Поскольку большинство людей считает, что вероятность нападения подобна выигрышу в лотерее, их осведомленность против любой атаки является прогнозируемо низкой. Но, как я всегда говорю о лотерее скептикам, кто-то в итоге выигрывает, и ваши шансы на выигрыш так же велики, как и у кого-либо.
Этот случай — показатель второй по величине ошибки в осведомленности сотрудников службы безопасности, правоохранительных органов, военных и граждан. Просто думать, что вы в безопасности, и полагаться на уверенность, а не на доказательство — это самая большая уязвимость, которую всегда ищут плохие парни.
На этом этапе прочтения книги вы должны начать понимать, как атакующие выбирают цели и то, что их планы обычно включают больше задач, чем просто поиск жертвы. Вы также должны понимать то, как много внимания уделяют атакующие критическим зонам, временам, уязвимостям и путям нападения, которые они могут использовать. Возьмем, к примеру, атакующих в описанном выше примере «игры в нокаут».
Они поняли, что конец платформы метро — лучшее место для того, чтобы нокаутировать кого-то, потому что жертва не может убежать, и камеры, вероятно, не идентифицируют их действия, если атакующие оттеснят жертву к концу платформы. Нападавшие выбрали время, когда было не слишком людно, поэтому их акция могла остаться незамеченной, и они скорее всего заранее определили пути отхода на основе знакомства с местностью. А теперь представьте себе, если нападавших поддержат государство-изгой или идеологическая держава, которая хочет напасть на ваш город и убить как можно больше людей. Представьте, насколько детальным их план атаки мог бы быть, и подумайте, какие уязвимости они сочтут полезными.
Барьер от лжеэкспертов и сбоев в защите
Истинная защита, как вы, вероятно, теперь понимаете, основана не на большом бюджете и экспертных мнениях, а на принятии мантры «Я не хочу жить в страхе». Жить в состоянии отрешенности или эгоизма — опасно и глупо. В период с 2002 по 2005 год я работал специалистом по безопасности для компании под названием AMTI, которой управляли бывшие члены ВМС США, спецназа, армейские рейнджеры, морпехи, спецслужбы ВВС и бойцы береговой охраны. Там мне посчастливилось стать частью двух очень успешных программ Департамента внутренней безопасности.
Программа «Визит помощи» привлекла ряд бывших военнослужащих для выявления и посещения различных частных секторов нашей национальной инфраструктуры, которые были определены как легкие цели. Команды операторов (так называемые штурмовые силы) были назначены на небоскребы, специальные мероприятия, торговые центры, религиозные объекты, стадионы, концертные площадки и другие тщательно отобранные места, с тем чтобы они могли буквально взять объект или событие под прицел с точки зрения атакующего. После этого команда провела брифинги, чтобы наши отчеты о последующих действиях могли использоваться на местах для повышения безопасности или, как это часто бывает, создания надлежащей защиты.
Безопасность была последней темой в большинстве секторов, которые мы исследовали, ведь организаторы считали правоохранительные органы своим основным гарантом безопасности, и мысль о трате денег на то, чего те не могли предсказать, казалась им смешной.
Я начал понимать, что самая распространенная причина отсутствия безопасности — финансовая, а вторая по распространенности причина — эгоизм. Я обнаружил финансовые барьеры, поскольку большинство организаций, с которыми мы работали, имели ограниченный бюджет, основанный на их бизнес-прогнозах. Те же трудности с финансированием имели место во всех религиозных учреждениях, бюджеты которых были основаны на сборах и пожертвованиях, ограничивающих расходы по всем направлениям. Но я снова и снова удивлялся деградации системы безопасности в стране из-за эгоизма менеджеров, начальников полиции, мэров, губернаторов, членов Конгресса и Сената и даже Канцелярии президента Соединенных Штатов. Мое удивление еще больше усилилось после того, что я увидел в Службе авиационных маршалов, а затем при работе специальным агентом ФБР в нью-йоркском офисе.
В тех зонах, которые мы исследовали, нам встречались отдельные руководители, которые не были одержимы эгоизмом и закономерно спрашивали себя, как можно исправить систему безопасности, восполнив пробелы, которые они теперь понимали. Первое, что мы порекомендовали, — это информировать всех сотрудников, разделяя информацию на критические зоны, критические времена, уязвимости и пути нападения. Мы предложили научить сотрудников уделять пристальное внимание поведению и определять, что является нормальным, а что выходит за рамки, и если у них есть такие технологии, как камеры наблюдения, обсудить их наиболее эффективное использование, ориентируясь на критические зоны для распознавания любого человека, ведущего себя странно, и предупредить компанию в случае осуществления злоумышленником предварительного наблюдения.
Я начал понимать, что самая распространенная причина отсутствия безопасности — финансовая, а вторая по распространенности причина — эгоизм.
В каждом посещаемом нами месте самое большое внимание мы обращали на то, что атакующий будет стремиться получить базовые знания об объектах: текущие меры безопасности, сменный характер работы, доступ к критической зоне и т. д., — и, как мы надеялись, владельцы объекта уделят внимание внешним признакам, которые обнаруживают уникальные уязвимости объекта. К сожалению, насколько я мог судить, несмотря на реализацию нескольких предложений, уровень осведомленности не увеличивался.
Второй проект, над которым я работал в AMTI, — это программа развития осведомленности у легких целей. Мне была предоставлена возможность запуска программы, которая по большому счету стала серьезно нацеленной на частный и государственный секторы Соединенных Штатов, с тем, чтобы они могли подготовиться к последствиям атаки. В принципе курс был разработан пожарными и службами быстрого реагирования, которые не понимали его истинный потенциал. Они достучались до многих людей, но не инструктировали их о наиболее важной части обеспечения безопасности нашей нации: определение того, почему они могут стать мишенью, где, когда и как их можно атаковать.