[Перевод] Информация с нулевым доверием
Недавно Google перевела всех своих сотрудников в Северной Америке на удалённую работу. Это было одной из мер по ограничению распространения SARS-CoV-2, вируса, который вызывает заболевание COVID-19. Это подходящее решение для любой компании, которая может на это пойти. Более того, Google и ряд других основных технологических компаний планирует оплачивать армию подрядчиков, которые обычно обслуживают сотрудников компании.
Впрочем, ещё более значимый поступок Google сделала ещё пять лет назад, когда возглавила на переход к сетям с нулевым доверием для своих внутренних приложений. Большинство других технологических компаний последовали её примеру. И хотя это было сделано не для того, чтобы сотрудники работали из дома, однако сейчас это облегчило перевод людей на удалёнку в сжатые сроки.
Сеть с нулевым доверием
В 1974-м Винт Сёрф (Vint Cerf), Йоген Далал (Yogen Dalal) и Карл Саншайн (Carl Sunshine) опубликовали основополагающую работу под названием «Спецификация программы управления межсетевой передачей» («Specification of Internet Transmission Control Program»). С точки зрения технологий эта работа заложила основы спецификации протокола TCP, на котором построен интернет. Не менее примечательно и то, что в работе был предложен сам термин «Интернет». Это произошло случайно: бОльшая часть работы была посвящена программе управления «межсетевой» (internetwork) передачей и «межсетевым» пакетам: сети уже существовали, и нужно было придумать, как соединить их друг с другом.
Изначально сети были коммерческими. В 1980-х компания Novell создала «сетевую операционную систему», состоявшую из локальных серверов, сетевых карт и приложения для ПК. Система позволяла создавать сети внутри больших компаний, чтобы обмениваться файлами, совместно пользоваться принтерами и другими ресурсами. В итоге положение Novell на рынке было подорвано внедрением сетевой функциональности в клиентские операционные системы, распространением сетевых карт, ошибками в управлении каналом сбыта, а также полномасштабным наступлением Microsoft. Однако сохранилась само модель корпоративного интранета с общими ресурсами.
Впрочем, проблема заключалась и в самом интернете: подключение к нему хотя бы одного компьютера из локальной сети означало, что к интернету фактически подключены все остальные компьютеры и серверы этого интранета. В качестве решения проблемы предложили систему безопасности на основе защиты периметра (подход «замок-и-ров», «castle-and-moat»): компаниям нужно развёртывать файрволы, чтобы защититься от доступа внутренним сетям извне. Смысл двоякий: если вы в интранете, вам доверяют, если снаружи, то не доверяют.
Но возникли две проблемы:
- Если злоумышленник проникнет за файрвол, то получит доступ ко всей сети.
- Если какой-то сотрудник физически не находится в офисе, то у него нет доступа к интранету.
Для решения второй проблемы придумали технологию VPN (виртуальная частная сеть), которая благодаря шифрованию позволяет компьютерам удалённых работников действовать так, словно они физически находятся в корпоративной сети. Но куда важнее фундаментальное противоречие, которое проявляется в этих двух проблемах: нужно предоставить доступ извне, удерживая чужаков снаружи.
Эти проблемы кардинально усугубились тремя основными тенденциями последнего десятилетия: смартфонами, подходом SaaS (software-as-a-service) и облачными вычислениями. Сегодня вместо случайных коммивояжёров или путешествующих начальников, которым нужно подключить свой ноутбук к корпоративной сети, буквально каждый сотрудник имеет мобильное устройство с постоянным подключением к интранету. Теперь вместо доступа к приложениям, размещённым во внутренней сети, сотрудникам нужен доступ к приложениям, размещённым у SaaS-провайдера. Теперь вместо локального развёртывания корпоративные ресурсы размещают в публичных облаках. Какой «ров» сможет охватить все эти сценарии?
Не стоит и пытаться: вместо того, чтобы стараться поместить всё внутрь замка, поместите все его внутренности за пределы рва, и считайте, что угрозой может быть любой пользователь. Отсюда и название: сеть нулевого доверия.
При такой модели доверие находится на уровне проверенной персоны: доступ (обычно) зависит от многофакторной аутентификации (например, пароль и доверенное устройство или временный код). И даже после аутентификации человек получает доступ только к очень небольшому количеству ресурсов или приложений. Такая модель позволяет решить все проблемы, характерные для подхода «замок-и-ров»:
- При отсутствии внутренней сети не может быть и внешнего злоумышленника или удалённого сотрудника.
- Индивидуальную аутентификацию можно на стороне пользователя масштабировать на устройства и приложения в рамках локальных ресурсов, на SaaS-приложения и публичные облака (особенно те, что реализованы по принципу однократной идентификации пользователя, вроде Okta или Azure Active Directory).
Короче, вычисления с нулевым доверием начинаются с интернет-предположений: подключены все и всё, хорошие и плохие. Для таких вычислений характерны нулевые транзакционные расходы на непрерывное принятие решений о предоставлении доступа на гораздо более распределённом и мелкодисперсном уровне, чем тот, что достижим при физическом обеспечении информационной защиты, что создаёт фундаментальное противоречие, лежащее в основе спорной схемы с замком и рвом.
Замки и рвы
Модель замок-и-ров не ограничивается одними корпоративными данными. Именно в такой парадигме сообщества думали об информации со времён, гхм, замков и рвов. Прошлой осенью я писал в The Internet and the Third Estate:
В средние века основной организационной структурой в Европе была Католическая церковь. Она же де-факто имела монополию на распространение информации: большинство книг было на латыни, и они копировались вручную монахами. Существовала определённое этническое родство между разными представителями дворянства и простолюдинами на их землях, а под зонтиком Католической церкви преимущественно находились независимые города-государства.
С замками и рвами!
Всё изменилось после изобретения печатного пресса. Внезапно оказалось, что Мартин Лютер, — чья критика Католической церкви оказалась совершенно аналогичной той, что провозглашал Ян Гус за сто лет до этого, — при распространении своих воззрений уже не был ограничен какой-то небольшой местностью (в случае Гуса это была Прага), а смог охватить своими идеями всю Европу. Знать воспользовалась возможностью интерпретировать Библию в соответствии с сиюминутными интересами, постепенно оттесняя Католическую церковь от управления.
Это привело к появлению новых блюстителей:
Подобно тому, как Католическая церковь обеспечивала свой контроль над информацией, современная меритократия сделала то же самое, не столько контролируя прессу, сколько встроив её в более широкий национальный консенсус.Снова сыграла роль экономика: хотя книги всё ещё продавали ради получения прибыли, однако за последние полтора века газеты стали читать больше, а затем доминирующей средой стало телевидение. Впрочем, всё это средства доставки для «прессы», которая обычно финансируется за счёт рекламы, неразрывно связанной с крупными компаниями… В более широком смысле пресса, большой бизнес и политики оперируют в рамках общего национального консенсуса.
Однако интернет стал угрозой для второго сословия блюстителей, позволяя публиковаться всем желающим:
Однако не менее важным, с точки зрения влияния на общество, является резкое сокращение постоянных расходов. Кто угодно не просто может обратиться к издателям, он сам может стать издателем. Более того, не нужно даже публиковать: социальные сети позволяют вещать на весь мир. Почитайте описание Пятого сословия, данное Цукербергом:Возможность масштабного самовыражения у людей — это новая сила в мире, Пятое сословие наряду с другими властными структурами общества. Чтобы голоса людей услышали, им больше не нужно полагаться на традиционных блюстителей в политике или в прессе, и у этого изменения есть важные последствия.
Трудно переоценить всю степень этого преуменьшения. Я только что рассказал, как печатный станок позволил свергнуть Первое сословие, что привело к возникновению национальных государств, созданию и усилению нового дворянства. А последствия свержения Второго сословия посредством усиления простолюдинов почти невозможно себе представить.
Сегодняшние блюстители уверены, что это катастрофа и «дезинформация». Всё, от македонских подростков до российской разведки, партизан и политиков, воспринимается как экзистенциальные угрозы, и причины ясны: современная модель СМИ основана на том, что эти СМИ являются главным источником информации. А если существует фальшивая информация, то обществу грозит дезинформация?
Последствия увеличения объёмов информации
Конечно, проблема заключается в том, что если мы сосредотачиваемся на дезинформации, —, а она однозначно существует, — то мы упускаем из виду другую часть формулы «сам себе издатель»: произошёл взрывной рост объёмов информации, правдивой и ложной. Допустим, что вся опубликованная информация соответствует закону нормального распределения (я использую это понятие только для иллюстрирования и не утверждаю, что это действительно так. Очевидно, что из-за лёгкости генерирования информации количество дезы будет больше):
До интернета общее количество дезинформации будет низким в относительном и абсолютном выражении, потому что невелик общий объём информации:
Но благодаря интернету общий объём информации стал так велик, что даже если доля дезинформации осталась на примерно том же уровне, её абсолютное количество выросло очень сильно:
Следовательно, сегодня гораздо легче найти ложную информацию, и поисковики очень в этом помогают. Поэтому легко писать истории наподобие этой статьи в New York Times:
По мере распространения коронавируса по миру распространяется и дезинформация о нём, несмотря на активное противодействие компаний-разработчиков соцсетей. Facebook, Google и Twitter заявили, что удаляют ложные сведения о коронавирусе, как только их находят, и работают совместно со Всемирной организацией здравоохранения и разными правительственными организациями, чтобы защитить людей от неточной информации.Однако в ходе исследования The New York Times на каждой из социальных платформ обнаружились десятки подобных видеозаписей, фотографий и текстов, которые проникают через заслоны. Тексты написаны не только на английском, диапазон варьируется от хинди и урду до иврита и фарси, следуя за траекторией путешествия вируса по миру. Распространение фальшивой и вредоносной информации о коронавирусе стало суровым напоминанием о борьбе, в которой участвовали исследователи и интернет-компании. Даже если компании должны защищать истину, их часто обгоняют и обыгрывают интернет-лжецы и воры. О вирусе столько неточной информации, что ВОЗ говорит о том, что столкнулась с «инфодемией».
Также я писал в Daily Update:
Вот что говорит нам фраза «в ходе исследования The New York Times»: сила поиска в обилии мировой информации заключается в том, что вы можете найти всё, что хотите. Неудивительно, что The New York Times пожелала найти дезинформацию на основных технологических платформах, и ещё менее удивительно, что журналисты её нашли.
Но я считаю гораздо интересным то, что находится на другой стороне распределения. Конечно, то, что интернет позволяет кому угодно быть издателем, привело к росту абсолютного количества дезинформации, но то же самое можно сказать и про ценную информацию, которая ранее была недоступна:
Трудно найти более подходящий пример, чем последние два месяца распространения COVID-19. C января и по сегодняшний день в Twitter появляется очень много информации о SARS-CoV-2 и COVID-19, в том числе посты поддержки и ссылки на медицинские статьи, публикующиеся с удивительной скоростью и зачастую противоречащих традиционным СМИ. Кроме того, свои мнения высказывают множество экспертов, в том числе эпидемиологи и чиновники от здравоохранения.
В последние несколько недель эта бурно развивающаяся сеть начала бить тревогу в связи с кризисом, ударившим по США. Лишь благодаря Twitter мы узнали, что этот кризис начался уже давно (возвращаясь к иллюстрации с нормальным распределением, воздействие снижается по мере увеличения объёма информации).
История об исследовании сиэтлского гриппа
Пожалуй, самой важной информацией о кризисе COVID-19 в США стали сообщения Тревора Бедфорда, участника команды исследователей сиэтлского гриппа:
This strongly suggests that there has been cryptic transmission in Washington State for the past 6 weeks. 3/9
— Trevor Bedford (@trvrb) March 1, 2020
I believe we’re facing an already substantial outbreak in Washington State that was not detected until now due to narrow case definition requiring direct travel to China. 6/9
— Trevor Bedford (@trvrb) March 1, 2020
Можете провести прямую связь между этими сообщениями и повсеместной социальной изоляцией, особенно на Западном побережье: многие компании перешли на удалённую работу, индустрия путешествий встала, конференции отменены. Да, информации должно быть больше, но помогает каждая мелочь. Данные, поступившие не от чиновников или блюстителей, а из Twitter, спасут жизни.
Однако примечательно то, что эти решения были приняты в отсутствие официальных данных. Президент неделями преуменьшал надвигающийся кризис, а CDC и FDA связали руки государственным и частным лабораториям, несмотря на то, что те полностью облажались с наличием тестовых наборов, которые помогли бы выявить значительное и быстро растущее количество случаев заболевания. Невероятно, но как свидетельствуют документы из статьи в The New York Times, команде Бедфорда тоже ставили палки в колёса:
[В конце января] в Министерстве здравоохранения штата Вашингтон начали обсуждать уже ведущееся в штате исследование сиэтлского гриппа. Но возникла заминка: в проекте в основном были задействованы исследовательские лаборатории, а не клинические, а их тесты на коронавирус не были одобрены Управлением по контролю за продуктами и лекарствами. Поэтому группе не разрешили предоставлять результаты тестирования кому-либо, кроме самих исследователей…Чиновники CDC постоянно повторяли, что это невозможно [проверять на коронавирус]. «Если хотите использовать свои тесты как скрининговый инструмент, придётся проверить их в Управлении по контролю за продуктами и лекарствами» — так ответил на письмо 16 февраля Гейл Лэнгли, сотрудник Национального центра по иммунизации и респираторным заболеваниям. Однако Управление не могло дать одобрение, потому что лаборатория не была сертифицирована как клиническая в соответствии с требованиями для центров по оказанию медицинских услуг и медицинской помощи. А процесс сертификации мог занять месяцы.
В результате исследователи сиэтлского гриппа, возглавляемые доктором Хеленой Чу, решили игнорировать C.D. C.:
На другом конце страны, в Сиэтле, доктор Чу и её коллеги, не желающие больше ждать, решили начать проверить образцы. Вскоре лаборант из лаборатории доктора Леа Стариты, который тестировал образцы, попал в яблочко…«Нас заставили держать результаты при себе», — сказала доктор Чу. «Но мы считали, что нужно рассказать об этом». Исследователи приняли верное решение проинформировать местных чиновников от здравоохранения…
Позднее следователи и руководители группы учёных встретились с представителями C.D. C. и F.D. A. для обсуждения произошедшего. Сообщение от федерального правительства было предельно ясным. «По телефону нам совершенно однозначно сказали прекратить работу», — вспоминает доктор Линдквист. «Прервать тестирование».
Тем не менее тревожная находка изменила мнение чиновников об эпидемии. Участники исследования сиэтлского гриппа быстро выделили геном вируса и обнаружили генетическую вариацию, также присутствующую в первом случае заражения коронавирусом в стране.
Так началась буря, поднятая Бедфордом, и ответная реакция от частных компаний и лиц. И пусть они среагировали на несколько недель позже, чем следовало, всё же это произошло гораздо раньше, чем это произошло бы в мире блюстителей информации.
Интернет и персональная проверка
Как известно, интернет вырос из проекта ARPANET Министерства обороны США. Это была сеть, для которой Сёрф, Далал и Саншайн разработали TCP. Однако, вопреки популярному мифу, цель заключалась не в создании сети связи, устойчивой к ядерной атаке. Всё было прозаичнее: исследователям было доступно мало высокопроизводительных компьютеров, и Агентство передовых оборонных исследований (ARPA) хотело облегчить доступ к ним.
Хотя у популярности теории про ядерную атаку есть причины. Во-первых, существовала мотивация для теоретической проработки переключения пакетов, которая превратилась в протокол TCP/IP. Во-вторых, сам факт устойчивости интернета: несмотря на старания блюстителей, в сети свободно циркулирует любая информация (исключение — Китай). В том числе и дезинформация, но и очень ценная информация тоже. В случае с COVID-19 это чуть улучшает очень тяжёлую проблему.
Это не означает, что наличие интернета поможет нам решить все проблемы, как в мире, так и в истории с коронавирусом. Но когда мы пройдём через этот кризис, нужно будет помнить об истории с Twitter и героическими исследователями сиэтлского гриппа: излишняя централизация и бюрократизм мешали критически важному исследованию. А ускорить с помощью исследования получение обратной связи от людей и компаний по всей стране помогло чувство долга учёных и тот факт, что в интернете может публиковаться кто угодно.
Поэтому вместо того, чтобы сражаться с интернетом — создавать замки и рвы вокруг информации, со всякими безумными компромиссами, — стоит подумать, какую пользу может принести принятие ситуации? Всё свидетельствует о том, что молодёжь понимает важность персональной проверки. Например, это исследование Института Рейтерс в Оксфорде:
В ходе наших интервью мы не обнаружили кризиса доверия к СМИ, о котором часто слышим в молодёжной среде. Существует общее недоверие к некоторым политизированным мнениям, но есть и высокая оценка некоторых любимых брэндов. Фальшивые новости рассматриваются скорее как неприятность, чем кризис демократии, особенно с учётом того, что масштаб проблем не соответствует уделяемому ей вниманию. Поэтому пользователи чувствуют в себе силы обуздать эти проблемы.
Также в этом исследовании выяснилось, что социальные сети демонстрируют больше точек зрения по сравнению с офлайновым получением новостей. А авторы другого исследования полагают, что политическая поляризация сильнее всего выражена среди старшего поколения, которое меньше пользуется интернетом.
Повторюсь, я не утверждаю, что всё в порядке, ни в истории с коронавирусом в краткосрочной перспективе, ни в социальных сетях и непосредственной передаче информации в среднесрочной перспективе. Но всё же есть причины для оптимизма и вера в то, что ситуация улучшится. Тем быстрее мы принимаем идею о том, что уменьшение количества блюстителей и увеличение объёма информации приведёт к росту инноваций и хороших идей пропорционально потоку дезинформации, которую молодёжь, выросшая в эпоху интернета, уже учится игнорировать.