«Открытость — не просто удобство и благо, это условие существования современных сложных систем. Но и безопасность — условие их выживания. Глубинный конфликт между ними не в том, что одно всегда мешает другому, а в том, что они оперируют фундаментально разными принципами доверия и управления уязвимостями. Это не политический вопрос, а архитектурный.»
Две системы доверия: открытая vs. доверенная
Открытое общество и открытый код, это системы, построенные на принципе конкурентной проверки и доверия к процессу, а не к авторитету. Любой может проверить, предложить изменения, выявить ошибки. Безопасность здесь возникает как побочный продукт прозрачности: считается, что «много глаз» найдут уязвимость раньше, чем её используют злоумышленники.
Подход, который часто противопоставляют открытому,, это так называемая «безопасность через неизвестность» или, точнее, «доверенная» модель. Здесь безопасность зиждется на ограничении доступа к информации: архитектуре, исходному коду, протоколам. Предполагается, что если потенциальный злоумышленник не знает, как устроена система, ему будет сложнее её атаковать. Однако в IT-сообществе давно известен принцип, гласящий, что секретность механизма — ненадёжная основа для безопасности.
Конфликт зарождается именно здесь. Открытая модель говорит: «Чтобы доверять, нужно видеть». Закрытая, «доверенная» модель, характерная для многих требований регуляторов, утверждает: «Чтобы видеть, нужно сначала доверять». В первом случае доверие зарабатывается постоянно, во втором — делегируется и сертифицируется разово.
В российском контексте это проявляется в требованиях к аттестации, использованию сертифицированных средств защиты информации (СЗИ) с закрытым исходным кодом и ограничении на применение иностранного ПО. Регулятор, по сути, выступает гарантом и центром доверия в «закрытой» модели.
Уязвимость как товар и проблема «нулевого дня»
Открытая модель работает с допущением, что уязвимости, будучи обнаруженными, будут публично раскрыты и исправлены. Это создаёт рынок репутации для исследователей и быстрые патчи для сообщества.
Однако существует параллельная экономика, где уязвимости, это товар. Государственные структуры, частные компании, криминальные группировки покупают информацию об ошибках, чтобы использовать их для целевых атак, разведки или создания инструментов. Эти уязвимости, так называемые «нулевого дня», никогда не раскрываются публично и не попадают в поле зрения «многих глаз».
Здесь открытость оказывается беспомощной. Она эффективна против массовых, известных угроз, но невидима для целевых атак, основанных на неизвестных дырах. Более того, сама открытость кода и дизайна может облегчить процесс поиска таких уязвимостей для тех, кто не собирается делиться находками. Таким образом, открытая модель не отменяет, а в некотором роде даже стимулирует существование чёрного рынка эксплойтов.
Конфликт скорости и контроля
Цикл развития в открытых проектах и сообществах стремителен. Обновления выходят часто, изменения вносятся большим количеством независимых контрибьюторов. Это скорость инноваций.
Цикл обеспечения безопасности в регулируемом мире, это скорость контроля. Внедрение любого изменения, особенно в критической инфраструктуре или государственных информационных системах (ГИС), требует многоступенчатой проверки: анализ влияния на безопасность, тестирование, часто — повторную аттестацию или внесение изменений в эксплуатационную документацию. Процедура, занимающая месяцы, сталкивается с необходимостью закрыть критическую уязвимость за часы.
Противоречие становится очевидным, когда для защиты от новой угрозы требуется обновить библиотеку с открытым исходным кодом, входящую в состав сертифицированного продукта. С точки зрения безопасности, обновить нужно немедленно. С точки зрения регуляторики, любое изменение в сертифицированном продукте аннулирует его сертификат. Возникает патовая ситуация: безопасность системы требует нарушить формальные правила её же обеспечения.
Социальная инженерия: там, где код бессилен
Открытые системы часто фокусируются на технической безопасности — криптографии, корректности кода, сетевых протоколах. Однако самый распространённый и эффективный вектор атак — социальная инженерия — лежит полностью вне этой плоскости.
Фактор человеческой ошибцы, доверчивости или усталости невозможно исправить патчем. Фишинговое письмо, телефонный звонок от «техподдержки», подобранный на парковке флеш-накопитель — эти методы работают одинаково эффективно как против полностью открытой, так и против максимально закрытой инфраструктуры.
Это измерение конфликта показывает его ограниченность. Открытость или закрытость архитектуры мало что решает на уровне конечного пользователя, который остаётся самым слабым звеном. Следовательно, спор между моделями иногда упускает из виду общую, не решаемую ни одной из них проблему.
Модели сосуществования: не «или-или», а «и-и»
В чистом виде ни одна из крайностей нежизнеспособна. Полностью открытое общество без каких-либо механизмов проверки и контроля уязвимо для злоупотреблений. Полностью закрытая система, не проходящая внешнего аудита, рано или поздно накопит критические ошибки, о которых не будет знать даже её владелец.
Поэтому на практике формируются гибридные модели.
- Контролируемая открытость: Исходный код проекта открыт для проверки сообществом и исследователями, но процесс принятия изменений (коммитов) строго регламентирован и контролируется основной командой разработчиков. Так работают многие крупные open-source проекты.
- Верифицируемая закрытость: Регулятор или заказчик получает доступ к исходному коду и документации закрытого продукта для проведения независимой экспертизы и аудита в рамках процедуры сертификации. Это попытка совместить принцип «доверяй, но проверяй» с моделью коммерческой тайны.
- Постепенное раскрытие: Стратегия, при которой детали новой системы или стандарта сначала разрабатываются в закрытом режиме, а затем, после стабилизации и первичного анализа рисков, публикуются для широкого обсуждения. Это характерно для некоторых криптографических стандартов.
В России подобный гибридный подход прослеживается в концепции «суверенного» или «национального» ПО. Идея в том, чтобы создать экосистему, исходный код которой открыт для проверки и развития внутри национального правового поля и сообщества, но при этом защищён от внешнего неконтролируемого влияния. На практике это сложный баланс между открытостью для «своих» и закрытостью от «чужих».
Баланс, а не победа
Спрашивать, существует ли изначальный конфликт, — некорректно. Он существует не как фатальное противоречие, а как постоянное поле напряжения, которое необходимо регулировать.
Цель не в том, чтобы открытость победила безопасность или наоборот. Цель — найти режим сосуществования, при котором открытость обеспечивает инновации, проверку и устойчивость системы в долгосрочной перспективе, а элементы контроля и регулирования — защиту от наиболее вероятных и опасных угроз здесь и сейчас. Этот баланс динамичен и зависит от конкретного контекста: что защищаем, от кого и какую цену за защиту готовы платить в виде замедления развития или ограничения свобод.
Понимание этого конфликта как управляемого процесса, а не тупиковой дилеммы, — первый шаг к построению систем, которые будут одновременно и достаточно открытыми для развития, и достаточно безопасными для выживания.