В частности, всякое усложнение программы (количество строк кода) напрямую связано с возрастанием рисков, поскольку сложность системы - главный враг ее безопасности. Ожидать упрощения программ в обозримом будущем абсолютно нереалистично. А значит, будут постоянно плодиться опасные и трудные для выявления баги-уязвимости, в связи с чем неиз бежны частые выпуски патчей-заплаток, которые тянут за собой новые баги, а значит - новые заплатки к уже выпущенным патчам. Причем конца этой нудной и всем опостылевшей тягомотине не видно.
С другой стороны, в экономике давно и хорошо известно, что в тех случаях, когда сторона, отвечающая за безопасность системы, непосредственно не страдает от того, что защита не срабатывает, практи- чески наверняка можно ожидать появле-ния серьезных проблем. Очень ярко и наглядно это просматривается на примере индустриальных предприятий, загрязняющих окружающую среду. Никакие протесты, уговоры и абстрактные угрозы не имеют на них абсолютно никакого воздействия. Но зато когда в государстве принимаются законы, наказывающие конкретных отравителей экологии очень серьезными штрафами и уголовными преследованиями виновных, тогда появляются реальные стимулы. И тут уже защита природы начинает волновать не только озабоченную нечистотами общественность, но и гадящую под всех промышленность.
Эту же картину без особого труда можно спроецировать и на мир инфотехнологий, поскольку инфобезопасность тоже является очень важным для общества потребляемым ресурсом, пусть и довольно своеобразным.
Но с тем принципиальным отличием, что здесь поставщики систем безопасности (программных и аппаратных средств, сетевых сервисов) по сию пору не несут практически никакой материальной или уголовной ответственности за допущенные в их продуктах баги и «дыры». На эту тему в последние годы много пишут и выступают уже упоминавшийся Брюс Шнайер и кембриджский профессор Росс Андерсон. Как подчеркивают эти и другие авторы, доходящая до абсурда ситуация с бесконечным латанием постоянно плодящихся дыр неизбежно будет продолжаться до тех пор, пока у компаний не появятся ощутимые стимулы, повышающие их ответственность за безопасность выпускаемой продукции и предоставляемых сервисов.
ФИЗИКА, МЕТАБОЛИЗМ И ТОПОЛОГИЯ СЕТЕЙ
Говоря в целом о «науке инфобезопасности», нельзя не отметить, что науки как таковой здесь пока не существует. В отличие от, скажем, криптографии - наиболее древнего и потому глубоко исследованного подраздела защиты информации. У криптографов, в частности, имеются вполне строгие математические модели, позволяющие строить алгоритмы любого нужного уровня стойкости и доказуемо противостоящие всем известным атакам. Для защиты компьютерных сетей и систем в целом, к сожалению, ничего подобного не существует. Однако работы в данном направлении ведутся весьма активно.
