Вот только жаль, что их начальники, выдумывающие новые правила, иногда забывают о том, что страусы всем хороши, да не летают.
Интервью с Кипом Холи
Автор: Брюс Шнайер
В апреле Кип Холи, глава Службы транспортной безопасности США (TSA), пригласил меня в Вашингтон. Несмотря на некоторые серьезные опасения, я это приглашение принял, и встреча оказалась очень удачной. По большей части ее содержание разглашению не подлежит, но кроме всего прочего мне был задан вопрос о путях преодоления сложившейся у TSA негативной репутации. Я посоветовал стремиться к большей прозрачности и не увиливать от трудных вопросов. Холи ответил, что готов к этому, что с удовольствием высказал свое мнение в Aviation Daily, но вести личный блог государственному чиновнику не с руки. А что еще можно предпринять?
Я предложил ряд вариантов – в результате возникло приведенное далее интервью, полученное в мае-июне с помощью электронной почты.
По нынешним правилам жидкости можно провозить в небольших емкостях, не более трех унций[Унция = 28,3 г. – Здесь и далее прим. перев.] в каждой. Зато можно везти множество пузырьков по три унции. Или одну бутылочку побольше, на этикетке которой указан препарат, отпускаемый без рецепта, – например, жидкость для контактных линз. Все мелкие флаконы должны умещаться в пластиковый пакет размером в одну кварту [Кварта в Америке равняется 0,95 л.]. А если все это конфискуется, то сваливается в одну большую кучу прямо рядом с камерой просвечивания, чего никто бы не стал делать, если б думал, что там есть что-то действительно опасное.
Чем вы можете доказать, что все это не каверзы Бюро по травле авиапассажиров?
Текст печатается с любезного разрешения Брюса Шнайера. Оригинал интервью размещен по адресу www.schneier.com/interview-hawley.html.
– Воистину процедуры досмотра порождаются Бюро по травле авиапассажиров, утверждаются Управлением по усложнению беспорядка, а потом инспектируются нами, чтобы гарантировать, что должный уровень непреднамеренных неприятностей достигнут, чтобы блоггерам всегда было что обсуждать. Представьте на минутку, что сотрудники TSA неглупые люди и что они стремятся защитить пассажиров, сводя в то же время свое вмешательство в их жизнь к минимуму (не говоря уж о том, что и сами они иногда оказываются в шкуре пассажиров). Как исходя из такой предпосылки можно прийти к трем унциям и пресловутому мерному пакету?
Мы столкнулись с новым видом жидкой взрывчатки, которая была рассчитана на преодоление использовавшихся нами в то время технологий и процессов. Это было не то вещество, которое собирались использовать в плане «Божинка» ["Божинка" – несостоявшаяся операция «Аль-Каиды», в ходе которой в 1995 году планировалось взорвать с помощью жидкой взрывчатки двенадцать самолетов, направлявшихся в США.], или другие хорошо нам известные – на которых TSA уже тренируется. После 10 августа [10 августа 2006 г. полиция Великобритании обезвредила группу террористов, планировавших взорвать больше десятка пассажирских самолетов] мы стали тестировать другие варианты, в том числе в национальных лабораториях, и сотрудничать с другими странами, у которых есть разнообразные взрывчатые вещества, чтобы выяснить, что позволяет гарантированно сбить самолет.
Мы стремились ограничиться лишь совершенно необходимыми с точки зрения безопасности запретами. Иначе мы бы просто запретили провоз любых жидкостей. Однако наши тесты показали, что в небольшом количестве никакое вещество серьезной опасности не представляет. Поэтому чем можно было бы оправдать запрет на провоз блеска для губ или спрея от насморка? Да ничем, кроме стремления облегчить себе работу и упростить правила.
Опираясь на научные исследования и следуя принципу вмешиваться только в интересах безопасности, мы пришли к такому ограничению на объем контейнера, чтобы в нем не могла быть бомба в сборе (и чтобы не приходилось анализировать, что именно находится в бутылке с надписью "Шампунь"), к ограничению на общий объем жидкости, который разрешается провезти одному пассажиру (без того, чтоб сотрудникам Службы транспортной безопасности приходилось вручную пересчитывать пузырьки), и дополнительным мерам, препятствующим группе людей объединить свои запасы для получения бомбы после прохода через контрольный пункт. Ограничение в три унции и сканирование пакета с пузырьками позволяет разрешить каждому пассажиру провезти некоторое количество жидкостей, аэрозолей и гелей.
Как это предотвратит теракт, если попытки провоза не влекут за собой никаких последствий? Контрабанда на самолетах распадается на две категории: вещества, за попытку провоза которых вас ждут неприятности, и вещества, которые просто-напросто отберут. Если на контрольном пункте у меня обнаружат пистолет или бомбу, то вызовут полицию и реально испортят мне жизнь. Но если у меня окажется большая бутыль жидкой взрывчатки, ее просто с улыбкой конфискуют, а меня пропустят на самолет. Поэтому, если такие вещи не обнаруживаются со стопроцентной гарантией – а такой гарантии пока нет, – я могу повторять свои попытки до тех пор, пока не сумею проскочить контроль. Это при загрязнении продуктов питания стоит удалить 90 % вредных веществ, и вы будете на 90 % лучше защищены. А тут совсем другое дело: ни одна ложная тревога (напрасно изъятый безобидный флакон) не повышает безопасность. Безопасность повысится только в том случае, если вам удастся отловить единственный контейнер со взрывчатой жидкостью среди миллионов бутылок воды, флаконов шампуня и тюбиков зубной пасты. Я уже описывал два способа пронести на борт самолета большое количество жидкости. Можно наполнять большие бутыли с этикеткой «Физиологический раствор» и пробовать проносить до тех пор, пока не получится. А можно слить несколько пузырьков в одну флягу уже после контрольного пункта. Мне хочется думать, что сотрудники TSA умные люди и искренне стремятся защитить нас. Я верю вам на слово, что существует реальная опасность (хотя многие химики с этим не согласны), но ваши ограничения на провоз жидкости ее не устраняют. Создается впечатление, что вы защищаете нас от террориста, у которого хватает ума на разработку собственной взрывчатки, но который не додумывается прочесть правила на сайте TSA.
– Мне кажется, вы исходите из неверной посылки. Если вы принесете в аэропорт бомбу и на пропускном пункте у вас отберут часть ее компонентов, это не станется без последствий. Даже если забыть на время о наших уровнях защиты, то многое может привлечь внимание сотрудников TSA на контрольном пункте. Если вы или ваш багаж покажется им подозрительным, с вами могут провести собеседование или осмотреть ваши вещи более внимательно. Если же они выбрасывают ваши пузырьки в мусор, значит, вы не показались им опасным.
В блогах часто пишут о том, что можно собрать все свои бутылочки – или бутылочки других пассажиров – вместе и сделать бомбу. Я не могу раскрывать подробности, но наши исследования показывают, что это нереальный вариант.
В любом случае теперешние правила лишь временное решение – в ближайшем будущем мы внедрим автоматизированную систему контроля за жидкостями, и всем станет легче.
Пока что мы начали использовать ручные устройства, которые распознают жидкости внутри запечатанных упаковок (к концу года мы увеличим их количество), и тестовые полоски, которые эффективны для проверки уже вскрытых бутылок. В настоящее время мы используем их при выборочных проверках: для контроля лекарств и незадекларированных жидкостей, найденных в багаже. Это поможет устранить бреши и сделать угрозу разоблачения более весомой.
Многие рассказывают о том, как у них в ручной клади проглядели нож, и говорят, что контроль не работает. Но это не верно. Ведь целью не является стопроцентная эффективность. Важно, чтобы контрольные пункты были достаточно эффективны и террористы боялись, что их план раскроется. Однако в Денвере в этом году тестеры пронесли 90 % оружия незамеченным. И результаты других тестов немногим лучше. Откуда такая удручающая статистика и почему ситуация не улучшилась, когда TSA взяла безопасность в аэропортах под свой контроль?
– Ваша первая посылка неверна, но позволяет продемонстрировать наш подход к безопасности. Истории о 90-процентных проколах либо не соответствуют действительности, либо мало о чем говорят. Дело в том, что мы ежедневно проверяем эффективность работы контрольных пунктов. Такие проверки позволяют тренировать персонал и совершенствовать технологии и процедуры контроля. Кроме того, мы проводим обширные и очень изощренные тесты силами оперативных служб. Одна из их задач заключается в том, чтобы наблюдать за контрольными пунктами и на основе этих наблюдений – владея внутренней информацией о работе системы – находить пути ее обхода. Они выделяют одну конкретную деталь – предположим, определенный вид взрывчатой жидкости, изготовленной и размещенной с учетом слабых мест в технологии, в наших процедурах или в том, как сотрудники TSA действуют на практике. И проверяют именно эту деталь до тех пор, пока не найдут пути решения проблемы. Тогда мы меняем технологию либо процедуру или просто делаем упор на их тщательном соблюдении. И этот процесс идет безостановочно.
– Ваша первая посылка неверна, но позволяет продемонстрировать наш подход к безопасности. Истории о 90-процентных проколах либо не соответствуют действительности, либо мало о чем говорят. Дело в том, что мы ежедневно проверяем эффективность работы контрольных пунктов. Такие проверки позволяют тренировать персонал и совершенствовать технологии и процедуры контроля. Кроме того, мы проводим обширные и очень изощренные тесты силами оперативных служб. Одна из их задач заключается в том, чтобы наблюдать за контрольными пунктами и на основе этих наблюдений – владея внутренней информацией о работе системы – находить пути ее обхода. Они выделяют одну конкретную деталь – предположим, определенный вид взрывчатой жидкости, изготовленной и размещенной с учетом слабых мест в технологии, в наших процедурах или в том, как сотрудники TSA действуют на практике. И проверяют именно эту деталь до тех пор, пока не найдут пути решения проблемы. Тогда мы меняем технологию либо процедуру или просто делаем упор на их тщательном соблюдении. И этот процесс идет безостановочно.
Поэтому, если не вдаваться в конкретные особенности тестирования, конечно, временами процент проколов, связанных с конкретным сценарием проверки, может оказаться очень высоким. Однако в итоге наша способность выявить компоненты бомбы значительно повышается и будет продолжать повышаться. (Вам могли раньше попадаться более «утешительные» проценты, но они получались в результате тестирования по старым, простым сценариям. Не надо поддаваться броским анонсам – на самом деле, сегодняшняя служба безопасности неизмеримо лучше той, что была два года назад.)
Хочется верить, что вы говорите правду, хотя сканирование – это сложная проблема и трудно полностью игнорировать все опубликованные отчеты о тестировании. Однако уровень безопасности, который обеспечивают контрольные пункты, во многом зависит от общественного мнения: мы хотим, чтобы потенциальные террористы думали, что вероятность попасться на контрольном пункте очень велика, поэтому имеет смысл говорить, что эффективность контроля выше, чем показывают тесты, даже если это не так. Дифракция рентгеновских лучей (Backscatter X-ray) – еще одна технология, которая вызывает беспокойство: по сути она позволяет видеть людей обнаженными. Чем ценна эта технология и что вы делаете для защиты личной жизни? Хотя изображения можно уничтожать, мы знаем, что грубые необработанные картинки можно и сохранять – изготовитель этого оборудования фирма Rapiscan весьма гордится такой возможностью. То оборудование, которым вы сейчас пользуетесь, сохраняет изображения? Может ли оператор сохранять их по своему усмотрению или эта возможность отключена при установке?
– Пока что мы лишь оцениваем работу этих аппаратов и параллельно с их использованием устанавливаем сканеры, работающие на миллиметровых волнах, чтобы сравнить их эффективность и изучить вопросы защиты частной жизни. Сейчас – на стадии тестирования – мы не храним изображения (эта функция отключена), и хотя мы еще не приняли официального решения на сей счет, я вполне понимаю возникающие вопросы о вторжении в личную жизнь и не думаю, что мы станем хранить изображения, если перейдем к полномасштабному применению этого оборудования.
Когда мы сможем ходить в ботинках?
– Сразу после досмотра. Прошу прощения, Брюс, мне это тоже не нравится, но это не просто отголоски событий 2002-го (см. стр. 27. – Прим. ред.). Речь идет о вполне реальной современной опасности. Мы рассматриваем устройства для просвечивания обуви и способы заглянуть внутрь с помощью миллиметровых волн или дифракции рентгеновских лучей. Но пока нет технологии, справляющейся с этим риском, обувь придется укладывать в корзинку.
Создается впечатление, что в первую очередь вы заботитесь о защите себя от возможных обвинений в халатности: обувь просвечивается потому, что всем известно, что в ней прятал взрывчатку Ричард Рид, и вас просто на части разорвут, если этот конкретный способ когда-нибудь снова сработает. Но ведь существуют тысячи различных способов. И этому нет конца. Террористы изобрели конкретную тактику, а вы защитились от нее. В этой игре вы не можете выиграть. Вы запретили пистолеты и бомбы – террористы используют канцелярские ножи. Вы запретили провоз лезвий и спиц, а они прячут взрывчатку в обуви. Вы просвечиваете обувь – они изобретают жидкую взрывчатку. Вы ограничиваете провоз жидкостей – они еще что-нибудь придумают. Террористы будут смотреть, что вы конфискуете, и изобретать планы по обходу вашей системы безопасности. Это реальный урок, преподанный изобретателями жидких бомб. Если считать, что вы правы и взрывчатка была настоящей, то ее-то как раз ваши тогдашние системы контроля были неспособны обнаружить. Так зачем же играть в эту бесконечную игру, последовательно ограничивая набор вещей, которые можно брать на борт? Когда вы наконец скажете: «Ну хватит. Пора подумать не о деталях, а об угрозе в целом»?
– В конце 2005-го я как раз ратовал за то, чтобы сосредоточить усилия на импровизированных взрывных устройствах, а не запрещать провоз предметов, которые можно использовать как оружие. Пока этим летом не был раскрыт заговор, в котором использовались жидкости, мы защищали наше решение снова разрешить провоз ножниц и мелких инструментов, пытаясь ввести дополнительные преграды в виде контроля поведения и проверки документов, и ваш вопрос звучит довольно забавно, поскольку я сам горячий сторонник вашей точки зрения. Мы бы скорее сосредоточились на предметах, которые могут нанести катастрофический ущерб (бомбах!), и добавили заслоны, которые заставят людей с преступными намерениями проявить себя. Однако мы обязаны уделять постоянное внимание хорошо известным и активно применяемым диверсионным средствам, таким как обувь и жидкости, и, к сожалению, вынуждены пока что использовать наши несколько обременительные процедуры.
Вы не обязаны просвечивать обувь. Ваша единственная обязанность – приложить максимум усилий для защиты авиапассажиров от терроризма. Вы действуете выборочно и избирательно. Известно, что чеченские террористы в 2004-м смогли взорвать два российских самолета отчасти потому, что взрывчатку и детонатор пронесли на себе разные люди. Почему вы не рассматриваете это как хорошо известное и активно применяемое диверсионное средство? Не хочу даже думать о том, сколько C4 [C4 – разновидность пластиковой взрывчатки] я могу примотать к ногам и спокойно пройти мимо ваших металлодетекторов. Или сделайте в Интернете поиск по BeerBelly («пивное пузо»). Это устройство, которое вешают на грудь, чтобы пронести на стадион пиво. Но оно позволяет и пронести на борт самолета 40 унций опасной жидкой взрывчатки. Металлодетектор его не заметит. И дополнительные средства досмотра его не обнаружат. Почему вы не заставляете всех снимать рубашки? Ждете, пока на конспиративной квартире террористов вам попадется распечатка соответствующей вебстраницы? Или пока кто-нибудь реально испробует этот способ? Если этот способ вас не заинтересовал, сделайте поиск по cell phone gun (мобильник-пистолет).
Это система защиты прежде всего вашей безопасности. Если кто-то попытается взорвать самолет с помощью ботинка или жидкости и вы его не остановите, вам сильно достанется. Но если будет использован какой-то другой известный способ, вам достанется меньше, потому что эти методы не так разрекламированы.
– Чушь! Наша стратегия безопасности рассчитана на гибких террористов и на то, что на основании накопленного опыта трудно предугадать, какой будет следующая попытка теракта. Да, мы ищем бомбы в обуви и жидкую взрывчатку, потому что было бы просто глупо не думать о таких активно используемых, по нашему мнению, методах. В основном же мы стараемся уйти от попыток предсказать, как выглядит искомый объект, а больше ориентируемся на другие признаки террориста. (Не забывайте: перед нами ежедневно проходит два миллиона пассажиров, поэтому мы знаем, какое поведение является нормальным.) Как он выглядит, как себя ведет. Тем самым мы не складываем все яйца в одну корзину, пытаясь поймать злоумышленника на месте преступления. Мы не можем позволить ему свободно осуществлять разведку или проводить «холостые» пробные проходы. Мы должны на каждом шагу создавать ему препятствия. Анализируя удавшиеся теракты, важно понять, что позволило их осуществить? Найти ключевые моменты, которые отличают нормальные действия от подготовки теракта. Такой подход продуктивнее, чем пытаться бороться с каждым отдельным методом, запрещать провоз одного опасного предмета за другим. А что касается общественного порицания, Брюс, то оно не идет ни в какое сравнение с тем, что будет у каждого из нас на душе, если мы не сможем предотвратить теракт.