Образ хакера, преобладающий в массовой культуре и новостях — злобный малолетний техноволшебник, имеющий желание и возможность причинить огромный ущерб невинным гражданам и обществу в целом — имеет мало общего с реальностью. Эта искаженная картина направляет внимание и ресурсы на борьбу с призраками вместо того, чтобы решать гораздо более распространенные проблемы с безопасностью данных. По информации Privacy Rights Clearinghouse, утеря или неправильная утилизация бумажных документов, флешек, ноутбуков и компьютеров стала причиной более чем 1400 утечек данных с 2005 года — почти половина всех зарегистрированных случаев. В результате этих утечек было скомпрометировано больше 180 миллионов индивидуальных записей, включающих имена, номера социального страхования, адреса, номера кредиток и другое. Сравните это с 631 инцидентом за этот же период, причиной которого стали хакеры или вирусы. Гораздо больше шансов, что ваши приватные данные попадут в чужие руки из-за того, что кто-то забудет служебный ноутбук в вагоне метро, чем по вине взломщика.
Еще одна серьёзная угроза — инсайдеры или обиженные сотрудники. Недавний опрос, проведенный The Wall Street Journal, показал, что 71% менеджеров IT-департаментов считают эту угрозу самой опасной.
И, наконец, недавняя утечка базы паролей linkedIn показывает, что самая большая угроза нашей безопасности — мы сами: больше двух третей паролей на LinkedIn были короче восьми символов, и только один процент паролей содержал буквы в обоих регистрах, цифры и спецсимволы.
Но, похоже, реальным угрозам тяжело конкурировать с хакерами в головах людей, которые пишут законы. Хакер — современный бабай, воплощающий все наши страхи перед технологиями — находится в центре внимания. В результате принимаются всё более параноидальные законы, мешающие свободному и приватному общению в сети, отнимающие у нас контроль над технологиями и подвергающие нас риску необоснованного преследования и чересчур агрессивных процедур расследования и слежки. Акт о компьютерном мошенничестве и злоупотреблении (CFAA) — краеугольнй камень американского законодательства по компьютерным преступлениям, полон слишком широких обобщений и нечетких определений. С момента принятия в 1986 году этот акт стал причиной множества путанных прецедентов и преувеличенных обвинений. Министерства обороны и внутренней безопасности США используют страхи перед технологическими угрозами чтобы добиваться увеличения финансирования и проталкивать законы (такие, как небезызвестные SOPA и CISPA), которые могут иметь ужасающие последствия для наших прав. Чтобы защитить свободу слова и приватность в интернете нам стоит серьёзно пересмотреть своё отношение к мрачному образу хакера, который служит оправданием для расширения полномочий спецслужб.
Образ хакера в массовой культуре развивался по мере того как менялось наше отношениие к технологии. В фильме 1983 года «Военные игры» хакер предстал в образе ребенка, движимого интересом и любознательностью, который по неосторожности нарушил работу военного суперкомпьютера. Последующие воплощения, в фильмах «Хакеры», “Тихушники”, «Золотой глаз» и “Крепкий орешек 4” стали куда опаснее и действовали умышленно, вламываясь в компьютерные системы и нанося непоправимый ущерб несчастным жертвам. Хакер в американсоком фильме почти всегда белый мужчина, из среднего класса, психологически незрелый, асоциальный и мстительный. Им движет эгоизм или проблемы со психикой. В основе сюжета таких фильмов — апокалиптическая техно-паранойя, вера в полный контроль хакера над любыми технологиями в мире.
Новостные сюжеты следуют этому же штампу массовой культуры. Обитающий в тёмном подвале хакер — главный злодей вечерних новостей и первых полос газет, независимо от того, насколько этот образ близок к реальности. Слово «взлом» используется как универсальный термин для любого киберпреступления или инцидента, независимо от способа его совершения и квалификации «взломщика». Журналисты часто путают потенциальную уязвимость и реально произошедший взлом, принимая новости с конференций по компьютерной безопасности, имеющие скорее академическое значение, за реально осуществлённые взломы систем и алгоритмов. Последний писк моды — группа Anonymous, новости о которой подливают масла в огонь технологической паранойи и, как писал Иохай Бенклер в недавней статье в “Foreign affairs”, стирают различия между электронным гражданским неповиновением и киберпреступностью, нанося тем самым огромный вред самой идее политической активности в интернете.
Хакер таится в глубине сети, он — неуловимая угроза, он способен нанести удар, находясь на другой стороне планеты. Его патологическую страсть к технологиям, его первобытную тягу ко взлому невозможно обуздать. Он асоциален и ему наплевать на рамки поведения нормальных людей, его интересует лишь общество других хакеров, стремящихся превзойти друг друга в инфантильной страсти к вандализму в интернете. Добавьте в этот коктейль сверхчеловеческие способности манипуляции любой железкой, способной выполнять хоть какой-то код, и вот оно — современное пугало, от которого нужно защитить общество любой ценой.
Для защиты общества и государства от угрозы, исходящей от этого воображаемого врага, правительство США принимает чересчур широкие и мутно написанные законы и правила, которые серьёзно подрывают свободу в интернете и ставят под угрозу его роль площадки для политических дискуссий и творческого самовыражения. Пытаясь переиграть злобных хакеров, такие законы как CFAA ставят во главу угла определённые действия в сети, придавая куда меньше значения умыслу или реальному ущербу от них. Это ведет к тому, что множество вполне невинных действий потенциально могут преследоваться по закону. Когда основой политики в отношении свободы, приватности и доступа в интернет становится подозрительность и боязнь хакеров, появляются такие законопроекты, как CISPA, который, если станет законом, будет иметь разрушительные последствия для приватности онлайн. Демонический образ хакера из новостей и кинобоевиков служит демонстративной мишенью и оправданием таких законов и правил. Вместо призрачных хакеров они будут делать нас преступниками и соучастниками, путая технические знания и навыки с намерением причинить вред, как было в деле Брета МакДэнела, который отсидел 16 месяцев за то, что разослал несколько тысяч писем с сообщением о дыре в почтовом сервере, после того как компания-производитель проигнорировала все предупреждения об угрозе.
Строить государственную и корпоративную политику на образе стереотипного кинозлодея — в лучшем случае неэффективно, а в худшем — преступно. В сети полно реальных угроз, от забытого в автобусе ноутбука или наплевательского и неграмотного отношения к безопасности до всё более реальной опасности кибервойны между государствами. Если бросить непропорционально много сил на борьбу с хакерами, то не останется ни времени, ни ресурсов на преодоление реальных угроз. Закрывая файлообменники, вводя уголовную ответственность за джейлбрейки, моддинг и нарушение условий использования, ограничивая возможность анонимных высказываний в сети, правительство и спецслужбы извлекают максимум выгоды из атмосферы страха и зря тратят государственные и корпоративные ресурсы. К счастью, некоторые судебные процессы последних лет, такие как дело Дэвида Нозала уже сужают область действия CFAA, что дает нам надежду на то, что интернет может регулироваться более адекватными реальности методами.
Чтобы выработать разумные правила игры в Интернете, надо отбросить стереотип хакера, как главного источника угрозы. В последние годы интернет становится основным пристанищем для свободных политических дискуссий, как в США, так и во всём мире. Интернет используется для обмена идеями, организации протестов и свержения диктаторов. Мы дорого ценим свободу слова здесь, у себя в стране. Но законы США, регулирующие интернет, имеют непропорционально большое влияние на остальной мир. Мы должны спросить у себя, хотим ли мы, чтобы следующая Арабская весна была зарегулирована до смерти правилами, принятыми для борьбы с несуществующей угрозой?