«Сито Шнайера» против риторики о «безопасности»

Опубликовано в журнале "Компьютерра" №21 от 06.06.2002 г.

Если общество хорошо напугать, именем «безопасности» можно творить все, что угодно. Достаточно напомнить, что в один из критических периодов послесоветской истории России - в 1994-96 гг. - прошла целая пачка президентских указов, начинающихся со слов «В целях усиления борьбы с организованной преступностью…».

Указ о бессудных арестах как очевидно неконституционный и противоречащий практически всем документам, фиксирующим базовые права человека, попал в перекрестие общественной критики и был в итоге тихо отменен (точнее, признан утратившим силу).

А вот, например, неконституционность и противоправность пресловутого Указа №334 о лицензировании криптографии оказалась менее очевидной, осталась на периферии общественного процесса, и его положения выжили. Они и сегодня в несколько измененном виде присутствуют в новой (2002 г.!) редакции закона «О лицензировании…» и в законе «Об ЭЦП». Вокруг них построен шарлатанский «бизнес» «сертификации» и «лицензированной разработки», набравший уже миллионные обороты и не жалеющий сил и средств на поддержание статус-кво.

Можно представить, какие инициативы «в области безопасности» принесет с собой нынешняя затянувшаяся (анти)террористическая истерика. Они и не медлят появиться. Но речь не о них, а об общих принципах. Сегодняшний автор, известный ученый, инженер и бизнесмен Брюс Шнайер, предлагает своеобразное «сито» из вопросов, которые рекомендуется задать по отношению к любой такой инициативе.

Через «сито Шнайера» мне кажется полезным прогонять, в частности, все меры, связанные с упомянутым лицензированием, то есть разрешительным порядком ведения какой-либо деятельности. Особенно это относится к шагу второму, связанному с оценкой альтернатив.

Напрашивающейся альтернативой лицензированию мне представляется страхование гражданской ответственности. Но сначала полезно освободиться от эмоций и перейти к нейтральным терминам.

Наиболее перспективным ходом я считаю отказ от рассуждений о «безопасности» (как малопродуктивных и ведущих в ложном направлении) и переход к обсуждению рисков - их оценки и управления ими. За этот подход ратует и наш сегодняшний автор в своем прошлогоднем технобестселлере «Тайна и ложь» 1.

«Опасность» однозначно негативна, «безопасность» старается прикинуться однозначно позитивной. «Риск» амбивалентен и заставляет задуматься.

«Кто не рискует, тот не пьет» разных приятных напитков. Любое действие человека и, тем более, любая осуществляемая им регулярная деятельность сопряжена с тем или иным риском, прежде всего, а) для самого деятеля, но также очень часто и б) для третьих лиц.

Не о риске, а о «рисках» чаще говорят страховщики и актуарии - специалисты по количественной оценке риска. «Риски» - это и есть риск, получивший такую оценку или могущий быть оценен.

Важно, что на рынок могут попадать не только риски (а), но и риски (б) - косвенно, путем страхования ответственности деятелей.

Для деятельности, сопряженной с особым риском для третьих лиц, может вводиться обязательное страхование гражданской ответственности. Эта мера сама по себе нелиберальна, так как порог обязательного страхования (да и отнесение той или иной деятельности к «особо рискованной») устанавливается нерыночным путем.

Но даже обязательное страхование лучше, чем лицензирование и тому подобное обременение, поскольку страховую премию устанавливает рынок и она может быть небезразлична к техническим мерам снижения риска.

Грубо говоря, если закон не обязывает владельцев офисов вешать огнетушители и ставить ящики с песком, а лишь обязывает страховать ответственность на случай возникновения пожара и нанесения ущерба третьим лицам, в погоне за снижением страховой премии обремененные обязанностью страховаться бизнесы сформируют спрос на рынке более совершенных противопожарных систем (и строительства пожаробезопасных зданий), и пожаров (и ущерба от них) станет-таки меньше.

Лицензирование и сертификация, в той мере, в какой их введение оправдывают соображениями безопасности, в девяти из десяти случаев являются негодным средством - не только потому, что стоят на пути рыночного (то есть наиболее общественно приемлемого) перераспределения рисков, но и потому, что препятствуют даже самой оценке различных факторов риска. Они менее полезны, даже чем пресловутый ящик с песком.

Страховые инструменты не универсальны (не универсален никакой инструмент), но применимы очень широко.

Вполне возможно, что многие «угрозы», широко обсуждаемые и используемые в качестве аргументов в борьбе за теплое место регулятора, если их предложить рынку, просто будут оценены им не как реальные факторы риска, а как фобии, навязчивые страхи, относящиеся скорее к области психотерапии. Тоже, кстати, лицензируемый вид деятельности…


1 (обратно к тексту) - Bruce Schneier. Secrets And Lies. - John Wiley & Sons, 2001.

This entry was posted in Компьютерра and tagged , . Bookmark the permalink.

Leave a Reply