От Демосфена к вирусам: что представляет собой мошенничество в цифровую эпоху

О кибернетике как искусстве управления государством 200 лет назад впервые написал Ампер в «Опыте о философии наук». А отдельной дисциплиной она стала 75 лет назад, когда вышел труд Норберта Винера «Кибернетика, или Управление и связь в животном и машине». И курьезным образом ее название, происходящее от греческого «кюбернетес» – кормчий, управляющий кораблем, – оказалось связано с кибермошенничеством в самом прямом смысле слова.

За 340 лет до Рождества Христова афинские корабельщики Гегестрат и Зенотимид подрядились доставить в город зерно из сицилийских Сиракуз. В Аттике с хлебом всегда было напряженно.

Этот бизнес жестко регулировался, но приносил изрядные барыши тем, кто готов был рисковать деньгами и жизнью, ведя суда сквозь бурные воды. И тут предприимчивые компаньоны смекнули, что груз можно прикарманить, а пустое судно затопить по пути, дополнительно сорвав страховой куш. Но команда не захотела идти на дно.

Сопровождавший порожняк Гегестрат вынужден был сам сигануть за борт. А заправлявший на берегу Зенотимид стал мишенью для гневных обличений Демосфена, для которого эта история, как и многие другие, была еще и личным делом: злополучную зерновую сделку оплачивал его родственник Демон, чья репутация и финансы изрядно пострадали от действий мошенников.

Так благодаря знаменитому греческому оратору до нас дошли имена первых бизнес-аферистов.

Впрочем, само мошенничество старо как мир. Все древние кодексы грозят суровыми карами всевозможным обманщикам. А махинации со страховками были известны еще шумерам.

Но золотой век для аферистов наступит много позже, когда промышленная революция не просто преобразит производство и торговлю, но сломает устои традиционного общества, основанного на авторитете и морали. Следствием этого стало появление в начале XIX века в Англии слова conman.

Сейчас оно означает просто жулика, а когда-то это был confidence man – человек, которому доверяют. Но ушлые дельцы слишком часто облапошивали доверчивых граждан путем как прямого обмана, так и используя формально законные схемы, благо в новое время стало считаться разрешенным всё, что не запрещено.

Машинное воспитание: что общего у Макиавелли и искусственного интеллекта

Технический прогресс быстро меняет инструменты мошенничества. Но даже в цифровую эпоху его «аппаратно-программное обеспечение» – не сети передачи данных, не сервера, не компьютеры и мобильные телефоны, а мы сами: наш нейрологический «хардвер» и социокультурный «софтвер», определяющие наши убеждения и когнитивные искажения, и даже язык, с помощью которого мы обо всём этом говорим. А говорим мы в основном о технике, еще больше загоняя себя в психологическую ловушку.

Защита от цифрового мошенничества много шире, чем цифровая (она же компьютерная или информационная) безопасность, которая, в свою очередь, не ограничивается борьбой со злоумышленниками. Не меньшую, а порой бóльшую опасность представляют аппаратные и программные ошибки (и умышленные закладки), потери данных, сбои в обслуживании, непредвиденные результаты работы алгоритмов, что становится особенно важно сейчас, когда повсеместно внедряются системы искусственного интеллекта. Но популярные мифы о злобных хакерах заставляют нас думать, что именно они и есть главная угроза, а сами опасности измерять прямыми денежными убытками.

При этом мы по большей части привыкли думать, что цифровая безопасность – не наше дело. Ее обеспечение мы делегируем правильным инструментам и специально обученным людям. В быту мы полагаемся на пароли и антивирусы. В компаниях этим занимаются IT-специалисты. А у государства есть серьезные организации, оснащенные современной техникой и укомплектованные квалифицированными профессионалами, и в его руках – вся мощь правовой системы.

На самом деле цифровая безопасность – дело всех и каждого. В свое время у нас хорошо знали призыв Маркса: «Освобождение рабочих должно быть делом самих рабочих». В популярную культуру эта мысль вошла как лозунг из романа о великом комбинаторе: «Дело помощи утопающим – дело рук самих утопающих».

Как цифровые технологии убивают прайвеси

И одними инструментами, будь то технические или правовые средства, не обойтись, хотя без них тоже никак. И здесь мы зачастую становимся заложниками очередных мифов. Например, про то, что пароль должен обязательно содержать большие и маленькие буквы, цифры и спецсимволы. А менять его нужно с параноидальной регулярностью. Это не особо улучшает, а на деле, скорее, снижает безопасность: люди начинают использовать легко запоминающиеся сочетания, а стикеры с паролями клеят куда-нибудь на видное место. Но эта порочная практика жива до сих пор, хотя методы взлома с помощью «грубой силы» давно изменились, а с точки зрения безопасности гораздо важнее длина пароля.

Лучше защищают двухфакторная аутентификация и другие продвинутые средства. Но и они не панацея и потенциально сопряжены с еще более высокими рисками. Например, компрометация биометрических данных чревата очень серьезными последствиями. Задача сложная, но осуществимая технически, и тем более средствами социальной инженерии. Всё дело в балансе выгод, сложностей и рисков для злоумышленников. И здесь гуляет еще один миф: дескать, малый бизнес слишком маленький, чтобы представлять интерес для мошенников. Это убеждение поддерживают и СМИ, с удовольствием тиражирующие истории, где фигурируют громкие имена и многомиллионные убытки. А малые проблемы попадают в эмоционально отчужденную статистику.

Между тем, как бы мы ни льстили себе, какие мы умные и рациональные, именно эмоции формируют наше отношение к предмету и искажают наши оценки и решения. Нравится нам это или нет, мы судим предвзято и пристрастно. Мы не столько узнаем, сколько считаем, что знаем, и ищем не то, что могло бы изменить нашу точку зрения, а информацию, которая уже согласуется с нашими убеждениями, предположениями и намерениями.

При этом мы всецело полагаемся на авторитет. Мы просто не можем знать всё и вынуждены доверять экспертам и специалистам. Но особенно мы верим магии чисел. Джерри Мюллер, автор бестселлера «Тирания показателей: Как одержимость цифрами угрожает образованию, здравоохранению, бизнесу и власти», справедливо пишет, что эта зацикленность давно превратилась в «культурный шаблон, который… со своим собственным словарным запасом и стереотипами, влияет на то, как люди говорят о мире, … как они представляют мир и действуют в нем». А бизнес, раскручивающий спираль цифровизации, обычно действует с позиций менеджеризма, который жизнерадостно утверждает, что деятельность любой организации – от школы или больницы до компании или армии – можно оптимизировать с помощью одного и того же набора управленческих показателей и методов их достижения. И действительно, чисто экономические выгоды от всеобщей цифровой трансформации на несколько порядков превышают связанный с ней экономический ущерб. А ее гуманитарные и социальные последствия не входят в джентльменский набор эффективных менеджеров.

И даже в лексикон не входят. Между тем язык – не просто инструмент, с помощью которого мы выражаем мысли и идеи. Язык их формирует и создает нашу картину мира и понятийный аппарат для ее описания. Далеко ходить не надо. У нас даже нет других слов, чтобы называть вредоносные компьютерные программы иначе, чем «вирус» (есть еще malware, которую у нас иногда называют «зловредом»).

Название «компьютерный вирус» придумал в 1983 году американский биоинформатик Леонард Адлеман, один из авторов знаменитого алгоритма RSA (по инициалам всех участников: Rivest–Shamir–Adleman), ставшего первой практической реализацией шифрования с открытым ключом. Его студент Фред Коэн написал код, который умел паразитировать на других программах, распространяя с их помощью собственные копии, и мог перехватывать управление компьютером. Его и назвали вирусом, а через год вышла статья Коэна, где он подробно описал «вирусный» механизм (ему иногда ошибочно приписывают и само название). А еще через три года он доказал, что не существует алгоритм, способный обнаруживать все возможные компьютерные вирусы.

Нужно признать, что название «вирус» оказалось весьма удачным и полезным. Это была продуктивная аналогия: между биологическими и компьютерными вирусами действительно много общего. Слово «вирус» не только помогало ухватить идею, но и настраивало на серьезное отношение к новой, пока еще смутной опасности. И мы с увлечением стали играть на этом семантическом поле. Появилось «заражение» и «инфицирование» компьютеров. Компьютерные «доктора» стали их «вакцинировать» и «лечить», для чего придумали «витамины» и «таблетки». Не все эти слова прижились в русском языке, но понятийная связь между «здоровьем» компьютеров и вирусологией прочно укоренилась в наших представлениях и в культуре.

Однако, чем дальше, тем менее полезной она оказывается. Потому что между биологией и цифрой очень много и различий. Так, все определения цифровой безопасности сходятся на том, что это практика защиты цифровых сведений, устройств и ресурсов. Сравните с биологической безопасностью, под которой понимают сохранение живыми организмами своей биологической целостности, существенных свойств и системных связей, которые могут быть нарушены различными факторами – от внедрения в сложившуюся экосистему чужеродных форм жизни до вредных воздействий на организм и среду его обитания.

Подлинная цифровая безопасность тоже про человека и общество, который уже живет в новой для себя цифровой экосистеме, волей-неволей вступая там в сложные симбиотические связи. Для которых у нас даже нет подходящего языка описания угроз и методов противодействия им.

Отец кибернетики Норберт Винер предупреждал: «Мы настолько радикально изменили свою среду обитания, что нам придется изменить самих себя, чтобы мы могли жить в ней». И прозорливо напоминал: «Будущее потребует от нас еще более напряженной борьбы за преодоление ограничений нашего интеллекта».