Подобные
ситуации, когда эгоистичные (или
рациональные, что в данном случае одно и
то же) действия отдельных участников
сообщества по отношению к общественному
ресурсу приводят к краху всей системы,
наблюдаются в компьютерной безопасности
буквально на каждом шагу. Общественным
ресурсом в данном случае является общая
безопасность информационной среды,
стоимость которой распределяется между
участниками. Например, пользователь
локальной сети, купив соответствующее ПО
и упрочив защиту своего компьютера,
повышает общую безопасность.Однако
стимул вкладывать личные деньги, по
сути, в общее дело невелик: возникает
соблазн подождать, когда это сделают
другие (а они этого не сделают по тем же
самым причинам). Аналогичным образом
замена устаревших технологий новыми
безопасными аналогами (например, DNSSEC
вместо существующего DNS) идет
черепашьими темпами: поскольку на
начальном этапе (когда пользователей
новой технологии немного) затраты
велики, каждый участник рынка ждет,
когда их возьмет на себя кто-то другой.
Социальных механизмов борьбы с этим
явлением пока не существует.
Андерсон
приводит еще один пример, связанный с
ответственностью: он касается банков и
их взаимоотношения с клиентами. Если
кто-то украл деньги с какого-то
банковского счета, то виноватым может
оказаться как банк (например,
использовалась небезопасная
инфраструктура для аутентификации
пользователей или украдена база данных),
так и клиент (например, записал пароль
на бумажке, наклеенной на монитор
офисного компьютера, а файл с цифровым
сертификатом положил на "Рабочий стол").
По законодательству США, действует
презумпция виновности банка: ему
придется доказывать, что "лоханулся"
пользователь, либо возмещать убытки. Во
многих европейских странах ситуация
противоположная. Нетрудно догадаться,
что банки США в среднем лучше и
эффективнее защищают свои системы, хотя
и тратят на это меньше
денег.
Нельзя продать? Отдадим
даром!
В условиях
отсутствия легального рынка уязвимостей,
единственное, что получает
исследователь, публикующий свои
изыскания - известность, имя и славу. В
такой ситуации говорят об "экономике
репутаций". Когда-то именно вопрос
репутации был основным движущим фактором
развития вредоносного кода. Впрочем, в
индустрии безопасности имя можно
конвертировать в деньги сравнительно
просто: громкое "разоблачение" может
стать неплохим пиаром и привести к
исследователю толпы клиентов, жаждущих
безопасности (даже от мнимых
угроз).
