Голливуд выдаёт чертовски мало хороших фильмов про компьютерщиков — и так было всегда. Проще нагородить красочной ерунды вроде «Пароля “Рыба-меч”», чем вникать в настоящие технологии и методы работы, трудиться интересно изобразить их на широком экране. Но исключения бывают — и таким исключением для меня оказались на днях «Военные игры». Каким-то чудом я никогда не смотрел эту ленту 83-го года выпуска — и если вдруг вы тоже ухитрились её пропустить, вас ожидает очень приятный сюрприз: настоящее железо, настоящие программы, реальные приёмы, жизненные вопросы.
Кино в меру наивное: талантливый старшеклассник с подружкой случайно ломают пентагоновский сервер и чуть было не развязывают Третью мировую войну — но требовать большего от художественного фильма было бы несправедливо. Вспомнить же о нём заставили события, происходящие в этот момент буквально у нас под боком, в Великобритании.
Главного героя «Военных игр» — чёрного хакера по сути, хоть и термина такого тогда ещё не существовало — разве что не ставят в угол и во всяком случае относятся к нему как к ребёнку, совершившему мелкий, бытового масштаба проступок. И как же всё изменилось теперь! На днях правительство Великобритании внесло предложение давать за компьютерные преступления «пожизненное». Обсуждение в июне — и всё говорит в пользу того, что предложение будет принято.
Конечно, сажать навечно будут не за всё и не всех. Осуждённому на пожизненное заключение в Британии, бывает, оставляют право на помилование по отбытии некоторого минимального срока, лицам же до 21 года («целевая аудитория» в нашем случае) такое право оставляют всегда. Потом, взлом школьного компьютера, подобный тому, с которого начинал герой вышеупомянутого фильма, почти наверняка и сегодня аукнется лишь принудработами после уроков. Однако взлом электронных систем, приведший к потере жизни, серьёзному заболевания, травме, ущербу для безопасности страны или значительному риску наступления такового, предлагается наказывать высшей из возможных в цивилизованном обществе мер.
Параллельно ужесточают наказание за менее крупные (но всё-таки повлёкшие социально опасные последствия) махинации с компьютерами: например, создание риска тяжёлого экономического, экологического или социального ущерба (в том числе промышленный шпионаж) теперь будет караться сроками в полтора раза более длинными, чем раньше, вплоть до пятнадцати лет.
В совокупности всё это планируется принять в качестве поправок к Акту о компьютерных злоупотреблениях (Computer Misuse Act, CMA), действующему (и критикуемому) в Великобритании уже четверть века. Примечательно, что появился CMA как ответ на проделки двух остряков, занимавшихся, в общем, тем же самым, что и герой «Военных игр» (влезли в чужую систему, читали почту): поскольку осудить их по старым законам оказалось трудно, был принят Акт, ставший одним из первых в своём роде.
Сегодня смотреть на эволюцию компьютерных преступлений и наказаний забавно и поучительно. В 90-х не всем было очевидно даже, нужно ли наказывать за несанкционированный доступ к компьютерным ресурсам: забавы Шифрина и Голда («инициаторов» CMA) никому, в общем-то, не навредили, а вирус Морриса был скорее вышедшим из под контроля ценным научным экспериментом. Но уже к концу века компьютерные вирусы без разбору валили государственные и частные локальные сети (вспомните «Мелиссу» и ILoveYou), в «нулевые» взлом и вирусописательство превратились в бизнес, а десятилетием позже Stuxnet жёг урановые центрифуги. Изменилось и наказание: если в 90-х авторы удачных находок покрывали себя неувядаемой славой (пионеры!), то сегодня за малейшую провинность карают без уважения к чинам и по всей строгости (считающихся неадекватно строгими) законов: вспомните хоть печальный пример Эндрю Арнхаймера.
Очевидно, что первопричина эскалации — не в растущем мастерстве чёрных хакеров, а только лишь в том, что общество и обыватель в отдельности зависят от цифровой техники всё сильнее. В эпоху «Военных игр» общество могло позволить себе снисхождение — ибо сама мысль, что чудаковатый мальчишка устроит катастрофу, годилась разве что для кино. Сегодня это реальность. Спасибо тренду BYOD: на персоналках, планшетках, смартфонах строится всё и вся, от библиотек до медицинских центров и космических коммуникаций (где специалисты уже «стреляются» от случайно забредших вирусов и непрерывных интернет-атак). Пока ещё компьютерные вирусы не убивали людей, но день, когда это случится, очевидно недалёк. И не все верят, что риск наступления такого сценария компенсирован существующими законами. Вот для чего британцам понадобилась высшая мера для хакеров.
Обратная сторона этой медали известна — благодарите того же Арнхаймера, Шварца и других страдальцев: вместе с явными компьютерными преступниками слишком пока ещё резвая юридическая метла заметает и тех, кто работает в пограничных областях ИТ — там, где понимание добра и зла, хорошего и плохого пока не проработано, не разделено.
Дурно ли поступил security-специалист, который обнаружил уязвимость в популярном программном продукте и известил производителя, но, так и не дождавшись патча в разумный срок, обнародовал «дыру» (нынче весной такое случилось с продуктом Microsoft)? Преступил ли закон активист, раздающий извлечённые без спросу из платной научной библиотеки труды? И найдутся ли новые желающие геройствовать, если, как считают эксперты, многих исследователей бага Heartbleed по действующему британскому законодательству можно признать виновными?
Важно, что вне зависимости от наших желаний точка пройдена. Всё! Компьютерных преступников поставили в один ряд с серийными убийцами. Власть осознала, что ИТ превратились из вещицы забавной в опасную: она интересная и покрутить её в руках не прочь очень многие, но неосторожное движение или злой умысел способны превратить её же в смертоносное оружие. Шлифовка законодательной базы продолжается. На очереди — признание компьютерами умных мобильных устройств и наказание за умышленное раскрытие чужой информации.