно ли думает правительство, когда оно предполагает, что социальные беды от секретности перевешивают социальные преимущества? В предыдущем разделе я приводил доводы, что преимущества анонимности перетягивают связанные с ней проблемы. То же самое с секретностью. Она чаще всего применяется там, где нужно, и положительных сторон ее использования намного больше, чем отрицательных.
Второе – может ли правительство закупать технологию, которая совершенно очевидно приносит большие социальные выгоды, но, с другой стороны, некоторым образом препятствует законному принуждению, так что, по идее, необходимо ограничивать ее использование? Ключевой козырь ФБР – это шифрование, являющееся большой помехой для расследования уголовных дел, так как ФБР имеет те же самые возможности подслушивания, что и десять лет назад. Однако подслушивание не обеспечивает доказательств, и история убедительно показывает, что перехват – это нерентабельный метод борьбы с преступностью. Широко распространенное шифрование может быть шагом назад в осуществлении механизмов законного принуждения, но не в обвинении преступников.
Я не знаю ответов. Существует равновесие между секретностью и безопасностью. Законы, которые регламентируют розыскную деятельность и соблюдаются должным образом, препятствуют юридическому принуждению, и это может кончиться тем, что некоторые преступники получат свободу. С другой стороны, эти законы защищают граждан от злоупотреблений полиции. Мы, как общество, должны решить, какое равновесие является правильным для нас, и затем создать условия для законного проведения его в жизнь. Но я громогласно возражаю против ФБР, старающегося насадить выгодное ему решение без общественного обсуждения и без общественного понимания.
В любом случае будущее не оптимистично. Право на секретность – это первое, чем пренебрегают в случае кризиса, и ФБР попробует сфабриковать кризисы, чтобы попытаться захватить большее количество полномочий для вторжения в секретность. Война, террористические нападения, полицейские акции… наверняка вызовут большие изменения в точках зрения. И даже сейчас, в обстоятельствах, наиболее способствующих аргументированным дебатам о секретности, мы теряем ее все больше и больше.
Аутентификация
Секретность и анонимность могут быть важны для нашего общественного и делового благосостояния, но аутентификация необходима для выживания. Аутентификация, давая информацию о том, кому можно и кому нельзя доверять, служит непрерывному возобновлению отношений, придающих смысл сложному миру. Даже животные нуждаются в аутентификации запаха, звука, касания. Возможно, сама жизнь – это распознавание молекулярного состава ферментов, антител и т. д.Люди аутентифицируют себя огромное количество раз в день. При входе в компьютерную систему, вы подтверждаете свою подлинность компьютеру. В 1997 году управление социального обеспечения пробовало ввести данные людей в сеть; они прекратили это после жалоб на то, что номер социального обеспечения и девичья фамилия матери не являются достаточно хорошими опознавательными средствами и что у людей будет возможность читать данные других людей. Компьютер также должен подтвердить свою подлинность вам; в противном случае как вы узнаете, что это ваш компьютер, а не какой-нибудь самозванец?
Посмотрите на среднего человека на улице, собирающегося купить пирог. Он рассматривает витрину за витриной, ища тот магазин, в котором продают пироги. Или, возможно, он уже знает свою любимую булочную, но еще только идет туда. В любом случае, когда он добирается до магазина, он подтверждает подлинность того, что это – правильный магазин. Аутентификация сенсорная: он видит пироги в меню, чувствует их запах в воздухе, магазин выглядит точно так же, как тогда, когда он последний раз был в нем.
Человек говорит с продавцом магазина и спрашивает о пироге. В некоторой степени оба аутентифицируют друг друга. Продавец хочет знать, способен ли клиент заплатить. Если клиент одет в тряпье, продавец может попросить, чтобы он ушел (или, по крайней мере, заплатил сразу). Если клиент носит лыжную маску и размахивает АК-47, продавец, скорее всего, убежит сам.
Клиент также аутентифицирует подлинность торговца. Он на самом деле продавец? Он продаст мне пирог или даст мне только кучу опилок в булочке? Что сказать о булочной? В наличии есть некое свидетельство о чистоте, подписанное местным санитарным инспектором, оно висит где-то на стене, если вдруг клиент захочет проверить. Но чаще клиент доверяет своим инстинктам. Мы все уходим из булочной, если нам не понравилось «ощущение» этого места.