Безопасность и здравый смысл
Дата: 29.03.2005Источник: Zdnet.ru
Автор: Брюс Шнайер
Правительство США десятилетиями создавало систему для работы с военными секретами.Информация может засекречиваться под грифами Confidential, Secret, Top Secret или по одной из многих разновидностей еще более высокой степени секретности.
К работе с секретной информацией применяются строгие процедуры: секретные вопросы нельзя обсуждать по нешифрованным телефонным линиям, секретную информацию нельзя обрабатывать на незащищенных компьютерах, секретные документы должны храниться в сейфах и т. п. Строгость этих процедур оправдывалась наличием высокомотивированного, хорошо финансируемого и технически сведущего предполагаемого противника: Советского Союза.
Можно спорить с мнением правительства о том, что надо засекречивать, а что нет, или о том, сколько времени должна оставаться засекреченной та или иная информация. Но если принималось решение, что тема должна быть засекречена, то применение соответствующих процедур имело смысл.
В 1993 году правительство США ввело новую категорию секретных данных, не подпадающую под действие Закона о свободе информации, – Sensitive Security Information (SSI). По определению вашингтонского суда, информация этой категории могла относиться только к безопасности авиапассажиров. В 2002 году данный класс был существенно расширен: Конгресс исключил слова «авиа» и «пассажиры» и заменил термин «личная безопасность» (safety) просто «безопасностью» (security). Теперь под этот зонтик подведено очень много информации.
Правила работы с информацией SSI гораздо менее строги, чем правила работы с традиционной секретной информацией. Чтобы получить доступ к последней, необходимо оформить специальный допуск. Чтобы получить доступ к информации SSI, достаточно подписать соглашение о неразглашении (NDA). В случае разглашения секретной информации виновному грозит уголовное преследование. В случае разглашения информации SSI он отделается административным взысканием.
SSI может пересылаться по нешифрованной электронной почте; достаточно, чтобы файл был защищен паролем. Документы SSI можно брать с собой домой, читать в самолете и обсуждать в общественных местах. Люди, владеющие информацией SSI, не должны передавать ее тем, кому она не предназначена, но на самом деле это остается на их совести. По существу, данная категория ближе к корпоративной конфиденциальной информации, чем к государственным военным секретам.
Правительство США было вынуждено ввести этот уровень секретности, учитывая род информации, с которой приходится работать. Например, к категории SSI относятся списки подозреваемых в терроризме. Если список попадет не в те руки, это навредит национальной безопасности.
Однако подумайте, сколько людей должно работать с таким списком. Его копия должна присутствовать на борту каждого самолета, чтобы ее можно было сверять со списком пассажиров. И не только на внутренних рейсах, но и на международных – включая авиалинии тех стран, которые могут быть не согласны с американской государственной политикой. Доступ к списку должен быть у полицейских отделений, как внутри страны, так и за рубежом. По моим оценкам, доступ к этому списку имеют более 10 тыс. человек, и нет никакой физической возможности оформить всем им допуск. Либо правительство США ослабит правила в отношении тех, кто может быть допущен к списку, либо список не будет использоваться надлежащим образом.
С другой стороны, сама угроза имеет совершенно иной характер. Военные уровни секретности и процедуры разрабатывались в эпоху холодной войны и отражали советскую угрозу. Террористы гораздо более разобщены, намного хуже финансируются и не так хорошо оснащены в техническом отношении. Когда имеешь дело с противником подобного рода, правила SSI действительно подходят лучше, чем военные.
Я одобряю правила SSI правительства США. Можно спорить о том, какая именно информация должна содержаться в секрете и как такие категории, как SSI, можно использовать для засекречивания действий правительства. Но если секретность должна соблюдаться, то SSI определяет разумный набор правил для защиты информации против новой угрозы.
Об авторе:
Брюс Шнайер – главный технолог компании CounterPane Internet Security и один из самых известных экспертов по безопасности. Его последняя книга называется «Без страха. Взвешенные суждения о безопасности в переменчивом мире».
