Лекция 6 - Кибернападения: шумиха или растущая проблема для открытых обществ?
Д-р Джейми Шеа, директор планирования политики в Личной канцелярии генерального секретаря
Здравствуйте, дамы и господа! Рад вас видеть. Начну с хорошей новости: сегодня мы заканчиваем цикл лекций, посвященный новым вызовам безопасности НАТО, так что больше вам не придется их посещать. Но есть и плохая новость – в дождливый четверг вам придется искать другое место в Брюсселе, где можно пообедать…
…Те, кто посещал эти лекции последние несколько месяцев, знают, что при подготовке этого цикла я не ставил себе целью охватить все возможные угрозы безопасности. Я не анализировал пандемии, стремительный рост населения, дефицит водных ресурсов, не рассматривал даже проблему миграций. Безусловно, существует множество угроз безопасности, но я старался сосредоточиться на 6 проблемах, которые, скорее всего, будут стоять на повестке дня НАТО в ближайшие несколько лет, и которые анализирует группа экспертов под руководством Мадлен Олбрайт в контексте новой Стратегической концепции Альянса.
Если помните, мы начали с вопросов распространения ядерной угрозы, рассмотрели вопросы терроризма, энергетической безопасности, изменения климата… В прошлый раз говорили о недееспособных государствах, а сегодня у нас последняя лекция этого цикла, посвященная еще одной важной теме – кибер-безопасности.
Я сделал это вступление, поскольку на протяжении всего цикла лекций подсознательно задавал себе вопрос: являются ли задачи, связанные с решением всех этих проблем, в равной степени приоритетными для НАТО? Нужно ли Альянсу для решения этих задач поделить все имеющиеся ресурсы на 6 равных частей? Или некоторые из этих угроз представляют большую опасность, чем другие?
На этот вопрос я постараюсь ответить в конце лекции. Есть ли среди рассмотренных проблем настолько неотложные или потенциально настолько опасные, что им нужно уделить первоочередное внимание?
С вашего разрешения, на протяжении следующих минут 40 я буду сохранять интригу, а потом вернусь к этому вопросу. По-моему, на него необходимо ответить, чтобы считать этот цикл лекций успешно завершенным, хотя бы с интеллектуальной точки зрения.
А пока давайте рассмотрим кибер-безопасность – вопрос, которому все чаще уделяется внимание в прессе, в работе аналитических центров, в правительственных отчетах и научных исследованиях. Бесспорно, последние 20 лет самые значительные события в жизни человечества были связаны именно с невероятным развитием информационных технологий. Я один из немногих в этой аудитории, кто жил в доинтернетовскую эпоху и помнит те времена. Пожалуй, для поколения моих детей это все равно, как если бы я сказал, что жил в каменном веке. В те времена, если нужно было получить информацию о каком-нибудь университетском курсе в Америке, ты должен был написать письмо, приложить к нему конверт с маркой и обратным адресом, отослать и ждать около месяца (это если повезет), пока придет ответ по почте. А теперь можно практически мгновенно скачать нужную информацию, еще и вместе с бланком заявления на поступление. Сегодня все, что касается человеческой жизни, как частной, так и профессиональной, постепенно перемещается в кибер-пространство. Чем дальше, тем большую часть своей жизни мы проводим в виртуальном мире. В режиме он-лайн мы общаемся, осуществляем банковские операции, платим налоги, делаем покупки, высказываем политические взгляды…
Даже женимся в режиме он-лайн. По крайней мере, находим своих суженых в виртуальном мире. Люди моего поколения, если хотели найти пару для создания семьи, должны были отправиться, например, в клуб «Медереньен», потратить кучу денег, чтобы оказаться на каком-нибудь отдаленном средиземноморском пляже и надеяться, что повезет. Теперь в этом нет необходимости…
Очевидно, что в ХХІ веке особо актуальным становится вопрос: сможем ли мы перенести в виртуальный мир, куда все больше будет перемещаться человеческая деятельность, те же правила, законы и нормы поведения, которые мы всегда стремились установить в реальном мире?
…Моя жена работает в музыкальной индустрии. Это как раз одна из тех областей, где проблема перенесения в виртуальный мир таких норм, как, например, авторское право, имела сокрушительные последствия: продажи компакт-дисков и прибыль музыкальной индустрии сократились на две трети. Конечно, это вопрос не только новых стандартов, но и разработки качественно новых бизнес-моделей.
Ну и главные вопросы, касающиеся виртуального мира: произойдет ли в ближайшие 20 лет такое же стремительное развитие Интернета, как в последние 2 десятилетия и, по мере того, как компьютерная сеть будет расширяться по планете, будет ли кибер-угроза возрастать в соответствующей геометрической прогрессии? Сегодня я попробую дать ответ на эти вопросы.
Уже к середине прошлого года количество персональных компьютеров в мире превысило миллиард. Более половины населения планеты пользуется мобильными телефонами – это 3 с половиной миллиарда. Соответственно, вместе с ростом количества используемых систем растет и уязвимость пользователей, и количество возможных каналов виртуального нападения.
Иногда все это приобретает комический оттенок. Многие, наверное, помнят, как несколько недель назад, когда Испания стала председательствовать в ЕС, на официальном вэб-сайте этой страны на несколько дней появилась фотография мистера Бина вместо премьер-министра Запатеро.
В моей стране тоже произошел комичный случай, когда жена вновь назначенного руководителя британской службы разведки сэра Джона Соерса разместила в Фейсбуке подробную информацию о его передвижениях – поездке в отпуск, ужине с друзьями и прочее. В этом случае, конечно, речь не шла о кибер-нападении, это была просто неосмотрительность и пренебрежение правилами личной безопасности при пользовании Интернетом. Я к этому еще вернусь, поскольку, разумеется, не каждый случай несанкционированного доступа к информации является результатом умышленного нападения.
Безусловно, неосмотрительность и пренебрежение правилами безопасности приводят к невероятному количеству случаев незаконной передачи и несанкционированного использования информации. В то же время все чаще хакеры осуществляют кибер-нападения не для того, чтобы приобрести репутацию или прославиться, а ради конкретной прибыли. Поэтому таким нападениям все чаще подвергаются бизнес-компании.
По результатам недавнего опроса компаний Германии, за последний год 40% респондентов пострадали от несанкционированного доступа к коммерческим тайнам или утраты важной информации. Вспомним массированную атаку на «Гугл», осуществленную несколько дней назад из Китая. Тогда нападение задело не только «Гугл», но и 24 другие компании. Конечно, такие атаки наносят вред не только коммерческим компаниям, поскольку позволяют получить доступ и к личной информации. В этом случае пострадали также правозащитники, которые пользовались системой «Гугл». То есть кибер-атаки преследуют не только коммерческие цели, их можно использовать и как инструмент государственных репрессий. Например, если пользоваться этим для тайной слежки за гражданами, получив доступ к частной электронной почте.
Мы также наблюдаем все более активное применение кибер-атак для проведения политических информационных кампаний. Те из вас, кто помнит прошлогоднюю копенгагенскую конференцию по изменению климата, наверное, вспомнят, что недели за две до ее открытия кто-то из хакеров проник в базу данных Университета Восточной Англии – одного из ведущих британских центров исследований изменений климата. Хакеры скачали оттуда всю электронную почту и воспользовались этой информацией, чтобы показать, что серьезность этой проблемы и реальные темпы изменений вызывают сомнения даже у специалистов. Совершенно очевидно, как перед проведением такой конференции это сыграло на руку тем, кто проводит компанию отрицания проблемы изменения климата. И, наконец, поскольку я работаю в НАТО, то, помимо других аспектов этой проблемы, хотел бы остановиться и на том, что уязвимость виртуального пространства все больше дает о себе знать и в контексте военных операций.
Вот один из показательных примеров: буквально перед Рождеством, когда Пентагону случайно удалось захватить один из компьютеров иракских повстанцев, стало известно, что эта группа имела возможность несанкционированного доступа к компьютерной системе американских беспилотных летательных аппаратов «Предатор» и могла даже скачивать видеоматериалы, отснятые этими аппаратами. Это стало возможным благодаря системе «Скай-гребер», которую можно скачать из Интернета всего за 25 долларов.
Кибер-атака отличается от обычного нападения. Тот, кто подвергается невиртуальному удару, узнает об этом практически сразу. В случае же кибер-атаки может пройти несколько недель, месяцев или даже лет, пока объект нападения узнает о незаконном проникновении в его компьютерную систему. И тут важно подчеркнуть одно различие, которое не всегда принимают во внимание. Вам, безусловно, станет понятно, что вы подверглись кибер-нападению, если в результате ваша система парализована и вышла из строя. Примером такой атаки является случай с Эстонией в 2008 году, или то, что случалось с другими странами и компаниями, пострадавшими от подобных парализующих ударов. Но 90% кибер-атак направлены на скачивание информации. Конфиденциальной информации! Когда ее извлекают, ваш компьютер и вся система продолжают работать в обычном режиме, поэтому вы и не подозреваете, что произошло несанкционированное проникновение.
Как в случае с Пентагоном и беспилотными летательными аппаратами в Ираке, о кибер-атаке часто становится известно только благодаря тому, что случайно удалось это обнаружить. Поэтому возникает вопрос: не превращаются ли кибер-атаки из простого неудобства в настоящее оружие? По аналогии с оружием массового поражения мы можем назвать их оружием массового сбоя систем?
Безусловно, между этими видами оружия существует значительная разница в плане пропорциональности потенциала поражения…
Кибер-нападение – самый современный способ ведения асимметричной войны.
Во-первых, он доступен каждому. Не нужно действовать на государственном уровне и тратить миллиарды долларов на техническое оснащение, как в случае с ядерным, химическим, биологическим оружием, военно-воздушными или сухопутными силами. Достаточно быть обычным человеком, имеющим базовую подготовку и компьютер.
Таким образом, кибер-оружие обладает непропорционально мощным потенциалом поражения, поскольку один компьютер может причинить ущерб миллионам компьютеров в сети противника. В истории человечества ни один другой вид оружия не имел такого непропорционально мощного потенциала поражения. Но поскольку в результате никого не убивают (по крайней мере, насколько мне известно, пока никто не погиб от кибер-атаки), то негодование и стремление нанести ответный удар в таких случаях, безусловно, не так сильны, как после терактов 11 сентября, которые привели к гибели множества людей.
В кибер-пространстве легко замести следы. Часто требуются долгие месяцы тщательного расследования, с привлечением целого ряда стран и разных юрисдикций, для того, чтобы точно определить, откуда нанесен виртуальный удар. А к тому времени, когда расследование, наконец, закончено, злоумышленник уже разобрал свою систему, изменил Интернет-адрес, а то и сам переехал. Как сказал один аналитик на конференции, в которой я недавно принимал участие, кибер-атаки – это проявление «конфликта между сильными, но самоуспокоенными представителями западных обществ и слабыми, но обладающими сильной мотивацией…»
Иными словами, кибер-оружие – это самый современный способ ведения асимметричной войны. Еще одну интересную особенность отметил недавно начальник Штаба обороны Британии сэр Джок Стирруп. В прошлом можно было четко разграничить войну и мир. Конечно, был и период холодной войны, когда мы жили в состоянии длительной напряженности, но все равно, пушки либо стреляют, либо молчат. Пока снова не начнут стрелять… Поэтому периоды войны и мира были четко определены. Но если речь идет о кибер-оружии, то, как сказал сэр Джок Стирруп, оно всегда находится в режиме «включено».
Это значит, что независимо от международной обстановки и потенциальной угрозы физического конфликта, испытания кибер-оружия, попытки кибер-нападений и собственно кибер-атаки никогда не прекращаются. Аналитики даже подсчитали, что Китай, например, привлек в ряды народной армии освобождения почти 100 тысяч компьютерных специалистов, которые ежедневно с 9 утра до 5 вечера заняты поиском уязвимых мест в компьютерных сетях других стран. Известно также, что сегодня около 100 стран мира (а это значит – большинство) активно разрабатывают не оборонные, а именно наступательные кибер-средства.
Американская компания Симантек, которая помогала мне подобрать материалы для сегодняшней лекции, ежегодно публикует очень полезный отчет об уязвимых элементах кибер-пространства, главным образом, в частном секторе. По данным этой компании, в современном мире каждые четверть секунды происходит кибер-атака. Это означает полтора миллиарда кибер-нападений ежедневно. И, как я уже говорил, в отличие от обычного оружия, кибер-оружие можно использовать для нанесения удара из любой точки и нацелить его тоже можно в любую точку планеты.
Одной из причин является возрастающее количество потенциальных вирусов, ботнетов и тому подобного. По подсчетам специалистов, в любой момент времени около 10 миллионов зараженных компьютеров используются для кибер-атак через так называемые бот-сети. Даже компьютерная сеть НАТО, со всеми ее защитными системами, еженедельно подвергается более чем сотне кибер-атак или хотя бы попыток проникновения в наши компьютеры. Анализ статистики показывает, что количество компьютерных вирусов растет в феноменальной геометрической прогрессии.
По данным компании Симантек, еще совсем недавно – в 2002 году существовало 20 547 вредоносных программных кодов. До 2005 года их количество возросло до 113025, а до 2007 года это количество возросло до 624000, а в прошлом году достигло 1656000.
Мне также сообщили, что в 2010-м году в кибер-пространстве будет насчитываться до 3 миллионов идентифицированных вирусов. А это значит (вы знаете, как я люблю статистику), что в то время как вероятность поражения молнией 1 к 26 миллионам, вероятность попасть в ДТП – один к 300, а вероятность того, что вас укусит змея – один к 42 миллионам, -- вероятность стать объектом некой кибер-атаки –1 к 5!
Так что это действительно глобальная проблема, и чем больше информации появляется в Интернете, тем больше беспокойства эта проблема вызывает у аналитиков. Вчера, например, в газете Financial Times было напечатано интервью с заместителем министра обороны США Уильямом Линном, в котором сообщалось, что в результате только одной кибер-атаки, (скорее всего, из територии Китая), хакеры незаконно скачали больше информации, чем содержится во всей библиотеке Конгресса США. Это непостижимо!
А поскольку все большая часть инфраструктуры переводится на цифровые технологии – это и электростанции, и транспортные сети, и системы управления воздушным движением, и лечебные учреждения и так далее, то возрастает и опасность того, что кибер-нападения будут приводить не только к незаконному получению информации, но и к повреждению систем жизнеобеспечения.
По данным компании Симантек, большинство случаев получения несанкционированного доступа к информации происходит: в сфере образования (27%), правительства (20%) и здравоохранения (15%), но интересно, что 57% этих случаев являются результатом кражи или утраты информации. Например, года 2 назад в британском правительстве случился большой конфуз, когда исчезли персональные данные всех пользователей государственной системы социального обеспечения, которые хранились на одном компьютерном диске. Получение доступа к такой информации, включая данные о банковских счетах и прочее, могло привести к настоящему криминальному буму, но проблема возникла не в результате действий хакера, а из-за неправильного обращения с диском.
Кстати, в ходе недавнего опроса сотрудников ряда западноевропейских компаний, 59% респондентов сознались, что брали корпоративную информацию домой. (Возможно, кто-то из вас тоже мог бы сделать подобное признание.) К тому же, оказалось, что каждый 10-ый из опрошенных за последние 2 года терял или ноутбук, или смартфон, или флеш-диск.
Таким образом, недостатки корпоративной политики или, другими словами, пренебрежение правилами безопасности, халатность остаются причиной большинства случаев несанкционированного получения информации.
И это – хорошая новость, дамы и господа, и до того, как я перейду к более тревожным фактам, хочу еще раз подчеркнуть: все вышесказанное означает, что при условии соблюдения правил безопасности мы сможем, как утверждают эксперты НАТО, с которыми я консультировался, предупреждать до 90% случаев несанкционированного компьютерного доступа к информации.
К тому же, 90% этих случаев связаны с преступной деятельностью. Согласно некоторым статистическим данным, в частности, из отчета бывшего директора национальной разведки США, кража закрытой коммерческой информации ежегодно наносит экономике Америки ущерб на сумму до 100 миллиардов долларов. В других отчетах, которые я читал, эти убытки оцениваются гораздо скромнее – от 1 до 2 миллиардов в год. Конечно, разница между этими оценками колоссальная, но любая сумма, превышающая миллиард долларов – это уже серьезный ущерб.
В США в результате только одного хакерского взлома были украдены персональные данные восьми и четырех десятых миллиона американцев – это 3% всего населения страны. Одна компания, выпускающая кредитные карточки (не буду ее называть) подсчитала, что в результате одного кибер-нападения были похищены персональные данные 94 миллионов владельцев ее кредитных карточек. По данным этой же компании, ликвидация последствий каждого случая несанкционированного доступа к информации компании обходилась ей в 67 миллионов долларов.
Зачем крадут подобную информацию? Этим, как правило, занимаются криминальные группы, которые потом продают эту информацию – данные кредитных карт, персональные данные, информацию о банковских счетах и так далее…
Поскольку речь идет о широкополосной сети, в которой содержатся оцифрованные данные большого количества граждан, не удивительно, что США занимают 1 место в мире по уровню незаконной деятельности в кибер-пространстве – 23%. Китай – 9%, но тут этот показатель тоже стремительно растет. Это говорит о том, что хотя эта страна часто фигурирует в СМИ как субъект кибер-преступности, она тоже все чаще подвергается кибер-нападениям.
Любопытно, что в этом списке немало стран-членов НАТО: Германия – 6% общего количества кибер-атак, Британия – 5%, Испания – 4%, Франция – 3. А с расширением доступа к широкополосной сети в этом списке появляются и другие страны: Бразилия, Польша, Россия, Турция, Индия… Это только те страны, которые я недавно анализировал в этом контексте.
Вполне естественно, что все это привело к огромным капиталовложениям в кибер-защиту. В прошлом году Конгресс США выделил 7,3 миллиарда долларов (это колоссальная сумма!) только на защиту правительственной компьютерной системы. А теперь прибавьте к этой сумме миллиарды долларов, которые вкладывают в кибер-защиту частные компании Америки. Так компания Симантек, которая, как я уже говорил, очень помогла мне в моих исследованиях, сообщила, что на сегодня 240 000 центров компании действуют в более чем 200 странах мира и обеспечивают мониторинг более 130 миллионов систем межсетевого интерфейса, которые находятся в ее базе данных.
Так что, безусловно, и кибер-преступность, и защита от нее будут требовать все больше финансовых вложений. Я уже говорил, что многих проблем можно избежать, просто соблюдая элементарные правила безопасности. Что же нужно делать, если мы знаем, что на 90% решение проблемы зависит от нас самих?
Во-первых, нужно сказать, что термин «кибер-атака» не совсем правильный. Понятие «атака» предполагает насильственное вторжение, преодоление сопротивления. Но в кибер-пространстве все происходит по-другому. Кибер-атаку можно осуществить, когда программа как бы разрешает вам войти, если вы нашли правильный подход.
Поэтому, когда речь идет о защите, прежде всего, нужно понимать, что попытка незаконного вторжения в вашу систему может произойти в любой момент. Это нужно воспринимать как норму, а не как исключение. Необходимо обеспечивать финансирование исследований, чтобы найти способы, во-первых, обнаруживать кибер-атаки, а во-вторых – выявлять уязвимые элементы наших компьютерных систем.
Один из моих любимых героев, Джордж Маршалл – автор знаменитого Плана Маршалла – в конце каждого рабочего совещания говорил своим сотрудникам: «Хорошо, а теперь скажите мне, где может произойти сбой?». Думаю, мы тоже должны себя спрашивать: где может возникнуть проблема?
…Необходимо финансировать исследования в этой области. Нужно также разрабатывать стандарты защиты компьютерных сетей. Многие организации имеют собственные компьютерные сети, но некоторые из этих сетей защищены гораздо лучше, чем другие.
Традиционно сложилось так, что больше всего внимания уделяется защите сетей, содержащих секретную информацию, особенно если речь идет о военных системах. Но если взять операцию в Афганистане, то какая компьютерная сеть для нас важнее всего?
Та, что связана с логистикой! А поскольку информация по логистике не содержит военных секретов, она хуже защищена. Но для проведения операции защита именно этой информации может быть важнее, чем защита военных тайн.
Правительства также должны вводить стандарты безопасности для компаний, работающих в кибер-пространстве – как это делается для безопасности химической или атомной промышленности.
Я считаю, правительствам придется прилагать все больше усилий для создания резервных систем, которые можно будет использовать, если кибер-атаки нанесут ущерб в таких ключевых отраслях, как здравоохранение, пищевая промышленность, водоснабжение и тому подобное.
В 2008 году, после кибер-нападения на Грузию – перед военным конфликтом, грузины смогли перевести свои информационные системы на одного из американских Интернет-провайдеров…
Нужно создать систему международного сотрудничества, которая даст возможность странам, пострадавшим от виртуальной агрессии, оперативно переключать свои компьютерные системы на зарубежные сети.
Следующий важный вопрос – это криминалистическая кибер-экспертиза. В начале лекции о распространении оружия массового поражения мы говорили о ядерной экспертизе, которая позволяет провести анализ конкретного ядерного материала и определить страну его происхождения. Я все больше думаю о перспективах создания подобной экспертизы для кибер-систем. Можно ли по характерному стилю кибер-атаки, по ее методологии определить некий код или другой признак, который позволял бы утверждать, что за конкретным преступлением стоит та или иная страна?
Нам нужны также способы дезориентации хакеров. В классических войнах, как и в конкурентной борьбе, всегда присутствует элемент дезориентации противника. Моя любимая история на эту тему широко известна. Во время Второй мировой войны в Кенте и Сассексе США и Британия создали фиктивную армию под командованием генерала Патона – с палатками, резиновыми танками, картонными самолетами – все для того, чтобы заставить немцев поверить, что десант союзников высадится через пролив Па-де-Кале, в Булони.
И Гитлер поверил! Поэтому оставил Нормандию, где на самом деле высадились союзники, относительно незащищенной. Если бы в день высадки десанта немецкие войска под командованием генерала Роммеля находились бы не в районе Па-де-Кале, а в Нормандии, неизвестно, как бы закончилась Вторая мировая война…
Подобная обманная тактика нужна нам и в борьбе с кибер-агрессорами. Они пытаются вводить в заблуждение нас, поэтому мы должны делать то же самое по отношению к ним. Есть вещи, которые технически мне не очень понятны, но речь идет о так называемых «медоносах» -- специальных незащищенных сетях, которые можно использовать как приманку, чтобы изучать приемы хакеров, выяснять, что им о нас известно, и таким образом защищать слабые места наших компьютерных систем от возможного нападения. Нужно активнее применять меры предосторожности, такие как опознавательный код, например, который позволяет точно определить отправителя той или иной информации. Мы должны также использовать криптографическую защиту. Это звучит как военный термин, но такая защита нужна и в частных компьютерных сетях.
Обсуждение всех этих вопросов сводится к одному: как нам защититься от злоумышленников в кибер-пространстве? Как известно, военные стратеги рассуждают так: есть средства обороны, сдерживания и контратаки. Это основополагающие принципы стратегии, и многие специалисты считают, что кибер-пространство ничем не отличается от любого другого пространства, где ведутся военные действия, то есть в нем нельзя полагаться только на оборону.
Уильям Линн, заместитель министра обороны США, в своем интервью во вчерашней Financial Times говорил, что тут мы не можем создать подобие «линии Мажино» и ждать, пока на нас нападут. Нужны средства маневрирования… Я читал научные труды ученых Американской академии наук, посвященные вопросам кибер-контратаки как средства сдерживания. После изучения этих исследований я пришел к выводу, что дальнейшее усиление систем обороны – это, пожалуй, пока самый лучший выход.
Причина состоит в том, что обеспечить сдерживание не так просто. Этот метод предполагает, что у противной стороны есть некие ресурсы, который для нее не менее ценны, чем ваши ресурсы для вас.
Как это было во времена холодной войны: если вы уничтожите Москву, мы уничтожим Нью-Йорк. То есть между противниками существует паритет сил и они, по сути, держат друг друга в заложниках: если один из них нанесет удар, стороны пострадают одинаково. Но в кибер-пространстве ситуация другая, так как угроза не симметрична.
Например, ваша система водоснабжения для вас гораздо важнее, чем для хакера его компьютер. Как можно обеспечить сдерживание, если нет возможности держать противника в заложниках?
Поэтому большинство аналитиков склоняются к мнению, что для успешной борьбы с этой угрозой нужно выйти за пределы кибер-пространства. Например, если вы знаете, что страна «Икс» совершает кибер-атаки на вашу систему, ваш премьер-министр может отправиться в эту страну и поднять вопрос публично, как это сделала канцлер Ангела Меркель несколько месяцев назад во время визита в Пекин.
Можно также использовать дипломатические средства или применить экономические санкции. Можно послать соответствующий запрос в ООН… Но в пределах кибер-пространства применять сдерживание в борьбе с этой асимметричной угрозой чрезвычайно сложно.
Здесь невозможно разоружение. Невозможно заключить договор, как в случае с ядерным оружием, и тем самым лишить противника возможности агрессии, ведь хакер может очень дешево купить новое оборудование и снова нанести удар. Существуют так называемые «боты» -- программы-роботы, которые можно приобрести через Интернет всего за 25 центов. И цены на них постоянно снижаются. Правда, несколько утешает то, что одновременно с падением цен на программы-вредители, дешевеют и антивирусные программы.
Что же касается ответных ударов – контратак – проблема в том, что сгоряча можно атаковать не того, кто напал на тебя. Дело в том, что в виртуальном пространстве злоумышленник, как правило, действует под чужим флагом. Здесь легко замаскироваться. Скажем, меня атакует один человек, а я думаю, что совсем другой, потому наношу ответный удар уже против третьей стороны, которая, в свою очередь, вступает в кибер-конфронтацию со мной, не понимая, в чем причина моего нападения.
Мартин Либицкий – блестящий аналитик, который очень интересно пишет на эту тему, сказал: «Цифровая четкость – это свойство телевидения с высокой разрешающей способностью, а не признак кибер-войны». Иными словами, электроны не всегда ведут себя так, как нам хотелось бы. Например, нанося виртуальный удар, вы можете поразить не только свою цель, скажем, некую военную систему, но и нанести ущерб гражданской инфраструктуре. Никому не хотелось бы, нанося удар по военному объекту, вывести из строя, например, кувез для новорожденных. К тому же, возникает вопрос, каковы могут быть последствия такого инцидента с точки зрения международного права?...
С концептуальной точки зрения, между кибер-атаками разного типа существует значительная разница. Некоторые из них просто создают определенное неудобство, допустим, если речь идет о кибер-шпионаже. Шпионаж существует с незапамятных времен, его когда-то называли второй древнейшей профессией. А кибер-шпионаж – это всего лишь одна из форм агентурной разведки. В виртуальном мире это обходится значительно дешевле, чем вербовка агентов и отправка их в какую-нибудь страну для сбора информации. Такие действия, особенно если они не привели к реальным человеческим жертвам, не могут расцениваться как casus belli – то есть формальный повод для начала физической конфронтации. При каких же условиях кибер-нападение подпадает под действие 5 статьи Вашингтонского договора и создает casus belli, то есть считается равноценным вооруженной агрессии?
Министр обороны США Роберта Гейц сказал: «Мы должны выработать четко определенную политику по поводу того, какой уровень кибер-атаки может считаться военной агрессией». Но пока у нас нет нужного определения. Это похоже на то, о чем я говорил в своей лекции о терроризме: очень сложно определить, является ли некий теракт настолько масштабным, чтобы подпадать под действие 5 статьи, то есть быть основанием для коллективных ответных действий или даже военного контрудара.
Тут есть и еще один фактор. Люди иногда не хотят признавать, что подверглись кибер-нападению: неловко признаваться, что кто-то незаконно проник в ваш компьютер. Допустим, если это случилось с банком, ему очень не хочется сообщать своим клиентам, что данные по их кредитным карточкам украдены. Всегда есть соблазн хранить это в секрете, чтобы избежать конфуза и постараться без лишнего шума решить вопрос с теми, кто, по вашему мнению, совершил кибер-нападение. А если открыто признать проблему, придется как-то сохранять лицо, достойно держаться под давлением общественности, и так далее…
Ну и еще один момент, связанный с так называемым «общественным инстинктом»: иногда виртуальные удары наносятся от вашего имени, хотя вы об этом никого не просили. Возможно, вы помните резонансные кибер-атаки на Эстонию несколько лет назад, которые длились 3 дня. Они нанесли очень серьезный ущерб компьютерным системам государственного управления Эстонии. Главной причиной этих нападений была эмоциональная реакция на решение правительства страны убрать советский памятник в центре Таллинна – помните? Многие из тех, кто стоял за кибер-ударами, это – так называемые «хакеры-патриоты». Они рассуждают так: «Я не буду ждать ответного удара правительства, я сам нанесу этот удар от имени правительства».
Так в 99-м году, во время воздушной кампании в Косово, НАТО подверглось массированным прицельным кибер-ударам со стороны сторонников сербов в других странах, в основном, представителей диаспоры, которые не хотели ждать реакции Белграда и решили действовать от его имени.
Возникает вопрос: как контролировать людей, которые своими действиями могут вызвать дипломатический кризис, при этом действуют якобы от вашего имени, потому что им кажется, что вы именно этого от них ждете?
Если применять, помимо кибер-защиты, тактику устрашения или ответных ударов, то, возможно, правительства и будут рассматривать использование подобных методов как вариант, хотя бы для сдерживания злоумышленников, но такой подход чреват целым рядом правовых, технических и процедурных осложнений. Поэтому, я считаю, что оборона остается самой правильной тактикой. Но это, конечно, должна быть умная оборона.
Недавно мне показали интересные фотографии. На одной – Великая китайская стена, на другой – стены вокруг Стамбула (Константинополя). Китайская стена всего одна (я имею в виду Великую китайскую стену, а не систему фильтрации Интернета в Китае, которую называют китайской противопожарной стеной). И это значит, что злоумышленнику нужно преодолеть только 1 преграду. А Стамбул имеет несколько линий защиты и, преодолев одну, ты наталкиваешься на следующую. Я считаю, нам нужна именно такая оборона.
…И наконец – стратегические выводы. С точки зрения стратега кибер-угроза действительно вызывает беспокойство. Но тема эта чрезвычайно интересна. Вопрос в том, насколько эта проблема может выйти за пределы простого неудобства или коммерческих затрат и стать реальной угрозой для общества, такой же как и война в классическом понимании этого слова.
Отвечая на этот вопрос, специалисты разделились на 2 лагеря. Одни согласны с Брюсом Берковицем – известным американским обозревателем, который в своей книге «Новое лицо войны» пишет: «Информационная революция принципиально изменила природу военных действий, и сегодня, чтобы выиграть войну, нужно сначала одержать победу в информационной войне».
Другими словами, война в кибер-пространстве – это отдельная война, имеющая решающее значение. То есть достаточно одержать победу в кибер-пространстве, чтобы выиграть войну в целом. Другие известные стратеги, такие как Колин Грей из Редингского университета в Британии, настроены более скептично и считают, что кибер-война помогает выигрывать отдельные сражения, но не обеспечивает общую победу в реальной войне.
Я анализировал этот вопрос и склонен скорее согласиться с Колином Греем, чем с Брюсом Берковицем.
Кто изучал историю войн, знает, что технологические преимущества могут дать очень многое. История Второй мировой свидетельствует, что в то время, как события разворачивались на полях сражений – под Сталинградом, в Нормандии, в других боях – борьба велась еще и в научных лабораториях, и можно сказать, что эта война была не менее важной. Именно она иногда имела решающее значение и приводила к перелому в ходе войны. Например, в случае, когда британцы разработали способ противодействия радионавигационной технологии, которую немцы применяли при бомбардировках Великобритании в 40-м году.
Еще один пример – когда британцы взломали код немецкой шифровальной машины «Энигма» и смогли читать шифрограммы противника. Технологические успехи подобного рода дали союзникам значительное преимущество. Но я не думаю, дамы и господа, что именно они определили победу союзников во Второй мировой войне. Ее определило то, что войска союзников дошли до самого Берлина и окончательно уничтожили гитлеровский режим.
Если вспомнить известное высказывание Клаузевица о том, что война определяется четырьмя составляющими: опасность, физическое напряжение, неизвестность и случай, я бы сказал, что преимущество в информационном пространстве помогает ослабить негативное влияние этих факторов, но не избавляет от них полностью. Одно дело иметь информационное преимущество и совсем другое – уметь им воспользоваться.
Яркий пример – Вторая мировая война. С технологической точки зрения нацистская Германия была самой развитой страной. У нее были лучшие ученые, самые передовые технологии, она первой создала ракеты – «Фау-1» и «Фау-2», но все равно потерпела поражение. Потому что для победы нужен еще и боевой дух, дисциплина, подготовка, лидеры, общественная поддержка и, конечно, правильная стратегия.
Так что и кибер-средства не станут, я думаю, чудо-оружием, которое могло бы само по себе обеспечить победу в том или ином конфликте. Не более, чем авиация в 20-х - 30-х годах прошлого века. В то время в Европе очень боялись, что авиация будет настолько мощным оружием, что ее применение заставит население сразу же сдаваться. Как говорил британский премьер Стенли Болдуин: «Бомбардировщик всегда прорвется».
Но как в случае немецкого «блица» против Британии, так и во время англо-американских бомбардировок Германии, начиная с 41-го и до самого конца, авиация достигла гораздо меньшего успеха, чем ожидали приверженцы воздушных ударов. Она не сломила дух населения, не лишила немцев возможности продолжать производство своих самолетов и так далее…
…Ричард Овери, лучший британский специалист по истории Второй мировой войны, детально исследовал этот вопрос и пришел к выводу, что англо-американская воздушная кампания против Германии действительно серьезно повлияла на ход Второй мировой, но не потому, что достигла поставленной цели – разрушить инфраструктуру Германии, деморализовать население, парализовать экономику, а потому, что вынудила немцев ослабить свой восточный фронт, где шли бои с русскими войсками. Именно оттуда значительные силы были переброшены для защиты территории Германии от бомбардировщиков. Так что причина была скорее в перемещении сил и ресурсов противника, а не в их физическом уничтожении. По-моему, это убедительный аргумент.
Поэтому я считаю, что нет оснований утверждать, что кибер-средства изменят природу военных действий больше, чем это сделало ядерное оружие или, в свое время, авиация. В итоге мы просто учимся жить при наличии новых видов оружия и интегрируем их в свою стратегию.
И все-таки, каковы возможные последствия кибер-атак? Прежде всего – это краткосрочное преимущество на начальном этапе. Подобно тому, как во время Первой мировой, особенно на западном фронте, применялась артподготовка – для того, чтобы ослабить позиции противника и ввести войска на вражескую территорию. Это была прелюдия к бою, способ парализовать врага.
Как, например, операция «Шок и трепет» во время войны против Ирака в 2003-м – когда ставится цель вывести из строя системы коммуникаций противника, чтобы ослабить его сопротивление. Но опыт показывает, что эффект от кибер-атаки не бывает длительным. Например, в Эстонии…-- когда это было? В 2007-м, 6-м, 5-м?... Словом, недавно, несколько лет назад. Я имею в виду нашумевший случай, когда применялись очень короткие серии кибер-атак, каждая из которых длилась не больше часа.
За три дня эстонцы починили пораженные системы, и они снова заработали в нормальном режиме. Так что результат – кратковременный: как только найдены обходные пути, система снова работает. Наибольшего эффекта можно достичь, если действовать внезапно, но если мы начеку и постоянно создаем предохранительные системы, эффект неожиданности массированного кибер-удара можно смягчить. Именно так я расцениваю потенциальное влияние кибер-угроз.
Во-вторых, мы должны придерживаться определенных принципов. Прежде всего, нужно создать условия, ослабляющие мотивацию для потенциального кибер-нападения. Для этого необходимо уменьшить возможность такого нападения своей готовностью к нему – способностью быстро обнаружить кибер-атаку и отреагировать на нее. Следующее (и это уже интеллектуальная задача)– необходимо предупреждать перерастание кибер-нападения в настоящую войну.
Тут проблема состоит в том, что когда конфликтующие стороны постоянно испытывают терпение и провоцируют друг друга, (как это было между израильтянами и арабами перед 67-м годом или перед войной Судного дня 73-го года), ситуация легко может выйти из-под контроля.
Одна из сторон может просто не рассчитать силу провокации и вместо небольшой драки вспыхивает настоящая война. Как же избежать перерастания кибер-атак в открытую конфронтацию? Как обеспечить разрядку напряженности и не допускать эскалации кибер-конфликтов?
В-третьих, как мы можем определить, что кибер-атака остановлена? Если ваш противник заявляет: «Мы готовы подписать мирный договор, обещаю больше этого не делать…» -- какие у нас гарантии, что это не просто короткая пауза, после которой атака возобновится? Все эти вопросы требуют тщательной проработки.
И наконец – международное право. Что можно сделать, чтобы создать новый международный режим на основе консенсуса по признанию кибер-нападения уголовным деянием, требующим соответствующего наказания? Чтобы показать, что это не просто баловство подростков, которые так развлекаются – коротают вечер где-то в гараже…
Новый режим должен служить сдерживающим фактором, особенно с учетом того, что достичь компьютерного «разоружения», как я уже говорил, невозможно. Прежде всего, я считаю, нам нужен закон, регулирующий работу Интернет-провайдеров. Или международное соглашение, предполагающее их ответственность за вредное программное обеспечение, проходящее через их системы. То есть документ, обязывающий провайдеров контролировать свои сети. Провайдер не должен быть только пассивным передатчиком информации...
Финляндия, например, разработала очень эффективное законодательство по борьбе с Интернет-мошенничеством (так называемым «спуфингом») в контексте работы Интернет-провайдеров. Возможно, эта модель заслуживает изучения.
Необходима определенная стандартизация законодательства, чтобы к кибер-преступлениям применялся единый правовой режим.Например, в Аргентине, (не знаю, как сейчас, но, по крайней мере, еще несколько лет назад) кибер-преступления не рассматривались как таковые, и хакеры чувствовали себя абсолютно свободно. И если мы не хотим, чтобы такие страны как Йемен или Афганистан служили убежищем для террористов, для хакеров тоже не должно быть мест, где они могли бы укрыться, пользуясь либеральностью законов той или иной страны.
В-третьих, международные конвенции в этой области должны быть действенными. Например, нынешней Конвенции Совета Европы «О кибер-преступности» явно не хватает механизма реализации, механизма правоприменения. Она хороша с точки зрения морального осуждения кибер-преступлений, но в практическом смысле этот документ неэффективен.
Одной из причин является неоднозначное отношение к нему со стороны России, которая не желает, чтобы на ее территории международные представители или правоохранительные органы других стран имели определенные полномочия. Вообще, все страны весьма неохотно делятся своей юрисдикцией с иностранными структурами правопорядка.
Позволю себе историческую аналогию: когда в университете я изучал причины Первой мировой войны, я с удивлением узнал один факт. Как вы, наверное, помните, в 1914 году Сербия отвергла ультиматум Австро-Венгрии. Но вы вряд ли помните другое: на самом деле Сербия приняла все положения ультиматума, кроме одного, и именно это и привело к Первой мировой. Они отказались предоставить австрийским судьям возможность заседать в судах Сербии. Подписание договора было сорвано только из-за этого, что и привело к Первой мировой войне. Так что это – очень деликатный вопрос. И все равно, необходимо искать пути усовершенствования упомянутой конвенции.
Итак, дамы и господа, что же мы имеем в итоге?
Во-первых, когда речь идет о кибер-угрозе, не нужно поддаваться панике! Никакой паранойи! Особенно с учетом того, что, как я уже говорил, простое соблюдение правил безопасности дает возможность избежать проблемы в 90% случаев. Это первое.
Во-вторых, кибер-оружие не является эквивалентом оружия в классическом понимании этого слова. Если бы в мире произошел обмен ядерными ударами, мы могли бы снова оказаться в каменном веке. А если бы случилось невероятное, и некая хакерская атака вывела из строя все компьютеры в мире, нас бы отбросило где-то в 60-е годы прошлого века. Ну и что?
Конечно, я говорю это с долей юмора, но действительно – в 60-х были автомобили, телевизоры, холодильники, посудомоечные машины – жизнь была довольно комфортная! В информационном плане, конечно, все было гораздо примитивнее, но это ведь был далеко не каменный век, так что не нужно преувеличивать эту угрозу.
К тому же общество обладает поразительной жизнестойкостью и способностью восстанавливаться. Я уже говорил о воздушных кампаниях Второй мировой, которые показали, что все страхи относительно того, что возникнет массовая паника, дезертирство, что люди перестанут выходить на работу, оказались сильно преувеличенными.
Так и жители Сараево отважно выдержали осаду, которая длилась с 1992 по 95 год… То есть когда случаются такие испытания, оказывается, что у нас куда больший запас жизнестойкости, чем казалось раньше. Но, конечно, совсем успокаиваться нельзя, ведь мы не знаем, как будут развиваться события в следующие годы, а кибер-угрозы действительно имеют серьезный потенциал.
Недавно в журнале «Foreign Affairs» я прочитал статью Уэсли Кларка – бывшего главнокомандующего НАТО, в которой он утверждает (не знаю, правда ли это), что когда израильская авиация нанесла удар по сирийскому реактору, (помните, подробности этого дела были засекречены и открылись значительно позже), то, как утверждает Уэсли Кларк, силы ПВО Сирии даже не отреагировали, так как заранее были выведены из строя компьютерным вирусом.
Так что если это возможно на таком высоком технологическом уровне, то, учитывая переход к ведению боевых действий с применением объединенных информационных сетей и цифровых систем вооружения и коммуникации, наша позиция действительно может быть уязвимой. Это не обязательно означает поражение, поскольку, как я уже говорил, кибер-нападения обычно не имеют длительных последствий, но они могут причинить значительный ущерб, и я не исключаю, что даже могут привести к многочисленным человеческим жертвам.
Я не претендую на звание мирового эксперта в этой области, но мой анализ этого вопроса выявил только один случай физического разрушения в результате кибер-атаки. Когда произошел взрыв, повредивший генератор в Америке. Были также случаи, когда в Лос-Анжелесе люди со зла выводили из строя систему дорожных светофоров, что могло привести к ДТП и человеческим жертвам. Но такие инциденты приводят скорее к сбою в работе систем, чем к смертельным последствиям для людей.
Тем не менее, пока такие случаи происходят, нам нужно сохранять бдительность. Как в ситуации с ядерным оружием – нужно просто адекватно к нему относиться, как к явлению нашей реальности, и научиться с этим жить.
Ну и в завершение анализа шести современных угроз безопасности, что можно посоветовать тем, кто разрабатывает новую Стратегическую концепцию НАТО?
Безусловно, первый вывод состоит в том, что мы должны сохранять бдительность относительно каждой из этих угроз. Искусство стратегии состоит не в том, чтобы разделить все наличные ресурсы на шесть равных долей, поскольку каждой из них будет недостаточно для достижения ощутимого результата. Но необходимо все время следить за развитием ситуации. Тогда, уделяя основное внимание приоритетам, вы не теряете из виду все остальные процессы, и если на каком-то направлении возникнет опасная для жизни угроза, вам не придется начинать с нуля – у вас уже будет необходимая политика, знания и технологии, чтобы противостоять этой угрозе.
И все-таки, после анализа всех этих угроз я бы выделил две как самые важные.
Первая – это распространение оружия массового уничтожения. Поскольку, как я уже говорил, кибер-атаки, слава богу, не приводили пока еще к массовым человеческим жертвам, а первоочередной задачей такого альянса как НАТО является защита жизни граждан стран-членов и, насколько возможно, граждан других государств.
Все-таки умереть от пули – это гораздо хуже, чем потерять на пару дней доступ к банковскому счету из-за кибер-атаки. Последнее можно пережить и можно исправить. А вот обмен ядерными ударами может лишить жизни миллионы людей.
К тому же распространение ядерного оружия – это реальность сегодняшнего дня. Я не говорю, что обязательно случится наихудшее, но и полностью исключать такую вероятность мы не можем. Поэтому я считаю, что предотвращение этого наихудшего сценария – через контроль над вооружениями, через системы ПРО и так далее – должно стать для НАТО основным приоритетом.
Второе: недееспособные государства. Им была посвящена моя предыдущая лекция. Почему это так важно? Потому что эта проблема становится глобальной. В прошлый раз я говорил, что 60 стран мира переживают кризис государственной власти или находятся на грани такого кризиса. Безусловно, больше всего страдают граждане именно этих стран: нарушения прав человека, жертвы среди гражданского населения, эксплуатация природных ресурсов криминальными группами, о чем писала Микела Ронг в своей книге «Теперь наша очередь поесть»… Речь идет о том, что, придя к власти, та или иная этническая группа монополизирует природные ресурсы, пытаясь взять социальный реванш, поскольку эти люди убеждены, что пришла их «очередь кушать».
В то же время опыт показывает, что недееспособные государства представляют опасность не только для своего населения, так как они часто становятся убежищем для криминальных группировок, террористических организаций, источником незаконного производства наркотиков и так далее. Исходя из стратегических и гуманитарных соображений, на первые два места в своем списке угроз я бы поставил недееспособные государства и распространение оружия массового уничтожения. Но никто не может знать точно. Кто пытается предвидеть будущее, всегда ошибается. И я в этом отношении не исключение. Поэтому важно не упускать из виду и другие угрозы. Надеяться, что они не достигнут уровня двух вышеупомянутых, но не забывать, что и это тоже может случиться.
Большое спасибо.
-- Не знаю, уместным ли будет мой вопрос, но с какой целью хакеры взламывают базы данных медицинских учреждений?
-- Главным образом для того, чтобы получить информацию, которая имеет определенную коммерческую ценность, и продать ее.
-- Коммерческую ценность?
-- Да, именно так. Продать ее…
Это может быть конфиденциальная информация пациентов, которую можно продать, например, фармацевтическим компаниям. Это могут быть результаты лабораторных исследований, клинических испытаний лекарств и тому подобное. К тому же есть немало организованных преступных группировок, которые обмениваются подобной информацией.
Конечно, в первую очередь от кибер-нападений страдают финансовые учреждения, потому что любой преступник мечтает перевести деньги с легального банковского счета на нелегальный. Но статистика показывает, что и на медицинские учреждения приходится большая доля виртуальных атак.
-- С учетом уязвимости виртуального пространства, как вы рассматриваете перспективы развития электронного управления?
-- В контексте современных проблем безопасности, существует 2 основных подхода к вопросам электронного управления, так же как и к проблеме изменения климата.
Первый предполагает создание универсального режима типа пост-киотского общего соглашения по вопросам изменения климата. Но если это окажется невозможным или соглашение не будет действенным, поскольку полного согласия можно будет добиться далеко не по всем вопросам, тогда другой подход – региональные соглашения. Мы уже наблюдаем это в сфере торговли:
Если не удается заключить глобальное соглашение – (Дохийский раунд переговоров ВТО) – выбор делается в пользу региональных соглашений. Одно из них недавно было подписано в Азии – о режиме свободной торговли. Это делается в надежде на то, что со временем к региональным соглашениям будет присоединяться все больше стран, которые, в конце концов, придут к универсальным стандартам.
Я думаю, в будущем такие организации как НАТО, в которые входят страны-единомышленники, будут все активнее работать над созданием внутренних систем кибер-безопасности для защиты интересов своих членов. А присоединение стран-партнеров (если говорить о НАТО) будет расширять международные рамки такой системы.
На прошлой неделе я говорил, что в операции под руководством НАТО в Афганистане принимают участие 15 стран, не являющихся членами Альянса, такие как Швеция, Финляндия и другие. Им нужна такая же кибер-защита систем разведки, управления и коммуникаций, как и союзникам. Мы не можем допустить проникновения в их базы данных, поскольку наши оперативные системы взаимосвязаны, и взлом их системы означает, что наша тоже взломана.
Поэтому я считаю, что системы кибер-защиты будут создаваться по отраслевому принципу. Частные компании тоже будут объединяться, чтобы обмениваться своим опытом, включая создание систем раннего предупреждения. Слабых мест в виртуальном пространстве множество, и проблемы связаны как с программным обеспечением, так и с техническим оборудованием.
Производители могут ввести в систему вредоносный код еще на этапе изготовления, и вы даже ничего не заподозрите. Как это было после Второй мировой, когда Британия поставляла некоторым странам немецкую шифровальную машину «Энигма», в которую были заранее введены вирусные коды. Хитро, не правда ли?
Так что, покупая оборудование, никогда не знаешь, что с ним делали до того. К тому же сегодня все больше компьютерного оборудования импортируется. Например, 20 лет назад компания Ай-Би-Эм сама производила компьютерную технику в США. А теперь комплектующие привозят из Индии, Китая, Индонезии – отовсюду. Кто может гарантировать, что с этими деталями все в порядке? Существуют и проблемы, связанные с совместимостью между программными и аппаратными средствами компьютеров, с коммуникационными каналами, с системной конфигурацией, с действиями пользователей и операторов и, конечно, как я уже говорил – с работой Интернет-провайдеров.
У хакеров есть несколько способов проникновения в ваш компьютер. При дальнейшей интеграции систем, как это происходит в различных альянсах, эффективность кибер-защиты на уровне отдельных государств будет уменьшаться. Тут невозможно построить «линии Мажино». Поэтому возникает необходимость в универсальных системах защиты, которая будет охватывать ту или иную интегрированную структуру.
Хочу добавить еще один момент. Когда я пришел работать в НАТО (даже не буду говорить, как давно это было, чтобы не пугать вас), Альянс собственными силами разрабатывал свое программное обеспечение, например, для системы противовоздушной обороны. Сегодня так уже никто не делает. Все пользуются коммерческим продуктом – Microsoft, Windows, универсальными компьютерными приложениями… Уже никто не разрабатывает собственные системы для внутреннего пользования, к которым нет внешнего доступа.
Поэтому специалистам нужно объединять усилия, по крайней мере, в пределах отдельных структур, и разрабатывать системы кибер-защиты, используя и распространяя передовой опыт. Очень надеюсь, что события будут развиваться именно так. Потому что универсальное соглашение, особенно если оно не будет действенным (а пока это кажется весьма вероятным), не решит проблему обеспечения кибер-защиты. Прошу вас.
(Дакосса, Совет Европейского Союза).
-- Мой вопрос касается «ботнетов» -- программ-роботов, которые широко предлагаются в Интернете. Недавно специалисты по кибер-безопасности совместно проанализировали деятельность бот-сетей и начали работу, направленную на их обезвреживание, скажем прямо, на их уничтожение. Как вы оцениваете такую попытку взять закон в свои руки?
-- В этой области действительно много неясности. Например, иногда для проверки уязвимости собственной системы необходимо прозондировать другую систему. Поэтому некоторые так называемые наступательные системы, по сути, являются оборонными.
Например, вы видите, что кто-то пытается проникнуть в вашу систему, думаете, что подверглись кибер-атаке и начинаете зондировать другую систему, чтобы выяснить, кто на вас нападает. А тот человек, в свою очередь, воспринимает это как кибер-нападение и так далее. Понимаете?
Это как перед Первой мировой – каждая страна, которая объявляла мобилизацию, считала, что она защищается. А другие в это время считали, что она готовит нападение именно на них. Разделительная линия между нападением и обороной стала почти незаметной: каждый считает себя жертвой, а других агрессорами. Поэтому кибер-пространство становится все более сложной средой, в которой все больше людей, военных структур и государств тратят немалые средства и время для получения информации и, что не менее важно, для зондирования чужих систем.
– Не только для того, чтобы обнаружить их слабые места, но и чтобы выявить собственные проблемы.
В результате возникает цепь причинно-следственной связи, когда любое действие вызывает ответное противодействие.
Вы говорили о бот-нетах. Я считаю, что для урегулирования этого вопроса нужно четко различать действия в кибер-пространстве. Некоторые из них связаны, скажем, с международным шпионажем – и это, в общем-то, обычная практика. Время от времени выражаются протесты, кого-то выдворяют из какой-то страны, потом ситуация опять нормализуется. Это реальность, с которой нам приходится жить. Ее не изменишь. Мы не можем приказать всем странам прекратить сбор информации друг на друга. Но подобную деятельность нужно четко отличать от целенаправленных попыток вывести из строя вашу систему или получить информацию, нужную для нарушения ее работы, или получить доступ к вашим базовым системам и тому подобное.
Для прекращения этой деятельности можно было бы создать аналог режима контроля над вооружениями. Например, с 1967 года действует договор, запрещающий размещение оружия в космосе; существует подобный договор и насчет использования морского дна; сейчас обсуждается возможность запрета противоспутникового оружия…
В свое время США и Советский Союз заключили договор, обязавший обе стороны отказаться от некоторых систем противоракетной обороны – помните, договор об ограничении систем ПРО?
Так что я считаю, единственное, что можно сделать для решения проблемы, о которой вы говорите, это разработать ряд двухсторонних соглашений (как в области контроля над вооружениями), которые будут подписаны основными игроками – Россией, Китаем, США и другими.
Я имею в виду соглашения, предполагающие запрет на кибер-нападения в отдельных сферах деятельности – например, в противовоздушной обороне, в спутниковых системах, в GPS навигации и так далее. Тогда в случае нарушения этих соглашений можно будет применить соответствующие дипломатические инструменты… Подобный межгосударственный «кодекс поведения» был бы, как мне кажется, наилучшим решением.
Хочу добавить, что уже несколько лет США и Россия пытаются разработать соглашение по поводу кибер-пространства, но русские считают, что оно должно касаться преимущественно военной сферы, а США хотят включить в него и частный сектор, и преступную деятельность, и другие аспекты. Но, по крайней мере, делаются попытки достичь согласия. Было бы здорово получить первый договор о контроле над кибер-вооружениями, который и другим послужил бы примером…
-- Вы упоминали кибер-нападения на банки, медицинские учреждения, проблемы, связанные с программным и аппаратным обеспечением компьютеров… Хотелось бы больше услышать о том, какова реальная опасность массовых сбоев в работе систем жизнеобеспечения в результате кибер-атак. Я имею в виду линии электропередач, водоснабжение, энерготранспортные сети – все то, что называется объектами критической инфраструктуры и может попасть под кибер-удар.
-- Несомненно, в будущем придется разрабатывать все эти системы с учетом необходимости защиты от кибер-ударов. Нужно сказать (это касается и предыдущего вопроса), что чем больше стран будут полагаться на Интернет в работе систем жизнеобеспечения, тем больше они будут заинтересованы в открытом доступе к всемирной сети – ведь Интернет создавался не для того, чтобы работать в секретном режиме. Иными словами, для Китая ценность его финансовой системы или для России важность бесперебойной работы энергетических путепроводов настолько велика, что им экономически выгоднее поддерживать кибер-пространство в действующем режиме, а не пытаться подорвать его кибер-атакой. То есть, зачем причинять кому-либо ущерб, если в результате ты понесешь еще больший урон? Именно это соображение может стать спасительным в вопросах кибер-безопасности.
Конечно, остается еще проблема кибер-нападений для получения информации, но применение их для масштабного сбоя систем, безусловно, будет уменьшаться. Правда, мы еще не создали систему пропорционального сдерживания, то есть когда я знаю, что ответный удар обернется для меня не меньшим ущербом, чем тот, который я могу причинить тебе, и поэтому воздерживаюсь от нападения. Такой системы пока нет, но если она появится, ситуация может измениться.
Возможно, мой следующий аргумент покажется чисто философским, но я хочу пояснить свою мысль. У нас мало свидетельств того, что аль-Каида или другие террористические группировки применяют кибер-атаки. Причина в том, что террористы все больше полагаются не на тренировочные лагеря где-нибудь в Афганистане или Пакистане, а именно на Интернет, через который они вербуют добровольцев, проповедуют салафию, распространяют видеоматериалы, технологии и так далее.
Поэтому если бы Интернет перестал работать из-за кибер-атак, они, как террористическая организация, потеряли бы очень много… Возможно, это несколько «извращенный» пример незаинтересованности в подрыве кибер-пространства, ведь для них это всего лишь способ вербовки и агитации, но террористы действительно считают, что кибер-атаки могут лишить их важного Интернет-ресурса, что повредит их деятельности гораздо больше.
Но, все равно необходимо разрабатывать способы защиты… Например, по принципу воздушного тормоза между различными системами… Нужно создавать резервные системы…Например, в Ливане несколько лет назад в каждом доме был свой генератор на случай отключения электроэнергии. Подобный аварийный резерв нам нужен и в кибер-пространстве.
И я, честно говоря, думаю, что при всех высокотехнологичных компьютерных системах нам нужно сохранять и «старомодные», работающие в режиме ручного управления. Их можно было бы использовать в экстремальных ситуациях для обеспечения бесперебойного выполнения функций жизнеобеспечения.
Не менее важна и система раннего предупреждения. По уровню активности в виртуальном пространстве кибер-атаку можно засечь на раннем этапе, до того, как она достигла критической точки.
Функция кибер-разведки состоит в том, чтобы быстро обнаружить нештатную ситуацию, определить уязвимое место и оперативно заблокировать опасный участок. Я плохо разбираюсь в технических тонкостях, но в ходе исследования этого вопроса у меня сложилось впечатление, что кибер-атака похожа на подглядывание в щелочку. То есть я не вижу, что у вас в доме происходит, потому что окна занавешены, но могу заглянуть в узкую щель между шторами и попробовать рассмотреть, что и как. Таким образом, злоумышленник создает щель в вашей системе, но вирус не сразу распространяется в ней. Так что если оперативно обнаружить эту щель, можно локализовать вредное влияние вируса. Как, например, на корабле должны быть герметичные переборки.
На «Титанике» их, очевидно, не было, но корабли нужно строить так, чтобы в случае столкновения с айсбергом или повреждения одного из отсеков, его можно было бы изолировать и не дать воде проникнуть в другие помещения. Или как на самолете: если один из двигателей загорелся, его можно отключить…
Так что в будущем нам нужно создавать системы, дающие возможность быстро локализовать зараженные участки и предотвращать распространение вирусов.
А теперь, дамы и господа, позвольте вас поблагодарить за то, что были со мной. Без слушателей не было бы и лекций, поэтому я вам искренне благодарен. Желаю всего наилучшего, надеюсь, мы еще сможем встретиться, чтобы обсудить уже новые актуальные вопросы безопасности.
Спасибо!