Сфинкс, как интерфейс: как защитить мощь компьютерных систем от некомпетентного пользователя
Россию традиционно «трясёт» в августе («Вот если бы только не август, не чёртова эта пора!» – как когда-то писал один поэт трагической судьбы в память поэта другого, над ближними которой витал рок «настоящего двадцатого века»…). А вот европейцы отметили июль 2013 года серией железнодорожных катастроф. Напомним читателю, что в самой страшной из них, галисийской, машинист, не выдержав скоростной режим, вошел в поворот вдвое быстрее, чем допустимо. Погубив 79 человек и искалечив несколько сотен…
Мы уже рассказывали читателю, что управление в данном случае было крайне простым. Поезд, хоть и высокоскоростной, с точки зрения управления им поразительно примитивен. Всего лишь три координаты в функциональном пространстве – координата геометрическая на «одномерном» полотне железной дороги; скорость состава в данной точке; ускорение, с помощью которого меняют эту скорость. И, соответственно, задача машиниста – конечно же, не мыслившего этими категориями – была удерживать «паровоз» в некоей ограниченной области трёхмерного функционального пространства. Ограничение скорости – связано с линейной координатой; упрощенно – на прямых участках нового пути она максимальна; на виражах и при проходе мимо платформ – уменьшается; к станциям – плавно уменьшается к нулю. Ограничение по третьей координате, ускорению, и связано с этим «плавно» – пассажир должен ехать в комфорте, а не быть размазанным по перегородке (автор тут по умолчанию надеется, что гишпанцы проектируют и производят свои составы так, что сцепки и прочее не порвутся в диапазоне приемлемых для людей перегрузок…). И вот человек – житель цивилизованной Европы с её прекрасным человеческим капиталом и доходом на домохозяйство в полтора раза выше, чем у нас – с управлением в трёхмерном функциональном пространстве не справляется.
А ведь наша цивилизация стоит на системах, куда более сложных, чем железная дорога, хоть и высокоскоростная. Вот СИУР – старший инженер управления реактором на ядерной электростанции. В функциональном пространстве какой размерности он оперирует? (Вопрос читателям, кончавшим ММИБ – автор этих строк о такой технике знает лишь тип крепежа, вид разъёмов и до какой температуры греть, но предполагает, что сложность задачи на несколько порядков сложнее той, с которой не справился испанец…) А ведь Чернобыльская катастрофа – результат ненадлежащего управления (ну, в первую очередь административного, но приведшего к роковым оибкам в управлении техническом…).
В функциональном пространстве весьма высокой размерности осуществляет свою повседневную деятельность и оператор энергосистемы. Дистрибуция электронов крайне важна для нас – даже непродолжительный перебой в ней приводит к мучительным размышлениям, хватит ли заряда батарей в ноутбуке для завершения колонки, или надо идти на службу и запускать дизель, или же тащится в гараж и кормить лэптоп от преобразователя (во всех перечисленных случаях терзаясь участью, грозящей холодильнику…). Наверное читателям из Москвы и окрестностей памятен десятилетней давности black-out? Это ведь тоже – сбой в управлении! (Непревзойдённое описание механизма аварии на энергосистеме дал в начале 60-х Владимир Тендряков в повести «Короткое замыкание».)
А ведь есть ещё химические и металлургические предприятия. Есть ещё гидростанции, которые хоть и работают на возобновляемых источниках энергии, но также являются объектами повышенного риска – а инженеры на Зейской ГЭС решают сейчас сложнейшую задачу. Там – ливни и угроза переполнения водохранилища. Надо сбрасывать лишнее, но в каких размерах? Как
То есть мы можем прийти к выводу, что надёжное функционирование тех технических систем, на которых и стоит наша цивилизация, зависит от безупречной повседневной работы их систем управления. Решающих задачи крайне высокой размерности. А мы видели, что человек, высокооплачиваемый железнодорожник, не справляется даже с трёхмерной задачей… Так что неизбежно всё более и более широкое внедрение всё более и более сложных компьютерных систем. Они менее склонны отвлекаться, чем человек; они могут держать в поле зрения более, чем семь переменных (инженерная психология от века рекомендовала ограничить число приборов, за которыми должен следить оператор семью, плюс-минус два, а психология управления ограничивало этими цифрами число непосредственных подчинённых; чего в этом больше, науки или шаманства, решайте сами…). Но – изначальные директивы должен давать человек! Тот, что перед пультом. И как же защитить систему от некомпетентного вмешательства? (Ведь Чернобыльская трагедия, вероятно, может быть сведена к выдаче некомпетентных директив…)
Ну, первейшее, защитить систему от несанкционированного вмешательства. От дистанционно действующих частных «чёрных хакеров» и правительственных кибервоинов. Это – штатная задача кибербезопасности. Несанкционированный физический доступ должна прикрыть обычная охрана (хоть и с применением технических средств – любимых сценаристами Голливуда иридосенсоров и почитаемых фантастами ДНК-анализаторов…). Но – есть ещё одна сторона задачи. Защитить систему от человека, который формально имеет основания для доступа, но не имеет компетенции для того, чтобы управлять – даже через посредство мудрых компьютеров – объектом повышенной опасность. И очень неплохо, чтобы защита эта была встроенной…
Ну, вот первое приближение. В финальной серии второго сезона классического «Звездного пути», Assignment: Earth, агент-инспектор сверхцивилизации Гарри Севен, прибывший на Землю чтобы, уничтожив американскую ядерную ракету, спасти планету от катастрофы, идентифицируется компьютером-резидентом путём проверки его знаний – он знает то, что может знать только агент. Но это – коммерческая мифология в ее низшем обличии. А нет ли чего, путеводного для сформулированной задачи, в культуре высокой?
А вот и есть! Иначе она, культура, была бы пустой болтовнёй эстетов, а не квинтэссенцией человеческой истории. И сидит подсказка в одном из главнейших мифов европейской истории. В сказании об Эдипе. Ну, полностью его нынче и излагать-то боязно (памятуя о блюстителях морали…). Но, к счастью, интересующая нас часть вполне пригодна и для младших школьников. Сфинкс (она же Сфинга, ???????, Душительница…) задаёт путникам загадку. То есть делает что? Правильно, проверяет их сообразительность и способность к абстрактному мышлению. И отбраковывает тех, кто таковую способность не проявил. (Очень интересно, как у Watson с такими задачами.) Ну, методы отбраковки отбросим; да и самоликвидироваться Сфинксу-интерфейсу не зачем. Достаточно предоставить выдержавшему испытание авторизацию (как Сфинкс предоставила Эдипу свободный путь) и уснуть в массовой памяти до следующей процедуры авторизации. И проверять придётся не только способность к мышлению, но и надлежащие знания, и профессиональные навыки.
Но не такая уж и фантастика это – алкогольные замки блокируют же управление от злоупотребивших водителей, тут чистая физиология, конечно… А сам принцип, заложенный в глубочайшем архетипе, весьма привлекателен – выдавать полномочия на управление системой должна сама система!