Внушение, т.е. принятие без рассуждений на веру неких догматов – это всегда ложь, а всякая ложь есть зло. Внушения всегда были и есть во всех областях человеческой жизни. Примерами значительных по своему значению и распространению внушений могут служить средневековые крестовые походы, вера в ведьм, отыскивание философского камня или страсть к тюльпанам в Голландии. В сфере информационной безопасности приходит на ум, прежде всего, проблема 2000 года и, сравнимая с ней по объему, проблема 2010 года (проблема персональных данных).
Вот что писал в свое время Лев Николаевич Толстой об эпидемических внушениях (развеивая миф о гениальности весьма посредственного английского писаки Шекспира и его произведений):
“При развитии прессы сделалось то, что как скоро какое-нибудь явление, вследствии случайных обстоятельств, получает хотя сколь-нибудь выдающееся против других значение, так органы прессы тотчас же заявляют об этом значении. Как скоро же пресса выдвинула значение явления, публика обращает на него еще большее внимание. Внимание публики побуждает прессу внимательнее и подробнее рассматривать явление. Интерес публики еще увеличивается, и органы прессы, конкурируя между собой, отвечают требованиям публики.
Публика еще больше интересуется; пресса приписывает еще больше значения. Так что важность события, как снежный ком, вырастая все больше и больше, получает совершенно несвойственную своему значению оценку, и эта преувеличенная, часто до безумия, оценка удерживается до тех пор, пока мировоззрение руководителей прессы и публики остается то же самое. Примеров такого несоответствующего содержанию значения, которое в наше время, вследствии взаимодействия прессы и публики, придается самым ничтожным явлениям, бесчисленное количество. Поразительным примером такого взаимодействия публики и прессы было недавно охватившее весь мир возбуждение делом Дрейфуса. Явилось подозрение что какой-то капитан французкого штаба виновен в измене. Потому ли, что капитан был еврей, или по особенным внутренним несогласиям партий во французком обществе, событию этому, подобные которому повторяются беспрестанно, не обращая ничьего внимания и не могущеми быть интересными не только всему миру, но даже французким военным, был придан прессой несколько выдающийся интерес. Публика обратила на него внимание. Органы прессы, соревнуя между собой, стали описывать, разбирать, обсуживать событие, публика стала еще больше интересоваться, пресса отвечала требованиям публики, и снежный ком стал расти, расти и вырос на наших глазах такой, что не было семьи, где бы не спорили о l’affair. Так что карикатура Карандаша, изображавшая сперва мирную семью, решившую не говорить больше о Дрейфусе, и потом эту же семью в виде озлобленных фурий, дерущихся между собою, совершенно верно изображала отношение почти всего читающего мира к вопросу о Дрейфусе. Люди чужой национальности, ни с какой стороны не могущие интересоваться вопросом, изменил ли французкий офицер или не изменил, люди, кроме того, ничего не могущие знать о ходе дела, все разделились за и против Дрейфуса, и как только сходились, так говорили и спорили про Дрейфуса, одни уверенно утверждая, другие уверенно отрицая его виновность.
И только после нескольких лет люди стали опоминаться от внушения и понимать, что они никак не могли знать виновен или невиновен, и что у каждого есть тысячи дел, гораздо более близких и интересных, чем дело Дрейфуса. Такие наваждения бывают во всех областях….”
Ярким примером эпидемического внушения в области информационной безопасности может служить набившая в свое время оскомину проблема 2000-го года. При наступлении 1 января 2000 года при 2-значном представлении года после 99 наступал 00 год (то есть 99+1=00), что интерпретировалось многими старыми программами, как 1900, а это, в свою очередь, могло привести к серьёзным сбоям в работе критических приложений, например, систем управления технологическими процессами и финансовых программах. Разработчики подобных программ видимо и не помышляли, что человечество сможет перешагнуть рубеж 2000 года, под влиянием другого эпидемического внушения “о скором конце света”.
Ошибка некоторых разработчиков ПО при определении типов данных и выделении памяти для хранения переменных (коих они допускают тысячи и до сей поры, о чем мы ежедневно узнаем из соответствующих бюллетеней) обратила на себя внимание компьютерной прессы, публика проявила интерес, пресса еще больше ухватилась за проблему, ИТ-сообщество и чиновники, предвкушая возможность легкой наживы, с энтузиазмом проблему поддержали и проявили обеспокоенность, публика вдохновилась еще больше и снежный ком начал разрастаться до величины совершенно несвойственной реальному значению данной проблемы. Во многих странах были приняты национальные планы действий по решению Проблемы 2000, созданы многочисленные комиссии и комитеты, организованы дорогостоящие исследования и разработки. По некоторым оценкам общий объём мировых инвестиций, потраченный на подготовку к 2000 году составил 300 миллиардов долларов! Куда там мировому финансовому кризису до наших проблем информационной безопасности!
Аналогичная “проблема” ожидается и в 2038 году в системах, в которых используется представление времени по стандарту POSIX (UNIX-время), которое представляет собой количество секунд, прошедшее с 1 января 1970 года. На большинстве 32-битных систем используется тип данных time_t для хранения секунд в виде signed int (32-битного целого со знаком). Более позднее время заставит поле данных, используемое в этих системах для представления времени, стать отрицательным. В результате могут быть произведены ошибочные вычисления или результаты. Переход на современные 64-битные архитектуры снимает данную проблему.
Кроме “проблемы 2038 года” в программном обеспечении существуют и другие проблемы, связанные с неправильным представлением времени и обусловленные недальновидностью разработчиков. Например, в компьютерных системах Тайваня может возникнуть “проблема 100 года”. Она связана с тем, что в Тайване в официальных целях используется календарь Миньго, предполагающий отчёт летоисчисления от основания Китайской республики в 1911 году, поэтому 2011 год по григорианскому календарю будет соответствовать 100 году по официальному календарю Тайваня, что может вызвать проблемы в компьютерных системах, в которых для хранения дат используются только две цифры. А сколько еще существует потенциальных проблем, никак не связанных ни с представлением времени ни с национальными особенностями, даже сложно себе представить.
Современное эпидемическое внушение в области информационной безопасности будет вписано в историю России под названием “проблема 2010 года”, т.к. именно с 1 января 2010 года всем операторам персональных данных, коих по самым скромным подсчетам официальных инстанций в России насчитывается не менее двух миллионов юридических лиц (индивидуальные предприниматели и физические лица, которые также являются операторами персональных данных по духу закона, в расчет не берутся, видимо для того, чтобы не сбиться со счета). Данная проблема возникла в 2006 году с принятием ФЗ-152 “О персональных данных”, призванного гарантировать права граждан России на защиту их личной тайны от всевозможных злоупотреблений.
Возможно, никто бы у нас и не обратил на данный закон никакого особого внимания (кого, положа руку на сердце, так уж сильно волнует чья-то личная тайна, да и что это вообще такое и тайна ли это вообще?). Например, более значимый для бизнеса ФЗ-98 “О коммерческой тайне” и даже 4 часть ГК РФ “Интеллектуальная собственность”, отнюдь не пользовались такой бешеной “популярностью”. Что же вызвало столь пристальное внимание и привело к образованию очередного “снежного кома”? Не будем затрагивать казуистических споров вокруг отдельных формулировок, имеющихся в законе, будь то само определение персональных данных, требование о регистрации операторов, исключения из этих требований и т.п. Пускай об этом спорят юристы, а затем, при необходимости, вносят соответствующие уточнения в законодательство в рабочем порядке. Широкий резонанс в обществе вызвали не эти прения, а требования к операторам по защите персональных данных, сформулированные в подзаконных актах, выпущенных регуляторами. В требованиях этих ничего необычного нет и даже нет ничего нового. Можно даже подумать, что с момента разработки Гостехкомиссией России в период с 1992 по 1998 год руководящих документов по защите от НСД ничего нового в области защиты информации в нашей стране придумано не было (несмотря на то, что общий ландшафт угроз безопасности и соответствующие технологии во всем мире изменились с тех пор до неузнаваемости). Что же тогда так беспокоит общественность?
Широкий резонанс и озабоченность общественности вызваны попыткой применения существующих подходов к защите информации, практикуемых до момента принятия ФЗ-152 лишь в государственных организациях (в весьма ограниченных объемах и на государственные деньги), к частному бизнесу, который с большим недоверием относится к любым расходам, не связанным с достижением целей бизнеса и не имеющим понятного экономического обоснования. “Что происходит? Какого ражна производителю самоклеющихся пленок нужно получать целый набор лицензий ФСТЭК и ФСБ на деятельность в области защиты информации? Сколько вы говорите это стоит? А вы вообще-то в своем уме? Сколько вы говорите будет стоить сертификация нашего ПО по требованиям безопасности информации? А что нам гарантирует такая сертификация? Как ничего? На соответствие каким критериям она должна проводиться? А кто это определяет? А после установки обновлений наш сертификат останется в силе? Так нам еще и процесс выпуска обновлений надо сертифицировать? Какие еще аттестаты на ИСПД? Зачем нам приобретать оборудование для защиты от ПЭМИН? Персональные данные наших сотрудников разве представляют интерес для иностранных разведслужб? А кто это вообще все придумал? ….”
Общественность интересуется, регуляторы комментируют, пресса освещает, подстегиваемые алчным желанием погреть ручки, разработчики СЗИ и интеграторы запугивают клиентов, внося еще больше путаницы, напуганные клиенты интересуются еще больше, пресса подогревает этот интерес, к обсуждению вопроса подключают различные комитеты, ассоциации, включая депутатов и правительственные структуры, проводятся конференции, семинары, слушания, общественные дебаты и круглые столы, снежный ком разрастается все больше…..