«Архітектура нульової довіри»: як уникнути витоків розвідданих

Читаючи про масовий злив таємної інформації, який став відомим, як «витік  Discord», люди можуть задавати цілком логічні питання:  чому ці витоки секретної інформації  відбуваються постійно? Як 21-річний військовослужбовець національної гвардії може мати доступ до секретів, про які він не мав би знати, а потім, нібито, кидати їх у чат, щоб справити враження на своїх друзів? Про це розмірковує оглядач The Washington Post Девід Ігнатіус.

А найголовніше: що можуть зробити Пентагон і розвідувальне співтовариство, щоб підтримати кращий контроль над секретною інформацією, не втручаючись в особисте життя співробітників і не блокуючи те, що громадськість дійсно повинна знати?

Я опитав з цього приводу людей як всередині уряду, так і поза його межами.  І почув дедалі більшу підтримку аргументу про те, що класифіковані системи повинні бути побудовані таким чином, щоб думати про своїх користувачів гірше, а не краще. Будь-який системний адміністратор може виявитися наступним Едвардом Сноуденом. Розвідувальним службам потрібна «архітектура нульової довіри», яка автоматично встановлює необхідні дозволи. Такий підхід був би більш ефективним, менш бюрократичним і агресивним, ніж деякі інші драконівські зміни.

Роберт  Ґейтс, який провів свою кар’єру, наглядаючи за секретною інформацією в якості директора ЦРУ та міністра оборони, бачить у майбутньому дві важливі речі.

«Нам потрібні технологічні рішення, які забезпечать потребу в інформації та необхідність систематичного та суворого дотримання правил, які вже існують», — вважає він.

Цей безлад у безпеці відбувається з невпинною, карколомною регулярністю, хоча мотивація в кожному окремому випадку з витоком данних була різною: аналітикиню армійської розвідки Бредлі (нині Челсі) Меннінг було засуджено за передачу 1,6 гігабайт даних WikiLeaks у 2010 році; Колишній співробітник Агенства нацбезпеки Сноуден втік до Росії після того, як зламав найбільш секретні програми агентства і надав їх ЗМІ. Деякі з цих витоків могли бути корисними для громадськості, однак система використовувалась лише вузьким колом користувачів

Менш відомі випадки були такими ж серйозними: офіцер ЦРУ Джошуа Шульте був засуджений у 2022 році за витік хакерських інструментів відділу підтримки операцій агентства в 2017 році в пакеті, відомому як Vault 7; так звані тіньові брокери, особи яких залишаються невідомими, опублікували дуже конфіденційні файли Агенства нацбнзпеки ЦРУ в 2016 і 2017 роках.

А тепер і пілот 1-го класу Джек Тейшейра, який нібито використав свій доступ як системного адміністратора до розвідувальних програм на базі в Кейп-Коді, штат Массачусетс, для того, щоб розкрити надсекретні звіти розвідки буквально про все: від можливостей китайських супутників до українських боєприпасів.

Він нібито отримав доступ до документів, роздрукував чимало з них, а потім скинув фотографії на серверну платформу Discord.

Чому в усіх цих випадках системи роботи з секретними даними ламаються? Звичайно, більшість інформації засекречено, однак, за словами експертів, проблемою є не це. Існуючі правила не виконуються однаково рівно і часто надто залежать від випадкових людей.

Реформи, спрямовані на вирішення однієї проблеми, часто породжують нові. Меннінг мав доступ до величезного масиву секретної інформації частково через те, що один із уроків 11 вересня полягав у тому, що ЦРУ та ФБР не могли читати розвіддані одне одного і, отже, не змогли скласти докупи дані щодо змови. Вертикальні зв'язки були поганими, натомість прозорість виявилась значно кращою. Тож аналітики отримали набагато ширший доступ до секретів — і більше можливостей для зловживання цією інформацією.

Джеймс Клеппер молодший, колишній директор національної розвідки, який керував розслідуванням Пентагону після Меннінга, зазначив, що після того витоку були встановлені нові правила. Але застосування їх у Міністерстві оборони було нерівномірним, і контроль з часом погіршився, оскільки ці обмеження вважалися обтяжливими та неефективними.

«Потрібна комплексна система моніторингу електронної поведінки на роботі людей з високим рівнем доступу  до безпеки», — вважає Клеппер. 

Розвідувальне співтовариство не повинне регулярно контролювати приватні комунікації своїх співробітників, однак воно має навчитися розпізнавати «червоні прапорці» у поведінці людей, яким довіряють значні безпекові дані.

Система пропустила попередження. Після своїх витоків, Меннінг пережив напружений особистий досвід в Іраку. Коли він працював у ЦРУ, Сноуден перетворився на завзятого дисидента, ставши підрядником Агенства національної безпеки. Колеги Шульте в ЦРУ вважали його «неприємним і настирливим», однак він зберігав доступ до секретних даних.

Система потребує підзвітності, але як її забезпечити? Коли Ґейтс був міністром оборони, він був відомий тим, що звільняв високопосадовців, коли виникали проблеми. Але після витоку інформації про Меннінга, як сказав мені Гейтс, юристи Пентагону попередили його, що перш ніж вживати заходи дисциплінарної відповідальності, слід пам’ятати про кримінальне провадження, яке триває.

Адміністрація Байдена стикається з тим самим юридичним обмеженням у справі з витоками Discord. Високопоставлені співробітники розвідки все ще намагаються зрозуміти, як Тейшейра отримав доступ до такої кількості інформації. І вони, природно, хочуть уникнути надмірної реакції.

Правильна відповідь полягає в тому, що підзвітність і контроль мають бути вбудовані в систему. Принципи такої архітектури нульової довіри акуратно підсумовані в нещодавньому дописі в блозі компанії Palantir, яка займається оборонним програмним забезпеченням: «припустімо вороже середовище», «припустимо порушення», «ніколи не довіряй, завжди перевіряй», «ретельно перевіряй» і «кожна дія повинна реєструватися для аналізу та аудиту».

Розумні молоді інженери не хочуть, щоб Великий Брат заглядав через їхні плечі в їхні особисті дані. Простіше, справедливіше та менш нав’язливо — мати правила та дозволи, вбудовані в програмне забезпечення, яке використовується для обробки секретної інформації.