Сфинкс, как интерфейс: как защитить мощь компьютерных систем от некомпетентного пользователя

Россию традиционно «трясёт» в августе («Вот если бы только не август, не чёртова эта пора!» – как когда-то писал один поэт трагической судьбы в память поэта другого, над ближними которой витал рок «настоящего двадцатого века»…). А вот европейцы отметили июль 2013 года серией железнодорожных катастроф. Напомним читателю, что в самой страшной из них, галисийской, машинист, не выдержав скоростной режим, вошел в поворот вдвое быстрее, чем допустимо. Погубив 79 человек и искалечив несколько сотен…

Машинист не удержал единственный параметр — скорость

Мы уже рассказывали читателю, что управление в данном случае было крайне простым. Поезд, хоть и высокоскоростной, с точки зрения управления им поразительно примитивен. Всего лишь три координаты в функциональном пространстве – координата геометрическая на «одномерном» полотне железной дороги; скорость состава в данной точке; ускорение, с помощью которого меняют эту скорость. И, соответственно, задача машиниста – конечно же, не мыслившего этими категориями – была удерживать «паровоз» в некоей ограниченной области трёхмерного функционального пространства. Ограничение скорости – связано с линейной координатой; упрощенно – на прямых участках нового пути она максимальна; на виражах и при проходе мимо платформ – уменьшается; к станциям – плавно уменьшается к нулю. Ограничение по третьей координате, ускорению, и связано с этим «плавно» – пассажир должен ехать в комфорте, а не быть размазанным по перегородке (автор тут по умолчанию надеется, что гишпанцы проектируют и производят свои составы так, что сцепки и прочее не порвутся в диапазоне приемлемых для людей перегрузок…). И вот человек – житель цивилизованной Европы с её прекрасным человеческим капиталом и доходом на домохозяйство в полтора раза выше, чем у нас – с управлением в трёхмерном функциональном пространстве не справляется.

Чернобыль – тоже результат ошибок в управлении

А ведь наша цивилизация стоит на системах, куда более сложных, чем железная дорога, хоть и высокоскоростная. Вот СИУР – старший инженер управления реактором на ядерной электростанции. В функциональном пространстве какой размерности он оперирует? (Вопрос читателям, кончавшим ММИБ – автор этих строк о такой технике знает лишь тип крепежа, вид разъёмов и до какой температуры греть, но предполагает, что сложность задачи на несколько порядков сложнее той, с которой не справился испанец…) А ведь Чернобыльская катастрофа – результат ненадлежащего управления (ну, в первую очередь административного, но приведшего к роковым оибкам в управлении техническом…).

Управление энергосистемой – задача весьма многомерная

В функциональном пространстве весьма высокой размерности осуществляет свою повседневную деятельность и оператор энергосистемы. Дистрибуция электронов крайне важна для нас – даже непродолжительный перебой в ней приводит к мучительным размышлениям, хватит ли заряда батарей в ноутбуке для завершения колонки, или надо идти на службу и запускать дизель, или же тащится в гараж и кормить лэптоп от преобразователя (во всех перечисленных случаях терзаясь участью, грозящей холодильнику…). Наверное читателям из Москвы и окрестностей памятен десятилетней давности black-out? Это ведь тоже – сбой в управлении! (Непревзойдённое описание механизма аварии на энергосистеме дал в начале 60-х Владимир Тендряков в повести «Короткое замыкание».)

Сброс воды на Зейской ГЭС

А ведь есть ещё химические и металлургические предприятия. Есть ещё гидростанции, которые хоть и работают на возобновляемых источниках энергии, но также являются объектами повышенного риска – а инженеры на Зейской ГЭС решают сейчас сложнейшую задачу. Там – ливни и угроза переполнения водохранилища. Надо сбрасывать лишнее, но в каких размерах? Как пишет «Российская газета» – «Согласно решению правительственной комиссии, при достижении уровня в 319,3 метра мы увеличим сбросы воды до 4,5 тысячи кубометров в секунду. Хотя по нашим регламентам объемы сброса в этом случае должны составлять 7,5 тысячи кубометров». То есть мы видим противоречие. Регламенты гидроэнергетиков (видимо составленные по условиям прочности плотины) предполагают при таком уровне более быстрый сброс воды. Но (вышестоящим регулятором) принято решение такой сброс ограничить – вероятно, из соображений защиты расположенных ниже по течению Зеи населённых пунктов, дорог и мостов от наводнения, которое может вызвать поток из водохранилища, наложившийся на уже прошедшие осадки… И размерность такой задачи трудно даже прикинуть (мы видим, что речь идёт о волевом решении, «волюнтаристском», как некогда говорилось партийцами…).

То есть мы можем прийти к выводу, что надёжное функционирование тех технических систем, на которых и стоит наша цивилизация, зависит от безупречной повседневной работы их систем управления. Решающих задачи крайне высокой размерности. А мы видели, что человек, высокооплачиваемый железнодорожник, не справляется даже с трёхмерной задачей… Так что неизбежно всё более и более широкое внедрение всё более и более сложных компьютерных систем. Они менее склонны отвлекаться, чем человек; они могут держать в поле зрения более, чем семь переменных (инженерная психология от века рекомендовала ограничить число приборов, за которыми должен следить оператор семью, плюс-минус два, а психология управления ограничивало этими цифрами число непосредственных подчинённых; чего в этом больше, науки или шаманства, решайте сами…). Но – изначальные директивы должен давать человек! Тот, что перед пультом. И как же защитить систему от некомпетентного вмешательства? (Ведь Чернобыльская трагедия, вероятно, может быть сведена к выдаче некомпетентных директив…)
Ну, первейшее, защитить систему от несанкционированного вмешательства. От дистанционно действующих частных «чёрных хакеров» и правительственных кибервоинов. Это – штатная задача кибербезопасности. Несанкционированный физический доступ должна прикрыть обычная охрана (хоть и с применением технических средств – любимых сценаристами Голливуда иридосенсоров и почитаемых фантастами ДНК-анализаторов…). Но – есть ещё одна сторона задачи. Защитить систему от человека, который формально имеет основания для доступа, но не имеет компетенции для того, чтобы управлять – даже через посредство мудрых компьютеров – объектом повышенной опасность. И очень неплохо, чтобы защита эта была встроенной…

Футуристический джеймсбонд Гарри Севен с кошкой-пособницей Изидой…

Ну, вот первое приближение. В финальной серии второго сезона классического «Звездного пути», Assignment: Earth, агент-инспектор сверхцивилизации Гарри Севен, прибывший на Землю чтобы, уничтожив американскую ядерную ракету, спасти планету от катастрофы, идентифицируется компьютером-резидентом путём проверки его знаний – он знает то, что может знать только агент. Но это – коммерческая мифология в ее низшем обличии. А нет ли чего, путеводного для сформулированной задачи, в культуре высокой?

Эдип и Сфинкс на полотне академиста Франсуа-Ксавье Фабра

А вот и есть! Иначе она, культура, была бы пустой болтовнёй эстетов, а не квинтэссенцией человеческой истории. И сидит подсказка в одном из главнейших мифов европейской истории. В сказании об Эдипе. Ну, полностью его нынче и излагать-то боязно (памятуя о блюстителях морали…). Но, к счастью, интересующая нас часть вполне пригодна и для младших школьников. Сфинкс (она же Сфинга, ???????, Душительница…) задаёт путникам загадку. То есть делает что? Правильно, проверяет их сообразительность и способность к абстрактному мышлению. И отбраковывает тех, кто таковую способность не проявил. (Очень интересно, как у Watson с такими задачами.) Ну, методы отбраковки отбросим; да и самоликвидироваться Сфинксу-интерфейсу не зачем. Достаточно предоставить выдержавшему испытание авторизацию (как Сфинкс предоставила Эдипу свободный путь) и уснуть в массовой памяти до следующей процедуры авторизации. И проверять придётся не только способность к мышлению, но и надлежащие знания, и профессиональные навыки.

«Алкогольный» замок зажигания Dr?ger Interlock XT

Но не такая уж и фантастика это – алкогольные замки блокируют же управление от злоупотребивших водителей, тут чистая физиология, конечно… А сам принцип, заложенный в глубочайшем архетипе, весьма привлекателен – выдавать полномочия на управление системой должна сама система!