Это не призыв к крайним мерам, к которым прибегали в девяностые годы. Дэвид Смит, создатель вируса Melissa, может получить от пяти до десяти лет тюрьмы[74]. Кевин Митник получил и отсидел почти пять лет, и ему запрещено пользоваться компьютером еще три года. (Все его навыки связаны с компьютерами, но ему запретили читать лекции по предмету. Чиновник, занимавшийся его досрочным освобождением, предлагал получить работу в Arby.) Кевину Поулсону был вынесен аналогичный приговор. Китайское правительство приговорило хакера к смерти за взлом банковского компьютера и похищение 87 000 долларов. (По правде говоря, в Китае казнят всех грабителей банков.) Помнится, на американском Западе в начале XIX века конокрадов часто отправляли на виселицу. Общество хотело этим показать, что не потерпит конокрадства. Правительства европейских стран продемонстрировали такое же отношение к террору в начале 70-х, когда террористов начали расстреливать на улицах. Тем самым они предельно ясно объявили: «Мы больше не играем в игры». Чрезмерно суровые приговоры, выносимые хакерам, связаны с панической реакцией общества на новую угрозу.

Это также не воззвание к тому, чтобы объявить вне закона любых исследователей или хакеров, практику «полного раскрытия» или отменить право оценивать надежность средств безопасности. Законы Соединенных Штатов запрещают «обратное проектирование» (reverse engineering) систем защиты от копирования. Индустрия развлечений вовсю лоббирует эти драконовские законы, чтобы с их помощью скрыть недостатки защиты своих продуктов. Ни в одной другой отрасли промышленности производители не пытаются запретить покупателю исследовать товар, чтобы понять, как он работает. Никакая другая промышленность не пытается помешать оценивать качество ее изделий по схеме «Отзывы потребителя». Глупо казнить гонца, принесшего дурные вести.

К чему я призываю, так это к ужесточению судебного преследования людей, вовлеченных в преступную деятельность, и к вынесению справедливых приговоров. Широко распространена такая точка зрения: «Если я сижу спокойно и не поднимаю шума, то никто не побеспокоит меня». Компании неохотно преследуют компьютерных преступников, потому что боятся мести. Действительность же такова, что до тех пор, пока мы не начнем преследовать преступников, они будут и далее распространять средства нападения и взламывать сети. Как только мы начнем наказывать их, хакерство перестанет быть столь привлекательным делом. Это не идеальное решение, так как хакеры, скорее всего, уйдут в подполье, но ситуация все же изменится. Применение в семидесятые годы жестких мер против терроризма имело два положительных эффекта: неисправимые террористы были вынуждены действовать с большей осторожностью, а другие просто сложили оружие.

Абсолютной безопасности не существует, но не всегда это является проблемой. Только в Соединенных Штатах индустрия кредитных карточек теряет из-за мошенничества 10 миллиардов долларов в год, но ни Visa, ни MasterCard не собираются сворачивать бизнес. Ущерб от краж в магазинах Соединенных Штатов составляет от 10 до 26 миллиардов долларов в год, но при этом «утруска» (как это называется) редко становится причиной закрытия магазинов. Недавно мне понадобилось заверить документ у нотариуса: эта процедура использует самый слабый «протокол безопасности», который я видел когда-либо. Однако она прекрасно служит тем целям, ради которых была разработана.

После того как вы определили угрозы, вам предстоит сделать выбор: смириться с риском, постараться снизить его или застраховаться. Если нельзя полностью обезопасить себя, нужно управлять риском. Компании, выпускающие кредитные карточки, понимают это. Ущерб от мошенничества известен. Известно также, что потери, связанные с оплатой по телефону, приблизительно в пять раз больше потерь при непосредственных расчетах по сделке с использованием кредитной карточки и что потери от сделок в Интернете еще вдвое больше. (Многие издержки от фальшивок типа «карта не настоящая» несут торговцы, которые неактивно обращались за помощью при предъявлении счета.) Они выдвигают альтернативы Интернету, такие как SET, именно ввиду повышенного риска.

Закрытая система, подобная этой, – исключение. Мое первичное опасение относительно киберпространства состоит в том, что люди не понимают опасностей и слишком верят в способность технологии устранить их. Киберпространство где-то копирует физический мир, а где-то разительно от него отличается (см. главу 2). И продукты безопасности не могут в одиночку решить ее проблемы.