Перевод статьи доктора философии Ивана Аррегин-Тофта

Кибербезопасность — это не переключатель, и автоматизация нашей защиты — защиты компьютерных сетей, национальной обороны — это может как погубить нас, так и спасти.

Кибербезопасность в том виде, в каком мы хотели бы о ней думать, на самом деле невозможно достичь. Это не значит, что мы не должны изо всех сил стараться достичь этого. И это не то же самое, что сказать, что наши дорогостоящие усилия на сегодняшний день были потрачены впустую. Вместо этого, если наша цель состоит в том, чтобы сделать наши взаимодействия в киберпространстве более безопасными, мы должны признать две вещи.

Во-первых, часть наших проблем связана с культурой, которая определяет такие вещи, как успех, победа и безопасность, как дихотомические, а не непрерывные переменные. Подумайте о переключателе, который либо включен, либо выключен. Во-вторых, скорость вредит нам, и призывы заменить людей гораздо более быстрыми и «объективными» машинами будут продолжать набирать обороты, подвергая нас крайнему риску, не повышая ни нашей безопасности, ни благосостояния. Позволь мне объяснить.

[Кибер]безопасность — это не переключатель

Несколько лет назад, когда я был в Норвегии, мне посчастливилось побывать в Норвежском институте обороны. Пока я старался восстановить историю опыта Норвегии под оккупацией Третьим рейхом, мне почти все дни удавалось присоединяться к моим норвежским коллегам за общим обедом. Мои коллеги оказали мне большую любезность, ведя большинство разговоров на безупречном английском языке. Как американский ученый, привыкший проводить исследования за границей, я ожидал, что рано или поздно столкнусь с классическим вводным предложением в форме: «Вы знаете, проблема с вами, американцами, в том, что…». И примерно через месяц мои неизменно вежливые и великодушные коллеги тоже произнесли эту фразу. Но то, чем она закончилась, запомнилось мне с тех пор; и это в то же время подчеркивает основную ценность обучения за границей:

«Вы знаете, проблема с вами, американцами, в том, вы думаете, что у любой политической проблемы есть решение; тогда как мы, европейцы, понимаем, что с некоторыми проблемами нужно просто научиться жить».

Мысль о том, что частью нашей миссии были исследования, направленные на поддержку политики, направленной на решение проблем, никогда не рассматривалась мной как нечто, зависящее от культуры. Но по мере того, как я все больше и больше размышлял над этой идеей, я понял, что небезопасность — и, соответственно, кибернезащищенность — это то, с чем нам, американцам, придется научиться жить.

Эта проблема «переключения» возникает главным образом из-за неустанного проникновения рыночно-капиталистической логики в формулировку и решение проблем. Например, корпорации нанимают консультантов по кибербезопасности, чтобы гарантировать, что их прибыльные операции защищены от взлома, кражи, нарушения работы и т. д. Когда корпорации платят кому-то деньги за решение проблемы, они ожидают «результата»: некоторого эмпирического доказательства того, что корпоративные операции теперь «безопасны». Само собой разумеется, что это же проникновение корпоративной логики — распространенная в основном в Северной Америке идея о том, что управление будет более «эффективным», если руководствоваться корпоративной логикой извлечения прибыли, — также серьезно подорвало эффективность управления.

Кибербезопасность — это не переключатель. Это не то, что «включено» или «выключено», но то, к чему мы можем приблизиться, если у нас есть разумная стратегия. И продвижение к нашему общему идеалу — это то, что мы должны считать успехом.

Автоматизация защиты компьютерных сетей не может спасти нас и может нас уничтожить

Даже если бы мы могли согласиться умерить нашу культурную настойчивость в измерении успеха или неудачи с точки зрения решительного «решения» политических проблем, у нас остался бы другой набор проблем, вызванных главным образом утверждением, что люди слишком медлительны и эмоциональны по сравнению с компьютерами, которые представляются быстрыми (абсолютно да) и объективными (абсолютно нет). Нам нужно бросить вызов этим идеям, потому что вместе они составляют своего рода бинарное оружие, которое ведет нас на очень опасную территорию, в то же время мало что делая для продвижения нас к нашему идеалу «кибербезопасности в наше время».

Итак, первый критический вопрос: при каких условиях скорость является необходимым преимуществом? Вот тут-то и появляются компьютеры. Немногие американцы знают, например, что первая в истории президентская директива по кибербезопасности — NSDD-145 (1984) — была издана президентом Рональдом Рейганом в ответ на просмотр им «Военных игр» Джона Бэдэма (1983). После просмотра фильма, который представляет зарождающийся искусственный интеллектназвал WOPR захватом американской противоракетной обороны и угрозой начать глобальную термоядерную войну, Рейган спросил свою команду национальной безопасности, могут ли события в фильме произойти в реальной жизни. Когда позже на его вопрос был дан утвердительный ответ, администрация Рейгана выпустила NSDD.


Вот ключевой фрагмент диалога из фильма Бэдэма, который начинается после имитации ядерной атаки, в результате которой 22 процента офицеров ВВС отказываются запускать свои ракеты по приказу:

Мистер МакКиттрик: Я думаю, мы должны исключить мужчин из процесса.

Генерал Берринджер: Мистер МакКиттрик, вы не в духе, сэр!

МакКиттрик: Почему это я не в духе?

Кэбот: Подожди. Извините меня. О чем ты говоришь? Что ты имеешь в виду под словом «убрать их из жизни»?

ГЕН Берринджер: Господа, у нас были люди в этих шахтах еще до того, как кто-то из вас посмотрел Howdy Doody. Что касается меня, я довольно хорошо сплю по ночам, зная, что эти мальчики там внизу.

МакКиттрик: Генерал, мы все знаем, что они прекрасные люди. Но во время ядерной войны мы не можем позволить себе, чтобы наши ракеты бездействовали в этих шахтах, потому что эти люди отказываются поворачивать ключи, когда им говорят компьютеры!

Ватсон: Вы имеете в виду, когда им приказывает президент .

МакКиттрик: Президент, вероятно, последует плану компьютерной войны. Теперь это факт!

Ватсон: Ну, я полагаю, объединенный комитет начальников штабов внесет свой вклад?

ГЕН Берринджер: Вот возьмет и внесет!

Кэбот: Черт, если Советы предпримут внезапную атаку, времени не будет…

Хили: Двадцать три минуты от предупреждения до удара. Шесть минут, если он запущен в подзапуске.

МакКиттрик: Шесть минут! Шесть минут. Этого времени едва хватает президенту для принятия решения. Теперь, когда он примет это решение, компьютеры должны взять верх.

Это обсуждение охватывает два важнейших компонента любого обсуждения современной кибербезопасности. Во-первых, это тема «люди слишком медленные», и под «медленными» мы подразумеваем медленные по сравнению с компьютерами. Во-вторых, у людей есть сознание и мораль, а у компьютеров их нет. У компьютеров есть какая-то версия того, что дают им их программисты. Недавние достижения в области глубокого обучения и искусственных нейронных сетей — в частности, базовых моделей — создали впечатление, что машинное сознание и независимое творчество уже здесь или очень близко, но это не так; и более того — и это ключевой момент — все, что придумают эти машины, всегда будет привязано к их программистам, которые, откровенно говоря, в основном остаются молодыми мужчинами из высшего среднего класса и из северного полушария.

Эта невозможность алгоритмической объективности является второй половиной «бинарного оружия», о котором я упоминал ранее: наряду со скоростью алгоритмы, код и тому подобное обещают быть объективными — но они не могут быть. Так что, как напоминают нам математик Кэти Макнил или ученый-компьютерщик (и активистка) Джой Буоламвини, когда вам отказывают в ссуде или работе и задействован алгоритм, то мы остаемся убежденными в том, что он далек от «объективности» в том смысле, в каком мы обычно это понимаем; и  что, скорее всего, было введено какое-то непреднамеренное, но выгодное предубеждение. Например, попросите ИИ показать вам фотографию «привлекательного человека», и «объективный» алгоритм, вероятно, предоставит изображение худой блондинки с большой грудью. Представьте себе развертывание предвзятых алгоритмов в военных приложениях или приложениях кибербезопасности, но также представьте, что ваши сомнения в отношении предвзятости заставляют вас колебаться. Вы были бы в ужасе, если бы менее принципиальный или осторожный соперник в сфере экономики или безопасности, чем вы, развернулся бы и получил бы окончательное преимущество над вами.

Так как применение физической силы в предельной степени никоим образом не исключает сотрудничества с разумом, то отсюда следует, что тот, кто применяет силу беспощадно, без учета связанного с этим кровопролития, должен получить превосходство, если его противник использует меньше энергии при ее применении. Затем первый диктует закон второму, и оба доходят до крайностей, единственными ограничениями которых являются ограничения, налагаемые величиной противодействующей силы с каждой стороны.

Киберпространство вооружается, а корпоративная стратегия использует военные метафоры, поэтому посыл ясен: сдержанность делает вас лохом. С точки зрения политики, это ставит нас перед классической дилеммой: нас забодают в любом случае. Если мы не развернем ИИ, как это сделают наши конкуренты, мы можем потерять все. Но если мы задействуем ИИ, не полностью понимая, как он приходит к своим выводам, но имея необоснованную веру в то, что «он должен быть прав, потому что это математика; это объективно», мы тоже можем все потерять.

Таким образом, сцена « Военных игр » должна также напомнить нам, что конкретная область, в которой скорость считается необходимой добродетелью, — это вооруженный конфликт. Обратите внимание, что возражение Уотсона против идеи о том, что «компьютеры несут ответственность», подразумевает, что между решением и действием должна быть система сдержек и противовесов; анаграмма самой демократии с ее упором на обсуждение и консенсус. Но Кэбот возражает, резонно утверждая, что на войне система сдержек и противовесов является помехой: «времени нет» (современная технология гиперзвуковых ракет еще больше сжимает время).

В Соединенных Штатах представление о том, что мы всегда находимся в состоянии войны, и о ее разрушительном влиянии на демократию во всем мире, возникло под воздействием сокрушительного момента в истории США: 11 сентября. С тех пор у нас никогда не было ощущения, что мы можем «вернуться» к производству стиральных машин и детей, как это было после Второй мировой войны. Мы постоянно мобилизованы, всегда начеку, всегда на войне. А на войне скорость превыше всего имеет смысл (вспомните Блицкриг ). «Постоянная война» также склоняет политику в пользу мировых политических правых, которые утверждают, что система сдержек и противовесов, обдумывание и народный суверенитет подвергают граждан демократических стран слишком большому риску. Что необходимо, так это свободный руководитель, который может действовать быстро.

Конечно, мы не воюем, и поэтому скорость любой ценой может привести к катастрофе с такой же вероятностью, как это было летом 1914 года, когда все основные участники боевых действий считали, что тому, кто ударит первым, гарантирована победа, а ожидание нападения сделало тебя лохом.

Кибербезопасность страдает от все тех же ассоциаций. Как только мы настаиваем на том, что киберпространство является ареной конфликта, скорость любой ценой кажется необходимостью. Автоматизация защиты компьютерных сетей больше не рассматривается как выбор политики, а сводится к вопросу о том, как и когда. Я должен добавить, что если защиту компьютерных сетей можно автоматизировать, то можно автоматизировать и нападения на компьютерные сети, включая шпионаж, преступления и компрометацию систем.

Короче говоря, кибербезопасность, к которой мы стремимся, невозможна. Кибербезопасность — это не переключатель, и автоматизация нашей защиты — защиты компьютерных сетей, национальной обороны — может как погубить нас, так и спасти. Сейчас мы живем в мире по собственному выбору, в котором «палки и камни могут сломать нам кости, но слова также могут причинить нам боль». Как показала массовая стрельба в Увальде, штат Техас, и во многих других, в этом новом мире нет ни доспехов, ни крепостных стен, ни полиции, ни армии, которые могли бы нас защитить. Наряду со все более экстремальными погодными явлениями нам придется научиться справляться с кибервторжениями, начиная от вмешательства в выборы, дезинформации, киберпреступности и угроз для нашей критически важной инфраструктуры. Нам придется научиться быть более самодостаточными и устойчивыми.

Автор — Иван Аррегин-Тофт, доктор философии. В настоящее время преподает стратегию и политику в области войны и кибербезопасности в Институте международных и общественных отношений Уотсона Университета Брауна; где он также является директором по безопасности в отделении международных и общественных отношений бакалавриата. Ранее он был одним из основателей Глобального центра кибербезопасности в Школе Мартина Оксфордского университета; где он работал заместителем директора Dimension 1 (политика и стратегия кибербезопасности) с 2012 по 2015 год.