Нет никакого сомнения, что это прекрасно понимают и в Microsoft. Однако для бизнеса корпорации модель монокультуры обеспечивает наибольшую прибыль, а потому и в текущих разработках ПО делается все возможное для сохранения и закрепления статус-кво. Авторы отчета, доказывая, что всякая инфраструктура может считаться безопасной лишь при условии, когда на одну «культуру» приходится не более 50% общей массы, и одновременно понимая, что по собственной воле Microsoft вряд ли когда-нибудь озаботится всеобщим благом, решили обратиться с призывом к органам власти. В сложившихся условиях, уверены авторы, государство и общество должны настоять, чтобы корпорация Microsoft сделала по крайней мере три шага к созданию более разнообразного и безопасного киберпространства:

1) Открыто опубликовала спецификации интерфейсов ко всем основным функциональным компонентам своего ПО, как MS Windows, так и MS Office.

2) Поощряла разработку альтернативных источников функциональности платформы — взяв за образец крайне успешную технологию «plug and play» для аппаратных компонентов. 3) Совместно с широким консорциумом поставщиков «железа» и ПО разрабатывала открытые спецификации и интерфейсы на будущее, подобно тому, как в интернет-сообществе создаются новые протоколы для Сети…

Каковы же основные итоги этой интересной публикации? Лично для главного автора Дэна Гира все закончилось немедленным — в ту же неделю — увольнением с высокого поста в @stake, поскольку головным бизнес-партнером фирмы была корпорация Microsoft. Государственные структуры США в открытую не прореагировали на «КиберНебезопасность» практически никак. Но втихую Национальный научный фонд вскоре выделил многомиллионный грант исследовательскому центру CyLab при Университете Карнеги-Меллона — на изучение проблем инфобезопасности в условиях софтверной монокультуры. Грубо говоря, перед CyLab поставили задачу по поиску своего рода презервативов для «безопасного секса» между компьютерами в условиях общей для всех программно-операционной платформы. Судя по всему, сколь-нибудь заметных успехов на этом поприще достичь пока не удалось.

Другое многообещающее направление, активно разрабатываемое ныне в качестве более эффективной альтернативы традиционным — и, похоже, тупиковым — взглядам на защиту сетей, тесно связано с развитием экономических моделей и стимулов. То, что традиционные воззрения на обеспечение инфобезопасности не ведут никуда, кроме тупика, свидетельствуют многие факты, не подлежащие сомнению.

В частности, всякое усложнение программы (количество строк кода) напрямую связано с возрастанием рисков, поскольку сложность системы — главный враг ее безопасности. Ожидать упрощения программ в обозримом будущем абсолютно нереалистично. А значит, будут постоянно плодиться опасные и трудные для выявления баги-уязвимости, в связи с чем неиз бежны частые выпуски патчей-заплаток, которые тянут за собой новые баги, а значит — новые заплатки к уже выпущенным патчам. Причем конца этой нудной и всем опостылевшей тягомотине не видно.

С другой стороны, в экономике давно и хорошо известно, что в тех случаях, когда сторона, отвечающая за безопасность системы, непосредственно не страдает от того, что защита не срабатывает, практи— чески наверняка можно ожидать появле-ния серьезных проблем. Очень ярко и наглядно это просматривается на примере индустриальных предприятий, загрязняющих окружающую среду. Никакие протесты, уговоры и абстрактные угрозы не имеют на них абсолютно никакого воздействия. Но зато когда в государстве принимаются законы, наказывающие конкретных отравителей экологии очень серьезными штрафами и уголовными преследованиями виновных, тогда появляются реальные стимулы. И тут уже защита природы начинает волновать не только озабоченную нечистотами общественность, но и гадящую под всех промышленность.

Эту же картину без особого труда можно спроецировать и на мир инфотехнологий, поскольку инфобезопасность тоже является очень важным для общества потребляемым ресурсом, пусть и довольно своеобразным.

Но с тем принципиальным отличием, что здесь поставщики систем безопасности (программных и аппаратных средств, сетевых сервисов) по сию пору не несут практически никакой материальной или уголовной ответственности за допущенные в их продуктах баги и «дыры». На эту тему в последние годы много пишут и выступают уже упоминавшийся Брюс Шнайер и кембриджский профессор Росс Андерсон. Как подчеркивают эти и другие авторы, доходящая до абсурда ситуация с бесконечным латанием постоянно плодящихся дыр неизбежно будет продолжаться до тех пор, пока у компаний не появятся ощутимые стимулы, повышающие их ответственность за безопасность выпускаемой продукции и предоставляемых сервисов.