Пальманова – городок близ Венеции, знаменитый своими укреплениями в форме звезды. Он может рассказать две истории1, при этом оба сплетенных между собой повествования содержатся в самом плане города.

Первая история – про отгораживание. Стены здесь, как и в прочих городах древности, Средневековья и Ренессанса, защищали расположенные внутри скопления материальных ценностей и оседлое население от находящихся снаружи бродячих разбойников и мобильных войск. Кроме того, как убедительно доказывал Льюис Мамфорд в книге «Культура городов», сама энергия массовости давала городам превосходство над малонаселенными, рассредоточенными деревнями и служила стимулом к дальнейшему росту2. Большая численность и крепостные стены обеспечивали безопасность, экономическую активность и долгосрочную устойчивость. В экстремальных условиях осады ворота запирались, на бастионы выходили защитники и город на время становился самодостаточной единицей. Атакующие же применяли самые разные технологии для прорыва периметра обороны – иерихонскую трубу, троянского коня, спланированный Франческо ди Джорджо подкоп под стену неаполитанского Кастель-Нуово, таран или осадные машины.

Вторая история – о связях. Окруженная общественными зданиями центральная площадь города одновременно являлась и местом пересечения городских улиц, и главным в округе узлом дорожной сети, которая выходила за городские ворота в сельскую местность и соединяла Пальманову с другими городами. Эта площадь – подобно серверу местного интернет-провайдера – являлась точкой подключения для близлежащих деревень и более крупных сообществ. С открытыми воротами город был скорее перекрестком, нежели замкнутым пространством, местом, где охотней взаимодействовали, чем отгораживались.

С определенной точки зрения история городов – это борьба этих тенденций за господствующее влияние. В итоге сетевая модель победила. Мамфорд связывал эту победу с зарождением капитализма. Именно тогда сложилась новая совокупность экономических сил, которые «способствовали экспансии и рассредоточению по всем направлениям, от освоения заморских колоний до строительства новых производств, технологические преимущества которых попросту свели на нет все средневековые ограничения». Для возникновения современного города «разрушение городских стен имело одновременно и практическое, и символическое значение»3.

На первый взгляд современный Манхэттен напоминает увеличенную версию Пальмановы: регулярная планировка улиц, вокруг вода, доступ ограничен определенным количеством мостов и тоннелей. Но сетей здесь много больше, они гораздо плотнее и соединяют город с самыми удаленными концами света, обеспечивая куда более широкий спектр функций. Шоссейные, железнодорожные, водные и воздушные пути обеспечивают местный, региональный и международный транспорт. Водопровод и канализация расширяют зону водозабора и сброса далеко за пределы острова, осуществляя жизненно важные соединения с источниками воды, резервуарами и очистными сооружениями. Механические системы подачи воздуха делают пригодными для жизни огромные здания и множество подземных пространств. Газовые трубы и электрические провода покрывают Нью-Йорк густыми сетями со множеством точек доступа и простираются до хранилищ и электростанций, расположенных далеко за пределами города4. Есть еще проводная телекоммуникационная сеть, которая, начавшись с телеграфа, развилась в аналоговую телефонную сеть, а сегодня превращается в многофункциональную цифровую систему. Наконец, существует множество различных беспроводных сетей – в первую очередь радио, телевидение, микроволновая дальняя связь, сотовые и пейджинговые сети и многочисленные островки доступа стандарта 802.11. Горизонтальные сетевые соединения используют подземные, поверхностные и высотные пути, вертикальные – стояки инженерных сетей и желоба в стенах.

Сегодня, в эпоху всемогущих сетей, соответствующим образом изменились технологии нападения и защиты. Конечно, город по-прежнему можно стереть с лица земли взрывами и бульдозерами, но появились и более утонченные средства. Можно перерезать сети, от которых зависит его существование, и просто наблюдать за его медленной гибелью. (Впрочем, эту стратегию новой не назовешь: в 537 году н. э. готы перекрыли снабжавшие Рим водой акведуки, вынудив защитников города обратиться в бегство.) Еще действеннее будет захватить эти сети и обратить их против создателей – нанося ущерб через те же механизмы доставки и распределения, ради которых, собственно, они и строились.

Хуже того, поскольку большая часть инфраструктуры сегодня управляется при помощи цифровых сетей, перед нами встает совершенно новый вид угрозы. Помимо прямого физического нападения на «недвижимые» компоненты жизненно важных городских сетей, кибератакам могут подвергнуться компьютеры и цифровые каналы, ими управляющие. Как сказано в докладе комитета конгресса США, представленном в мае 2002 года, враждебное проникновение в компьютерную сеть может причинить «такие же разрушения, как бомба, взорванная на стратегически важном объекте»5. В том же докладе говорится: «Кибератака может исходить из любой части земного шара, от любого государства, группы или лица. Из-за низкой стоимости оборудования, легкодоступных технологий и в целом скромных ресурсов, необходимых для совершения кибератаки, идентифицировать или выследить всех потенциальных киберпротивников практически невозможно не только для частных компаний, но и для правительств»6.

 

Обрушение сетей

Проще всего обрушить сеть, блокировав или повредив важное соединение. Сети выводятся из строя – иногда с катастрофическими последствиями, – когда экскаватор обрывает телефонные или электрические кабели, тромб забивает артерию или из-за аварии встает идущее через весь Лос-Анджелес шоссе 405. Для таких сбоев сети особенно уязвимы там, где нет обходного пути с достаточной пропускной способностью. Поэтому соединения, подобные Хайберскому перевалу между Афганистаном и Пакистаном или мосту Бей-Бридж в Сан-Франциско, имеют такое стратегическое значение: вывод из строя подобного звена отделяет друг от друга большие фрагменты сетей по обе стороны от него.

Еще больший эффект оказывает отключение узла – в особенности такого, где сходится множество соединений. Если при землетрясении повреждается автомобильная развязка, обрывается сообщение по нескольким направлениям. Закрытие такого важного транзитного узла, как чикагский аэропорт О’Хара, приведет к серьезному нарушению авиасообщения. Более того, в узлах обычно концентрируются более важные, чем в соединениях, функции. Порезав вены, есть шанс выжить, но остановка сердца – это верная смерть. При обрыве кабеля на периферии локальной сети остальная ее часть продолжит работу, отключение центрального сервера обрушит ее целиком.

 

Распространение сбоев

Если на одном участке сети произошел сбой, проблема может распространиться и на другие звенья и узлы – в особенности если сеть имеет высокую плотность соединений. Засор в канализации может привести к переливу в раковине или унитазе, а легкая авария на шоссе часто становится причиной разрастающейся пробки на соседних дорогах. Ситуация усугубляется при отсутствии механизмов снятия нагрузки – таких как сливной клапан или съезд с основной магистрали: вот почему ньюйоркцы так боятся застрять в тоннеле под Гудзоном.

Еще хуже, когда распространение перегрузок приводит к череде сбоев сетевой инфраструктуры. К примеру, перегоревший трансформатор может спровоцировать перегрузку других частей электросети, что приведет к их отключению, и так далее. Это похоже на ядерную цепную реакцию или на последовательный обвал конструкций, как в случае с башнями Всемирного торгового центра, когда верхние этажи обрушивались на нижние, те не выдерживали нагрузки и так далее по нарастающей. Для защиты от распространяющихся сбоев сетям требуются специальные устройства – предохранители или автоматические прерыватели, которые жертвуют собой ради предотвращения дальнейших разрушений.

В крупных высокоскоростных сетях, таких как современная система электроснабжения или интернет, механизмы распространения перегрузок и последовательных сбоев зачастую чрезвычайно сложны, их невероятно трудно предугадать и практически невозможно контролировать. Даже начавшись как вполне локальная неприятность, сбой всегда может вызвать цепную реакцию и крупномасштабные, долгосрочные повреждения. К примеру, в 1998 году в электросети новозеландского Окленда произошел каскад аварий, которые серьезно повредили четыре основных силовых кабеля центрального делового района. До перехода на резервное питание закрылась новозеландская биржа, офисные башни стояли без света несколько недель, не работали кондиционеры и холодильники (в Южном полушарии как раз был разгар лета), и в пабах наливали теплое пиво – из-за чего местные жители переживали больше всего.

Помимо оборудования к катастрофическому распространению ошибок склонно и программное обеспечение. В январе 1990 года небольшая техническая проблема на телефонной подстанции в Нижнем Манхэттене привела к тому, что коммутатор ненадолго отключился и запустил перезагрузку своего программного обеспечения. Включившись снова, он известил другие коммутаторы по всей стране, что они могут начинать направлять ему вызовы. К сожалению, из-за ошибки в программе эти извещения вызывали перезагрузку получавших их коммутаторов. Включившись снова, они становились новым звеном этой цепной реакции и так далее. Прежде чем ошибка была найдена и исправлена, нарушилась работа 114 подстанций, а телефонная сеть была практически выведена из строя на девять часов. Не состоялось 70 из 138 миллионов запрошенных в этот день междугородных разговоров и звонков на номера 800, что привело к ущербу в сотни миллионов долларов7.

Ситуация может усугубляться тем обстоятельством, что разные типы сетей часто функционально зависят друг от друга – и сбой в одной сети может спровоцировать неполадки в другой. Особенно тесно переплетены сети телекоммуникаций и электроснабжения: аппаратура первых нуждается в электроэнергии, инфраструктура вторых управляется при помощи сложных телекоммуникационных систем. Похожим образом при отключении электричества выходят из строя светофоры, и на дорогах начинается неразбериха. А там, где работа водоснабжения и воздуховодов обеспечивается электронасосами, из-за перебоев с электричеством здание может стать непригодным для обитания. Даже при отсутствии прямой взаимозависимости близкое расположение сетевых соединений может способствовать распространению сбоев. К примеру, в тоннелях под Гудзоном и Ист-Ривер в Нью-Йорке проложены как транспортные, так и телекоммуникационные магистрали, поэтому затопление тоннеля приведет к обрыву обеих сетей8. Разрушение башен-близнецов одновременно уничтожило и важный пересадочный узел подземки в цокольном этаже, и множество телекоммуникационных передатчиков на крыше.

Зрелищный и потому часто упоминаемый случай цепной реакции сбоев произошел в Вустере, штат Массачусетс. Подросток взломал программное обеспечение телефонной подстанции и стер настройки коммутатора, в результате чего телефонная связь отключилась по всему округу9. Диспетчеры местного аэропорта использовали телефонный сигнал для включения огней на взлетно-посадочной полосе. Когда заходивший на посадку самолет запросил включить огни, диспетчеры не смогли ничего сделать, и аэропорт пришлось закрыть.

 

Структура и уязвимость

Случается, что серьезные повреждения инфраструктуры естественным образом приводят к выводу крупной сети из строя. К примеру, буран, случившийся в Квебеке в январе 1998 года, повалил деревья, столбы и опоры ЛЭП, повредив тысячи миль проводов на громадной территории. В результате многие районы Монреаля остались без электричества на несколько морозных недель, а работы по восстановлению потребовали огромных усилий. Однако в определенных обстоятельствах к отключению целых систем может привести и точечный сбой или повреждение.

Еще на заре эры интернета передовые исследователи начали понимать, что способность системы поддерживать функционирование после сбоя во многом зависит от ее структуры. Пол Баран начал свою основополагающую статью о рассредоточенных сетях с диаграммы, показывающей три типа сетевых структур: централизованную, децентрализованную и распределенную10. Централизованная сеть состоит из соединений, расходящихся от центрального узла, совсем как радиальные улицы Пальмановы. Такая сеть, по словам Барана, «очевидно уязвима, поскольку вывод из строя одного лишь центрального узла прерывает связь между всеми остальными пунктами».

Высотные башни – скажем, башни Всемирного торгового центра – уязвимы именно потому, что все вертикальные пути сосредоточены в центральном несущем стволе. Строительные нормативы требуют наличия нескольких изолированных путей эвакуации, и при сравнительно небольшом возгорании этого может быть достаточно, но не в случае катастрофических событий, когда ствол разрушается полностью.

Децентрализованная сеть получается из «нескольких звезд, соединенных между собой в большую звезду», примерно как расходящиеся от площадей главные улицы в созданном Кристофером Реном плане Лондона, в Париже Оссманна или Вашингтоне Л’Анфана. Центры звезд остаются уязвимыми местами сети, но разрушение одного такого подцентра не приводит к тотальному обрушению: отключаются лишь узлы, подсоединенные непосредственно к нему, а остальная система продолжает функционировать. Децентрализация дает возможность поступенчато наращивать размер сети и позволяет блокировать последствия аварии.

Распределенная сеть является неиерархической – она похожа на решетку улиц Манхэттена или Чикаго, хотя ей не обязательно быть такой регулярной. Эксплуатационная надежность обеспечивается наличием резервных маршрутов: при повреждении узлов или соединений движение просто огибает аварийный участок. Однако за это приходится расплачиваться снижением эффективности: по пути от одного узла к другому сигнал, как правило, проходит через множество промежуточных узлов, являющихся точками потенциальных перегрузок и пониженной пропускной способности. При движении по решетке улиц у вас куча возможных маршрутов, и вы, скорее всего, доберетесь до места, даже если какие-то из улиц перекрыты, но по пути вам встретится много знаков «Уступи дорогу» и немало светофоров. То же и с высотными башнями: будь они соединены между собой воздушными мостами, появились бы новые резервные маршруты и повысилась бы пространственная рассредоточенность путей эвакуации, но их стало бы сложнее контролировать с помощью охраны у входа.

На практике, соответственно, крупные транспортные, телекоммуникационные и прочие сети в поисках оптимального сочетания преимуществ зачастую объединяют в себе и звезды, и решетки. В Пальманове помимо радиальных артерий есть и несколько кольцевых улиц, опоясывающих центральную площадь, и площади поменьше (образующие подцентры) в середине клиновидных сегментов. Радиальные проспекты Парижа и Вашингтона наложены на решетки второстепенных улиц, а радиальные транспортные сети многих современных городов дополнены кольцевыми дорогами и кольцевыми линиями. Сеть авиаперевозок все больше ориентируется на крупные пересадочные аэропорты, однако линии, обходящие эти пункты стороной, тоже попадаются. Гигантская структура интернета получилась довольно иерархичной, но во многих регионах в ней есть немало поперечных и дублирующих связей11.

 

Авария и атака

Крупные децентрализованные сети, которые все более определяют существование в эпоху глобализации, оказались удивительно устойчивы к случайным авариям и сбоям. То там, то здесь из строя выходят узлы и звенья, но если они не являются жизненно важными центрами или невосполнимыми соединениями, последствия, как правило, бывают сравнительно недолгими и сугубо местными. Другое дело – намеренная атака. Сведущие саботажники могут выбирать наиболее привлекательные мишени, нацеливаясь, к примеру, сразу на несколько важнейших узлов, вместо того чтобы тратить силы на периферийные соединения. Даже такая крупная и разветвленная система, как интернет, может оказаться чрезвычайно уязвимой к четко скоординированным точечным атакам: огромная работа по сокрытию, укреплению и защите ключевых коммутационных узлов – не прихоть, а насущная необходимость.

Террористические атаки на Всемирный торговый центр в Нью-Йорке заставили нас подучить базовые положения теории сетей. Уличная дорожная инфраструктура, имея большой запас избыточности, исправно продолжила работать. Разрушение важнейшего узла значительно менее распределенной системы нью-йоркского метро привело к серьезным и длительным перебоям. Однако привлекательность этой цели для террористов состояла не только в большом скоплении людей и символическом значении башен, но и в том, что Нижний Манхэттен является ключевым узлом глобальной финансовой сети и, соответственно, местом высочайшей концентрации телекоммуникационной инфраструктуры. В сентябре 2001 года под улицами Манхэттена было больше оптоволоконного кабеля, чем по всей Африке, а две телефонные подстанции в финансовом центре обслуживали больше линий, чем есть во многих европейских странах. На крыше северной башни располагалось более 1 500 антенн.

Разрушения телекоммуникационной инфраструктуры были огромны. Головной офис компании Verizon на Вест-стрит, 140, обслуживавший более трех миллионов местных телефонных линий, был сильно поврежден обломками, дымом и водой. Центральный офис AT&T, располагавшийся в подвале башен-близнецов, пережил обрушение, но, утратив электроснабжение, отключился в 4 часа дня 11 сентября, когда сел аккумулятор резервного питания. Станция обслуживала 20 000 оптоволоконных кабелей и 1 200 магистральных линий связи к клиентам не только по всему Нижнему Манхэттену, но и, к примеру, на Лонг-Айленде, так что перебои наблюдались и непосредственно в районе бедствия, и по всему региону. Были полностью утрачены по крайней мере пятнадцать базовых станций сотовой связи, а кабельные коммуникации ко многим другим были повреждены в связи с разрушениями в здании Verizon. Что уж говорить об антеннах на крыше северной башни.

Разрушение инфраструктуры в сочетании с резким ростом количества звонков привело к перегрузке сети. 11 сентября ньюйоркцы говорили по телефону примерно вдвое чаще обычного. Сотовые сети не справлялись: в течение первой половины дня соединялось менее 5 процентов звонков. AT&T обеспечила 431 миллион международных и междугородных соединений, что примерно на двадцать процентов выше нормы. Для поддержания исходящей связи в Нью-Йорке и Вашингтоне компании пришлось блокировать входящие вызовы. Нью-Йоркская фондовая биржа возобновила работу только через шесть дней, да и то ценой невероятных усилий по восстановлению телекоммуникаций.

В критической ситуации интернет продолжал функционировать, как и надеялись его разработчики12. Вследствие повреждения инфраструктуры и отключения электроэнергии произошло несколько локальных сбоев. Были перегружены серверы электронной почты и основные новостные сайты, но серьезного влияния на глобальную сеть это не оказало. Тем не менее район Нью-Йорка был на тот момент крупнейшим в мире узлом связи, несколько из наиболее важных дата-центров которого находились в непосредственной близости от пострадавших районов Нижнего Манхэттена. Стало очевидно, что скоординированная атака на них способна изолировать Нью-Йорк от остального мира или даже разорвать сообщение между США и Европой, хотя и в этом случае останется работать связь между Западным побережьем США и Азией.

 

Боязнь чуждых элементов

Куда более выгодным может оказаться не уничтожение, но эксплуатация сетей противника. Получив доступ к крупномасштабным, заботливо выстроенным сетям, вам не придется – как Наполеону во время похода на Москву – тратить огромные усилия на переброску своих войск туда, где их ждет враг. Вам даже не нужно иметь столько же солдат, сколько у противника. Обманом или силой захватив сети, смерть и разрушения можно с высочайшей точностью сеять, обладая самыми скромными средствами.

Мрачным предвестником такой стратегии стала эпидемия СПИДа. Вирус иммунодефицита, как быстро стало понятно, эффективно распространяется по сети сексуальных контактов и распространения донорской крови – сети, которая за последние несколько десятилетий чрезвычайно расширилась за счет скоростных видов транспорта и общей подвижности населения. Вирус просочился в эту рукотворную структуру и стал использовать ее в своих целях. В результате возникло состояние распределенной осады – не географической, против которой возводились стены Пальмановы, но той, что выражалась в миллионах презервативов. В отличие от прежних эпидемий, для распространения которых требовалась определенная плотность населения и остановить которые часто удавалось путем изоляции и карантина, СПИД зависит от наличия путей соединения – иногда связывающих очень далекие пункты – в рамках глобальной сети.

Эпидемия атипичной пневмонии 2003 года стала более поздней вариацией на ту же тему. Вирус передавался воздушно-капельным путем, поэтому первая линия обороны состояла не из презервативов, а из респираторов. Места встречи людей из разных стран – отели, рестораны, терминалы аэропортов и салоны авиалайнеров – обеспечили вирусу попадание в сеть международных авиаперевозок, по которой он быстро добрался из Китая в Гонконг, Сингапур и далее по всему миру. Чем больше была ваша зависимость от этой сети, тем выше риск заболеть.

Если обычный вирус – это генетический код в биологической форме, то компьютерный – это программный код в цифровой форме, и функционирует он похожим образом. Сегодня компьютерные вирусы так хорошо нам знакомы, что не требуют детального объяснения, а их потенциальная разрушительная сила растет с развитием интернета. К примеру, всего через неделю после событий 11 сентября вирус Nimda поразил 85 000 серверов по всему миру, что вызвало в интернете куда более заметные перегрузки и куда больший ущерб, чем повреждение сетевой инфраструктуры при обрушении башен Всемирного торгового центра13. Подобные вирусы – наглядный пример темной стороны таких процессов, как децентрализация производства и дематериализация процессов: создать их может любой человек, умеренно смыслящий в компьютерах (вплоть до хакера-дилетанта весьма скромного уровня), в любом из миллионов интернет-узлов, откуда они распространяются практически мгновенно. Вирусы могут быть запущены в сеть даже беспроводным способом из подвижного или временного местоположения. Подобно вирусу иммунодефицита, они порождают состояние распределенной осады по всему миру, которое на этот раз выражается в фильтрах электронной почты, антивирусах для персональных компьютеров и корпоративных системах сетевой защиты.

Миниатюризация, биотехнология и нанотехнология представляют еще более широкие возможности для проникновения в системы и перенастройки их на разрушение. Если вы можете произвести хотя бы малые количества мощного токсина, смертельно опасного вируса или агрессивных нанороботов, через водопроводные сети и воздуховоды у вас есть шанс доставить их именно туда, где они принесут наибольший вред14. Системы вентиляции и кондиционирования как будто специально созданы для этой цели: в обход охранников и запертых дверей они связывают легкодоступные воздухозаборники со всеми обитаемыми пространствами здания. В этом случае компонентами распределенной осады (которые стали вводить в действие, когда опасность была наконец осознана) становятся фильтры, клапаны и электронные датчики, способные обнаруживать и выводить опасные вещества.

Наконец, миниатюризация средств уничтожения резко упростила использование для их распространения любых форм транспортных сетей. Чтобы доставить бомбу, Унабомберу не нужен был бомбардировщик B-52 или ракета за миллион долларов – смертельное количество взрывчатки попадало прямо в руки его жертвам стараниями американской почты. Споры сибирской язвы можно положить в обычный конверт. Террорист-смертник может добраться до места взрыва на машине, поймать такси или сесть в автобус. В фургоне или грузовике сделанную из азотных удобрений бомбу можно привезти на разгрузочную площадку или подземную стоянку здания, а можно просто въехать в главный вход – отсюда и заградительные столбики, барьеры и прочие импровизированные укрепления, которые в последнее время все больше уродуют городской ландшафт. Задействовав грузовой контейнер, можно доставить ядерное оружие прямо в сердце крупного города15. О возникающем в этой ситуации распределенном осадном положении ярче и навязчивее всего напоминают нам рамки на входе в зону вылета – особенно после 11 сентября.

Современный густо опутанный сетями мир в корне отличается от той саморегулирующейся либертарианской утопии, о которой иногда мечтали первопроходцы киберпространства. Вместе с ростом числа и географическим распространением точек доступа – что, по сути, и является основным достижением глобальных сетей – множатся и распространяются возможности создания угроз безопасности и благосостоянию тех, кто привык полагаться на работу сетевой инфраструктуры. Начальные вложения тут, как правило, невысоки: не обладая ни специальными знаниями, ни навыками, ни ресурсами, можно смастерить массу разрушительных устройств, приспособленных для работы в различных сетях, – при этом практически все необходимое можно скачать или заказать через интернет. (Как писал Мартин Эмис вскоре после событий 11 сентября, «пара десятков канцелярских ножей произвели два миллиона тонн строительного мусора»16.) Эффективное высокоскоростное сообщение внутри сетей затрудняет процесс обнаружения и блокирования этих угроз, так что ущерб может быть нанесен и вдали от места прорыва внутрь периметра безопасности. А разработка недорогих и эффективных фильтров и барьеров – задача совсем не простая17.

Главный кошмар нашего времени – уже не варвары у ворот (или за железным занавесом времен холодной войны), но чуждые элементы, просочившиеся в наши сетевые структуры18. В контексте транспортных сетей и людских потоков это проявляется в объяснимом страхе террористических захватов или атак смертников, а также (иногда внахлест) в непростительной и гнусной демагогии, направленной против иммигрантов, беженцев и меньшинств. Среди сопутствующих патологий – закрытые границы, апартеид и этнические чистки. На другом уровне – это страх того, что контейнеры и средства передвижения – от писем до самолетов – будут начинены, захвачены или перенаправлены, чтобы доставить взрывчатые или отравляющие вещества. В области телекоммуникационных сетей – это боязнь компьютерных вирусов, хакеров и взломщиков. Ну а если речь идет о водопроводе, воздуховодах и телесных контактах, то это страх смертоносной инфекции.

 

Рассредоточение и роение

Если вы не желаете вечно бояться и быть легкой целью в мире глобальных сетей и распределенных осад, одним из наилучших решений будет децентрализация. Вместо того чтобы разместить коммерческую организацию в расположенном в центре знаменитом здании, можно рассредоточить ее по пригородным филиалам, связанным между собой электронным способом. Вместо того чтобы разместить террористическую организацию на базе, которая в любой момент может подвергнуться упреждающему или ответному удару, можно создать диверсионную сеть и рассредоточить ее членов среди населения. В обоих случаях потерь не избежать: затрудняется взаимодействие, теряется возможность экономии за счет масштаба, а недостаток личного общения может привести к снижению уровня доверия и сплоченности в коллективе. Однако с повышением эффективности телекоммуникаций и по мере роста связанных с централизацией рисков чаша весов может склониться в сторону рассредоточения.

События 11 сентября среди прочего научили нас и тому, что размещение структуры в одном здании – скажем, в небоскребе с логотипом корпорации на фасаде – делает ее крайне уязвимой. Как заявил после теракта один из нью-йоркских риелторов: «Я не уверен, что высотные офисные здания класса премиум когда-нибудь снова станут популярными»19. Уильям Сафир писал в своей колонке в The New York Times: «Мы живем в большой, просторной стране. Физически децентрализованное, обеспеченное электронной связью правительство могло бы стать опорой государства в случае, если округ Колумбия будет парализован»20. Такую реакцию можно было бы назвать преувеличенной (особенно если речь идет о настроенных против городов консерваторах), однако совершенно очевидно, что баланс выгод и потерь при выборе между централизацией и рассредоточением впредь будет оцениваться совсем по-другому21.

Технически выгоды от сосредоточения производств, обуславливающие скучивание функций внутри организаций и объединение предприятий в индустриальные кластеры, нужно сравнивать с рисками, связанными с высокой пространственной концентрацией. Там, где эти выгоды остаются много выше рисков стихийных бедствий, сетевых сбоев (вроде отключения электричества) или терактов, кластеры, скорее всего, сохранятся. Однако там, где риски уже заметны на фоне преимущества (и, вероятно, там, где риски выражаются в высоких страховых выплатах и налогах на борьбу с террористической угрозой) и где эффективные сетевые связи снижают недостатки рассредоточения, предприятия скорее будут распределять риски с помощью децентрализации.

Используя беспроводные соединения и миниатюризированное портативное оборудование, к выгодам рассредоточения можно присовокупить принципиальные преимущества мобильности. Децентрализация, безусловно, не стала совершенно новой концепцией для военных теоретиков и практиков. Рассредоточенные мобильные партизаны, нерегулярные части и группы сопротивления известны давно, однако мобильные телекоммуникации придают их деятельности новое измерение: сегодня такие группы способны к куда более эффективным и координированным действиям. В атакующем режиме они могут организовать синхронные нападения на ключевые узлы протяженных инфраструктурных сетей, скажем, на коммутаторы или трансформаторные подстанции. Они могут координированно продвигаться к цели из различных точек, а могут использовать тактику роения – внезапно и неожиданно скапливаться в определенном пункте для выполнения задачи и так же быстро рассредоточиваться во избежание задержания или ответных мер. Эффективность метода роения наглядно продемонстрировали связанные с помощью электроники демонстранты, вышедшие на улицы Сиэтла во время совещания Всемирной торговой организации в 1999 году22. Ежемесячные акции Critical Mass, в ходе которых велосипедисты Сан-Франциско протестуют против засилья автомобилей, превзошли всех: внезапно появляясь неизвестно откуда, они перекрывают перекрестки и практически парализуя движение23. «Роевые тактики» стали излюбленной темой аналитиков в сфере безопасности24.

Ту же идею можно экстраполировать и на телекоммуникационную инфраструктуру. Даже если узлов много и они широко рассредоточены, как в интернете и системах мобильной связи, они по-прежнему стационарны, а значит – остаются уязвимыми целями. Если же они становятся беспроводными и подвижными, сама сеть трансформируется в роевую общность и способна быстро перегруппировываться при угрозе нападения или распространяться на пострадавшие территории для восстановления обслуживания. К примеру, после землетрясения в Лос-Анджелесе в 1994 году провайдеры обеспечили быстрое восстановление сотовой связи в районах бедствия с помощью трейлеров, на которые устанавливались мобильные базовые станции, подключенные через передатчики микроволновой связи типа точка-точка. В Нью-Йорке после 11 сентября этот же метод эффективно использовался для восстановления сотового покрытия и налаживания связи пострадавшего района с остальной сетью. А военные стратеги уже начали задумываться о создании роев согласованно действующих беспилотных самолетов, объединенных «небесным интернетом»25.

 

Копирование и взаимозаменяемость

Если степень уязвимости не удается в достаточной мере снизить с помощью рассредоточения, подвижности и уклонения от угрозы, можно обратиться к тактике копирования и взаимозаменяемости. Это тоже далеко не новость: военачальники всегда готовы перебросить пушечное мясо в место прорыва обороны, у автомобилей бывают резервные бензобаки, а в строительных нормативах прописаны дополнительные пути эвакуации на случай блокировки основного. Однако появление дешевых электронных устройств выводит эту идею на новый уровень. Интернет, к примеру, состоит из сравнительно недорогих каналов и коммутаторов, поэтому там несложно добиться избыточной связанности, благодаря которой сигнал легко обходит поврежденные участки. Следующий шаг – подвижная импровизированная сеть на основе портативных одноразовых беспроводных устройств, совмещающая в себе преимущества изменчивости и избыточности. Вывести такую сеть из строя особенно трудно, поскольку в отсутствие стационарных узлов пришлось бы находить и уничтожать большое количество подвижных компонентов, вместо которых тут же возникали бы новые.

Еще лучше, чем с аппаратными средствами, основанные на избыточности защитные стратегии работают с программным обеспечением, поскольку его копирование не требует ни больших затрат, ни длительного времени, а сам процесс легко децентрализуется. Резервные копии и их распределение по различным удаленным серверам стали общепринятой практикой. Не так давно резервные копии сохранялись на дискетах и пленке; сегодня это все чаще делается в сети. К примеру, копия любого отосланного имейла сохраняется на множестве серверов, которые, в свою очередь, регулярно и автоматически копируют свое содержание на резервные диски. При работе на подключенном к сети компьютере все сложнее добиться того, чтобы у файла нигде не было резервных копий.

Организации, которые зависят от цифровых данных и не могут позволить себе простоев по техническим причинам, часто создают резервные центры, где дублируется и аппаратура, и данные. Финансовые фирмы заводят «горячие» резервные центры, где помимо прочего постоянно находится команда операторов, готовых запустить их по первому требованию. Еще до того как манхэттенский дата-центр Lehman Brothers исчез под развалинами башен-близнецов, технический директор, сбегая по пожарной лестнице, активировал резервные мощности через свой Blackberry. На следующий день компания снова вышла на рынок26. К полудню 11 сентября все основные банки Нью-Йорка ввели в действие оперативные планы восстановления после чрезвычайных ситуаций. Компания Cantor-Fitzgerald, 700 служащих которой погибли в результате теракта, через два дня, когда снова открылся рынок облигаций, уже участвовала в торгах со своих резервных площадок в Нью-Джерси и Лондоне27. Многие пострадавшие финансовые фирмы получили свои данные от нанятых ими заранее компаний аварийного восстановления информации (SunGard, Comdisco и других)28. С гораздо более серьезными сложностями столкнулись юристы, в большей степени зависящие от оригиналов бумажных документов. И по крайней мере одному архитектурному бюро, не располагавшему резервными копиями за пределами офиса, пришлось по крупицам собирать свои файлы с серверов компаньонов и консультантов.

Если нет необходимости в немедленном восстановлении, резервные центры могут быть рассредоточены по большой территории. Однако при большом объеме передаваемых данных и необходимости скорейшего возобновления работы рассредоточение ограничивается пропускными способностями сети. Скажем, протокол ESCON, используемый на мейнфреймах IBM для соединения с устройствами памяти большой емкости, ограничен радиусом примерно в сорок километров. Резервные центры манхэттенских финансовых фирм чаще всего располагаются прямо на Манхэттене, в Нью-Джерси или в Бруклине.

Тем не менее после 11 сентября 2001 года возрос интерес к увеличению дальности действия систем распределенной обработки данных, с тем чтобы вычислительные кластеры простирались за пределы зоны любого возможного бедствия. Для этого нужны высокоскоростные соединения, способные функционировать при дальности в сотни километров, а также серверы и системы хранения, специально спроектированные для поглощения возросших нагрузок и поддержания бесперебойной деятельности даже при выходе из строя нескольких узлов кластера. Скорее всего, технологии по поддержанию целостности предприятий вроде этой будут развиваться и дальше29.

Однако у небольшого кафе, расположенного рядом с крупной финансовой фирмой, нет и не будет возможности переключиться на резервный центр. Более того, электронный переезд соседа может иметь для кафе катастрофические последствия – оно мгновенно лишится клиентуры. Электронное резервирование и избыточность – мощные средства, но не для всех они одинаково полезны.

 

Самовоспроизведение и мутации

Эти принципы можно экстраполировать на метауровень: процесс копирования и рассредоточения может сам копироваться, рассредоточиваться и передвигаться, становясь таким образом более жизнеспособным, чем процесс, привязанный к одному потенциально уязвимому комплексу оборудования. Образцом такого поведения служат паразиты, бактерии и вирусы: попав в благоприятные условия, они начинают размножаться и распространяться по множеству различных каналов, отчего от них очень непросто избавиться.

Поскольку операция записи информации в память является фундаментальной для вычислительных процессов, логика воспроизведения проявилась уже на первых компьютерах. Программисты научились создавать циклы инструкций, которые записывали одни и те же данные, быстро переполняя память. Пользуясь чуть более сложной логикой и отбросив различия между программой и данными (что совсем не сложно в языках, подобных лиспу), они научились создавать самовоспроизводящиеся блоки программного кода.

На этой стадии худшим исходом неконтролируемого размножения было зависание одного компьютера, и чтобы исправить положение, достаточно было перезагрузиться. Объединение компьютеров в сети моментально изменило ситуацию. Появилась возможность посылать разрушительные программы с компьютера на компьютер в открытую – или же более коварным способом, незаметно прикрепляя их к имейлам или другим передаваемым данным. Более того, несложно было переписать их таким образом, чтобы они не просто размножались на новом месте, но и самостоятельно прикреплялись к исходящим имейлам для дальнейшего распространения. Так в эру интернета компьютерные вирусы научились имитировать поведение своих биологических предшественников.

Подвижный самовоспроизводящийся программный код может (как и многие биологические вирусы) быть безвредным, даже приносить огромную пользу, но зато как он умеет вредить! Многим интернет-пользователям знакомо отчаяние, которое вызывают компьютерные вирусы. Они переполняют память, стирают файлы, портят программы, выводят на монитор оскорбительные надписи, рассылают вирус другим пользователям или просто форматируют жесткий диск. Разнообразие ущерба тут ограничивается лишь воображением и техническими навыками (а среднего уровня для этого дела более чем достаточно) программистов с дурными наклонностями и сетевым подключением.

На сегодня стандартными (и зачастую весьма эффективными) мерами защиты против вирусов являются программы, которые, сканируя входящую почту и жесткие диски, выявляют и блокируют найденные вирусы. Сложности тут схожи с теми, которые возникают при защите от биологических вирусов, – от разных вирусов помогают разные средства, постоянно присутствует угроза появления новых вирусов, от которых еще не существует защиты, а некоторые вирусы способны воспроизводиться с мутациями, что позволяет им избегать уничтожения. В общем, это масштабная и сложная проблема, в результате которой мы наблюдаем набирающую обороты битву между вирусами и антивирусными средствами.

С помощью воспроизведения программного кода можно не только распространять вирусы. Это еще и способ накопить силы для внезапной крупномасштабной атаки из множества разных точек сети. Для организации атаки DDoS (Distributed Denial of Service) хакеры, тайно взяв под контроль большое количество машин, в какой-то момент дают всем им команду слать запросы на определенный сервер, таким образом перегружая его и выводя из строя. Более того, атаковать можно не один, а сразу несколько серверов одновременно, что дает потенциальную возможность преодолеть защитную избыточность всемирной сети. К примеру, в октябре 2002 года DDoS-атакам подверглись девять из тринадцати разбросанных по миру корневых серверов интернета30. Длительная, успешная DDoS-атака на все тринадцать корневых серверов обрушила бы всю сеть.

 

Круче интернет-вирусов

Уничтожая цифровые ресурсы, препятствуя коммуникациям и выводя из строя компьютеры, на которые мы уже привыкли полагаться во всем, интернет-вирусы способны нанести огромный экономический ущерб, но они, как правило, не угрожают человеческой жизни и безопасности. Все изменится, когда с распространением встроенных и имплантируемых беспроводных устройств наши тела станут сетевыми узлами, а транспортные, электрические, водопроводные и воздуховодные сети еще теснее переплетутся с телекоммуникационными. Ценой интеграции в крупномасштабные, управляемые искусственным интеллектом сети станет постоянная необходимость всеми силами защищать их от все возрастающих вирусных угроз.

Более того, по мере переноса производства физических объектов с централизованных фабрик на сетевые персональные мощности начнет разрушаться традиционная монополия на изготовление и распространение вооружений. Персональное производство текстов, игрушек или электронных компонентов – дело, безусловно, хорошее, а вот изготовление огнестрельного оружия и бомб по скачанным чертежам и из безобидных на первый взгляд материалов, заказанных через интернет у различных поставщиков, – однозначно плохое. Еще опаснее могут стать персональные биотехнологии – к примеру, создание вирусов на основе скачанных из сети генетических данных и из рассылаемых по почте компонентов. Уже в 2002 году исследователи, пользуясь общедоступными последовательностями генетического кода, имеющимися в свободной продаже реактивами и скромным набором лабораторного оборудования, синтезировали инфекционный вирус полиомиелита31. Создание самовоспроизводящихся нанороботов (которые стирают границы между производственным оборудованием и продуктами производства), несмотря на скепсис многих ученых, все же вполне вероятно. В этом случае самым жутким сценарием апокалипсиса становится мир, внезапно наводненный вышедшей из-под контроля самовоспроизводящейся серой слизью. Как предсказал Билл Джой, в будущем мы сможем создать «оружие не просто массового поражения, но интеллектуального массового поражения, деструктивная мощь которого будет многократно усиливаться способностью к самовоспроизведению»32.

 

Новая оборонная стратегия городов

Если города прошлого вроде Трои и Пальмановы заботились об обороне окружавших их стен, Нью-Йорку и другим городам XXI века приходится защищать от аварий и нападений свои распределенные сети. При этом им нужно беречь не только ядро инфраструктуры, но и ее раскинувшиеся на огромные расстояния оконечности. Чтобы снизить уязвимость при повреждении нескольких ключевых узлов или соединений, им приходится обеспечивать достаточную избыточность жизненно важных сетей. Для предотвращения цепной реакции распространения сбоев им нужно использовать предохранители, клапаны избыточного давления и прочие защитные механизмы. Необходимо разрабатывать эффективные меры, перекрывающие доступ в сети взрывчатым веществам, токсинам, возбудителям заболеваний, мобильному программному коду и прочим факторам разрушения. Не стоит забывать и о возможном захвате средств передвижения, серверов и прочих устройств доставки. Наконец, городам приходится противостоять угрозе как физического разрушения цифровых сетей, так и нарушения их логической целостности из-за вирусов, интернет-червей и программных атак и т. п.

И наоборот, если городу все же удается поддержать работу сетей в момент катастрофы, появляется возможность быстрой мобилизации ресурсов для восстановления. По транспортным сетям доставляется гуманитарная помощь со всего света. С помощью мобильных узлов связи быстро восстанавливаются телекоммуникации. А высокоскоростные цифровые соединения с удаленными резервными центрами и географически рассредоточенными предприятиями обеспечивают поддержание экономической активности.

Традиционно безопасность основывалась на численности и оборонительных сооружениях. Оборонная стратегия и устойчивость к ударам сегодняшних городов зиждется на связи. В процессе фрагментации и перераспределения оборонительные сооружения перестали окружать целые поселения, отделяя их от сельской местности. Сегодня они ограждают бесчисленные, рассредоточенные точки доступа к сетям – от рамки на входе в зону вылета до защищенных паролем персональных компьютеров.