«Архитектура нулевого доверия»: как избежать утечек разведданных

Читая о массовом сливе секретной информации, которое стал известным как «утечка Discord», люди могут задавать вполне логичные вопросы: почему эти истоки секретной информации происходят постоянно? Как 21-летний военнослужащий национальной гвардии может иметь доступ к секретам, о которых он не должен знать, а потом, якобы, бросать их в чат, чтобы произвести впечатление на своих друзей? Об этом рассуждает обозреватель The Washington Post Дэвид Игнатиус.

А самое главное: что могут сделать Пентагон и разведывательное сообщество, чтобы лучше контролировать доступ к секретной информации, не вмешиваясь в личную жизнь сотрудников и не блокируя то, что общественность действительно должна знать?

Я опросил по этому поводу людей как внутри правительства, так и за его пределами. И услышал поддержку аргумента о том, что классифицированные системы должны быть построены таким образом, чтобы думать о своих пользователях хуже, а не лучше, чем есть на самом деле. Любой системный администратор может оказаться следующим Эдвардом Сноуденом.

Разведывательным службам нужна «архитектура нулевого доверия», автоматически устанавливающая необходимые разрешения. Такой подход был бы более эффективным, менее бюрократическим и агрессивным, чем некоторые другие изменения дракона.

Роберт Гейтс, проведший свою карьеру, наблюдая за секретной информацией в качестве директора ЦРУ и министра обороны, видит в будущем две важные вещи.

«Нам нужны технологические решения, которые обеспечат потребность в информации и необходимость систематического и строгого соблюдения существующих правил», — считает он.

Этот беспорядок в безопасности происходит с постоянной регулярностью, хотя мотивация в каждом частном случае с утечкой данных была разной: аналитик армейской разведки Брэдли (ныне Челси) Мэннинг была осуждена за передачу 1,6 гигабайт данных WikiLeaks в 2010 году; Бывший сотрудник Агенства Нацбезопасности Сноуден сбежал в Россию после того, как сломал наиболее секретные программы агентства и предоставил их СМИ. Некоторые из этих утечек могли быть полезны для общественности, однако система использовалась только узким кругом пользователей

Менее известные случаи были столь же серьезными: офицер ЦРУ Джошуа Шульте был осужден в 2022 году за утечку хакерских инструментов отдела поддержки операций агентства в 2017 году в пакете, известном как Vault 7; так называемые теневые брокеры, лица которых остаются неизвестными, опубликовали очень конфиденциальные файлы Агентства национальной безопасности ЦРУ в 2016 и 2017 годах.

А теперь и пилот 1-го класса Джек Тейшейра, якобы использовавший свой доступ в качестве системного администратора к разведывательным программам на базе в Кейп-Коде, штат Массачусетс, для того, чтобы раскрыть сверхсекретные отчеты разведки буквально обо всем: от возможностей китайских спутников до украинских боеприпасов.

Он якобы получил доступ к документам, распечатал многие из них, а затем сбросил фотографии на серверную платформу Discord.

Почему во всех этих случаях системы работы с секретными данными сломались? Конечно, большинство информации засекречено, однако, по словам экспертов, проблема не в этом. Существующие правила не выполняются одинаково обязательно для всех и зачастую слишком зависят от случайных людей.

Реформы, направленные на решение одной проблемы, часто рождают новые. Мэннинг имел доступ к огромному массиву секретной информации частично из-за того, что один из уроков 11 сентября заключался в том, что ЦРУ и ФБР не могли читать разведданные друг друга и, следовательно, не смогли сопоставить данные по сговору. Вертикальные связи были плохими, прозрачность оказалась значительно лучше. Поэтому аналитики получили гораздо более широкий доступ к секретам и больше возможностей для злоупотребления этой информацией.

Джеймс Клэппер младший, бывший директор национальной разведки, руководивший расследованием Пентагона после Мэннинга, отметил, что после утечки были установлены новые правила. Но их применение в Министерстве обороны было неравномерным, и контроль со временем ухудшился, поскольку эти ограничения считались обременительными и неэффективными.

«Нужна комплексная система мониторинга электронного поведения на работе людей с высоким уровнем доступа к безопасности», - считает Клеппер.

Разведывательное сообщество не должно регулярно контролировать частные коммуникации своих сотрудников, однако оно должно научиться распознавать «красные флажки» в поведении людей, которым доверяют значительные данные безопасности.

Система пропустила предупреждение. После своих сливов, Мэннинг пережил напряженный личный опыт в Ираке. Работая в ЦРУ, Сноуден превратился в упорного диссидента, став подрядчиком Агентства национальной безопасности. Коллеги Шульте в ЦРУ считали его «неприятным и назойливым», однако он сохранял доступ к секретным данным.

Система нуждается в подотчетности, но как ее обеспечить? Когда Гейтс был министром обороны, он был известен тем, что увольнял чиновников, когда возникали проблемы. Но после утечки информации о Мэннинге, как сказал мне Гейтс, юристы Пентагона предупредили его, что прежде чем принимать меры дисциплинарной ответственности, следует помнить о продолжающемся уголовном производстве.

Администрация Байдена сталкивается с тем же юридическим ограничением по делу с утечками Discord. Высокопоставленные сотрудники разведки все еще пытаются понять, как Тейшейра получил доступ к такому количеству информации. И они, естественно, хотят избежать излишней реакции.

Правильный ответ состоит в том, что подотчетность и контроль должны быть встроены в систему. Принципы такой архитектуры нулевого доверия аккуратно подведены в недавнем сообщении в блоге компании Palantir, занимающейся оборонным программным обеспечением: «допускай враждебную среду», «допускай нарушение», «никогда не доверяй, всегда проверяй», «тщательно проверяй» и «каждое действие должно фиксироваться для анализа и аудита».

Умные молодые инженеры не хотят, чтобы Большой Брат заглядывал им через плечо. Проще, справедливее и менее навязчиво – иметь правила и разрешения, встроенные в программное обеспечение, используемое для обработки секретной информации.