Все киберфизические системы в условиях «интернета вещей» являются потенциально опасными, поскольку они могут влиять на мир. Даже чисто электронные системы представляют опасность, поскольку могут влиять на данные на фондовых рынках, что может быть использовано для изменения реальности тем или иным способом. Но что отличает именно киберфизические системы, так это то, что они могут влиять на физический мир через какие-то устройства вроде силовых установок или медицинских инструментов.
Причина, по которой медицинские устройства должны беспокоить нас больше всего, — они могут действительно убить человека, если будут неправильно использованы. В этом смысле авиационные технологии не имеют такого прямого доступа к нам: при падении самолета смерть наступает от падения на землю. То есть в таких случаях существует определенный уровень опосредованности.
В отличие от большинства технологий, медицинские устройства, как правило, напрямую присоединены к человеческому телу. Обычно лечение лекарствами работает так, что при манипуляции этим процессом можно убить человека: например, если превышена или принижена доза тех или иных лекарств или если лекарства будут поступать слишком долго. В данном случае намного важнее контроль над устройствами, чем контроль над данными.
Устройства, наиболее уязвимые к атаке, — это критически важные системы безопасности. И причина для выбора этих систем заключается в том, что они спроектированы с целью обеспечить безопасность того, кто ими управляет, их пользователя и всех окружающих. Но безопасность не то же самое, что защищенность.
Безопасность — это попытка предотвратить естественные явления или те явления, которые можно ожидать, если кто-то нанесет вред системе либо людям, ее использующим. Защищенность — это другое. В случае с безопасностью вы не ожидаете угрозы от самой окружающей среды. Так, если вы, к примеру, проектируете самолет, у вас будут четырехкратные резервные системы: они сделаны четырьмя различными производителями, помещены в разных частях самолета и подключены к обособленным источникам энергии. Они настолько разделены, насколько возможно при условии контроля над безопасностью. И аргумент в защиту безопасности заключался бы в том, что они расположены в разных местах, и это означает, что электропроводимость оболочки самолета или прямой удар молнии вряд ли смогут подействовать более чем на одну из этих систем одновременно, что решает задачу по обеспечению безопасности.
Если брать более реалистичные примеры, системы безопасности спроектированы для защиты против факторов окружающей среды, про которые известно их вероятностное распределение. Например, защита систем хранения данных от солнечных ветров. Почему эти системы существуют? Защитные системы не проектируются с целью предотвращения поломок систем хранения данных из-за переполнения буфера, поскольку мы не обладаем вероятностным распределением для переполнения буфера. В то же время устройства спроектированы, чтобы очень хорошо защищаться от космических лучей, потому что мы точно знаем вероятность появления космических лучей любого типа на каждый квадратный метр поверхности Земли, знаем размер устройства и зону, в которой находится устройство. Поэтому можно посчитать вероятность, насколько часто воздействие тех или иных лучей может произойти за время работы устройства. Но если задаться вопросом о том, какова вероятность того, что в устройстве возникнет поломка за время его использования — при условии, что мы знаем, какое программное обеспечение на нем установлено, — то ответ будет неутешительным. Многие инженеры систем безопасности отвечают на этот вопрос, но в их ответах всегда очень много неизвестных переменных: мы не знаем, о каком действительно программном обеспечении мы говорим; мы не знаем, в какой среде оно будет использовано; не знаем, насколько сложным оно является, и не всегда знаем, было ли оно спроектировано конкретным производителем либо же было перекуплено у другого производителя, который заверил покупателей: «Поверьте, мы сделали хорошую работу».
В проектировании систем безопасности открытие новых типов уязвимости происходит очень редко. Это как с тем атмосферным феноменом, из-за которого самолетам наносились повреждения, когда были открыты микропрорывы, уже успевшие привести к нескольким авиакатастрофам, пока люди выясняли их причины. В проектировании систем безопасности такое происходит еще реже. Мы хорошо знакомы с работой электричества, мы понимаем погодные условия достаточно хорошо, чтобы учитывать их при авиаперелетах, но мы на самом деле совсем не понимаем программное обеспечение. У нас нет никаких достоверных данных о том, с какой вероятностью то или иное программное обеспечение может обладать внутренними уязвимостями и с какой вероятностью эти уязвимости будут использованы против нас. Так что в мире киберфизических систем все устройства обладают уязвимостями, которыми могут воспользоваться против нас и про которые мы ничего не знаем.
Я думаю, более важный вопрос — какие из типов устройств наиболее опасные? Это, скорее всего, те устройства, которые либо служат для поддержания жизни, либо могут убить. К примеру, трекер пульса, инсулиновая помпа, какое-нибудь имплантированное устройство, устройство, которое доставляет что-то в организм, скажем обезболивающее, которое при увеличении дозы может убить человека. Это самые опасные вещи, которые могут убивать людей незаметно. Есть и другие системы, которые могут убивать людей, но о них все осведомлены. Вы идете к автомеханику, когда машина начинает издавать странные звуки. Карбюратор внезапно взрывается посреди трассы. Главная проблема с защищенностью — вы можете не получить никаких сигналов об опасности. Но вы, конечно, можете проектировать устройства, которые будут давать знать, что происходит нечто опасное.
Проблемы безопасности в целом не меняются, но меняется возможность их возникновения. Проектирование систем безопасности базируется на представлении о том, что произойдет с наибольшей вероятностью: давайте сначала займемся этими проблемами, а остальные вещи поправим позже. Но поскольку мы больше не можем оценивать вероятность существования той или иной уязвимости или того, будет ли она использоваться, мы находимся в ситуации, когда нам нужно начать думать о проблемах безопасности совершенно по-новому.
