Честно говоря, Microsoft изначально не стремилась создавать программы для управления критическими системами. Ее целью было вывести на рынок продукт с минимальными затратами на производство. Тогда она не видела причин вкладываться в процессы, гарантирующие и контролирующие качество, чего требовало НАСА от программного обеспечения космических полетов. Проблема в том, что люди начали использовать продукцию Microsoft в критических системах, от платформ Министерства обороны до основных банковских и финансовых сетей. Эта продукция была гораздо дешевле специально разработанных программных приложений. Время от времени в правительстве возникает стремление к повышению эффективности, на фоне которого внимание правительственных организаций привлекают экономичные подходы, используемые в промышленности. Пример тому — COTS. Идея заключалась в том, чтобы заменить коммерческими коробочными программными продуктами (COTS) специализированное программное обеспечение, которое раньше приходилось заказывать. На протяжении холодной войны Пентагон инициировал появление многих таких технологических новшеств. Помню, как мне рассказывали о фотоаппаратах без пленки, которые разрабатывались для правительства. (Я не мог понять, как он будет работать, до тех пор, пока не купил такой в Best Buy[12] десять лет спустя.) Сначала технология разрабатывалась в военных целях, затем проникала в коммерческую сферу. COTS перевернул этот процесс с ног на голову. До 1990-х большая часть используемых в Пентагоне программных средств изготавливалась под заказ собственными силами или немногочисленными доверенными военными подрядчиками. Не существовало двух одинаковых систем, что отвечало интересам производителей. Системы, которые они разрабатывали, стоили чрезвычайно дорого. Это очень осложняло возможность взаимодействия между разными структурами. COTS снизило затраты и позволило Пентагону использовать совместимые системы, поскольку все они писались на одних языках программирования и на базе одинаковых операционных систем. Разрабатывалось все больше и больше программных приложений. Была создана глобальная информационно-управленческая сеть GIG из 5,5 миллиона компьютеров. Сетецентричные приемы ведения войны обеспечивали огромные преимущества американским военным, но вместе с тем и делали нас невероятно уязвимыми.
COTS перенес в Пентагон те же баги и уязвимые места, что есть в наших домашних компьютерах. В1997 году ВМФ США убедился, как опасно порой полагаться на эти системы в проведении боевых операций. Военный корабль Yorktown был использован в качестве испытательного полигона в рамках программы ВМФ «Умный корабль». Yorktown оборудовали сетью из 27 рабочих станций на процессорах Pentium и под управлением операционной системы Windows NT. Работу станций координировал сервер, на котором также была установлена ОС Windows. Система контролировала все аспекты деятельности корабля, начиная с наводки орудия и заканчивая скоростью вращения двигателя. Когда система дала фатальный сбой, как часто бывает с Windows, крейсер превратился в плавающую консервную банку.
После инцидента с Yorktown и других сбоев систем на базе Windows Пентагон обратил внимание на Unix и созданные на его основе системы Linux. Linux — система с открытым кодом. Это значит, что пользователь может редактировать код операционной системы. У Windows (и большинства других коммерческих программных продуктов) исходный код считается собственностью разработчика и тщательно защищен. Открытый код дал бы Пентагону ряд преимуществ. Во-первых, программисты Пентагона и военные подрядчики могли бы модифицировать программное обеспечение под собственные нужды. То есть изменить код так, чтобы устранить ненужные фрагменты операционной системы и тем самым избавиться от лишних багов. Во-вторых, сократив размер операционной системы, они могли бы с помощью специальных средств проверить остальные строки кода на предмет обнаружения багов, вредоносного кода и прочих уязвимостей.
Microsoft вышла на тропу войны, чтобы замедлить переход правительственных организаций на Linux, и организовал ряд выступлений перед постоянными комитетами (выступал даже сам Билл Гейтс). Тем не менее, поскольку правительственные организации уже использовали Linux, я попросил Агентство национальной безопасности оценить ситуацию. АНБ, немало удивив сторонников открытого кода, влилось в их ряды, публично указав «координаты» ошибок в операционной системе Linux с целью улучшения ее безопасности. Из Microsoft мне дали понять, что если американские власти будут содействовать Linux, Microsoft прекратит с ними всякое сотрудничество. И если меня это не пугало, то на других могло оказать влияние. Программное обеспечение Microsoft до сих пор приобретает большинство федеральных ведомств, несмотря на то что Linux распространяется бесплатно.
Банки и финансовая промышленность тоже начали искать альтернативные системы с открытым кодом после неоднократных сбоев в системах Microsoft, которые стоили им по несколько сотен миллионов долларов в год. В 2004 году банковская группа Financial Services Roundtable отправила делегацию банковских специалистов по компьютерной безопасности в Редмонд (штат Вашингтон) на встречу с представителями Microsoft. Они потребовали доступа к программному коду. Им отказали. Они потребовали предоставить им требования к качеству программного продукта, которыми пользуется Microsoft, чтобы сопоставить их с нормами других производителей программного обеспечения. Им отказали. Отношение Microsoft к американским банкам противоречит объявленной в 2003 году программе. В соответствии с этой программой Microsoft должна предоставлять участвующим в ней национальным и международным организациям доступ к исходному коду — так Microsoft ответила на претензии по поводу безопасности своей операционной системы. Первыми участниками этой программы были Россия, Китай, НАТО и Великобритания. Банки пригрозили переходом на Linux. Microsoft ответила, что это будет стоить очень дорого. Более того, сейчас разрабатывается новая версия Windows с кодовым названием Longhorn, и она будет гораздо лучше. Longhorn вышел под именем Vista. Vista появилась в продаже позже обещанного срока в связи с обнаружением дефектов в тестовой программе. Затем с проблемами столкнулись корпоративные пользователи. Молва шла, и многие компании решили не переходить на новую операционную систему. В ответ на это Microsoft заявила, что прекратит поддержку предыдущих систем, заставляя клиентов пойти на замену ОС.
Сотрудники Microsoft признавались, что компания не воспринимала проблемы безопасности всерьез, даже когда подвергалась хакерским атакам. Да и с какой стати? Реальной альтернативы программному обеспечению Microsoft не существовало, и компания купалась в деньгах. Когда появился Linux, а затем Apple стал непосредственным конкурентом, в Microsoft действительно предприняли меры по улучшению качества. Но сначала они наняли множество делегатов и лоббистов, которые выступали на конференциях, перед клиентами, в правительственных организациях и ратовали против совершенствования в сфере безопасности. Для Microsoft гораздо дешевле нанять делегатов и лоббистов, чем разрабатывать более безопасные системы. Это одна из нескольких влиятельных компаний, которых устраивает нынешнее положение вещей и которым невыгодны какие-либо перемены.
6. А я думал, вы этим занимаетесь
Перемены, однако, происходят. Вслед за Соединенными Штатами все больше стран создают наступательные кибервоенные организации. Киберкомандование США несет дополнительную оборонительную миссию — защищать Министерство обороны. Но кто защитит все остальное?
Министерство национальной безопасности защищает федеральные власти США, не имеющие отношения к Министерству обороны. Всем остальным приходится полагаться только на себя. Не существует федерального ведомства, в задачу которого входит защищать банковскую систему, транспортные сети или энергосистему страны от кибератак. Киберкомандование и МНБ полагают, что, защищая правительственных клиентов, они тем самьм немного помогают и частному сектору. Власти считают, что задача обороны частных корпораций лежит на них самих. Правительственные чиновники скажут вам, что частный сектор все устраивает, — он не хочет, чтобы власти вмешивались в его системы. В конце концов, никто в правительстве не знает, как управлять банковскими сетями, сетями железных дорог или энергосистем. Старшие менеджеры крупных компаний (занимающиеся программным обеспечением, безопасностью, связями с общественностью, информационной безопасностью) заявят примерно то же самое: мы готовы тратить на компьютерную безопасность, чтобы защитить себя от киберпреступности, которая грозит нам повседневно.
Однако нельзя от нас ожидать, чтобы мы знали, как защититься от кибервойны в государственном масштабе. Затем они добавляют что-то вроде: «Защита от вооруженных сил других стран — задача государства, за это мы и платим налоги».