Лекція 6 – Кібернапади: надмірний галас чи головний біль відкритих суспільств, що посилюється?
Д-р Джеймі Ши, директор Відділу політичного планування особистої канцелярії Генерального секретаря
Доброго дня, пані та панове. Радий вас бачити. Почну з доброї новини: сьогоднішня лекція є останньою з циклу, присвяченому новим викликам безпеці НАТО, тож після неї вам більше не доведеться слухати ці лекції. Але є й погана новина – дощового четверга вам доведеться шукати інше місце в Брюсселі, де можна пообідати…
…Ті з вас, хто відвідував ці лекції впродовж кількох останніх місяців, знають, що, розробляючи цей цикл, я не мав на меті охопити усі можливі виклики безпеці. Я детально не говорив про пандемії, про стрімке зростання населення, про дефіцит водних ресурсів, не говорив навіть про проблему міграцій. Насправді існує велика кількість загроз безпеці, але я намагався зосередити увагу на шести викликах, протистояння яким, найвірогідніше, стоятиме на порядку денному НАТО впродовж кількох наступних років, і які аналізуються групою експертів під керівництвом Мадлен Олбрайт у контексті нової стратегічної концепції Альянсу.
Якщо пригадуєте, ми розпочали з питань розповсюдження ядерної загрози, розглянули тему тероризму, потім енергетичну безпеку, зміни клімату, минулого разу йшлося про недієздатні держави, а сьогодні маємо останню важливу тему цього циклу – кібер-безпека. Я роблю цей вступ, оскільки впродовж цього циклу мене підсвідомо переслідує питання, чи є завдання, пов’язані з усіма вищезгаданими загрозами, в однаковій мірі пріоритетними для НАТО? Чи повинен Альянс розділити наявні ресурси для виконання цих завдань на шість рівних частин? Чи є серед цих загроз такі, що становлять більшу небезпеку, ніж інші?
Саме на це питання я постараюсь дати відповідь наприкінці цієї лекції. Чи є серед розглянутих проблем такі, що за своєю нагальністю чи потенційною шкодою мають стояти у списку пріоритетів вище, ніж інші.
Отже, якщо дозволите, на наступні хвилин 40 хочу зберегти інтригу, а потім повернутись до цього питання. Але, як на мене, відповісти на нього необхідно, щоб можна було вважати цей цикл успішно завершеним, бодай з інтелектуальної точки зору.
А поки що розглянемо кібер-безпеку – питання, що дедалі частіше фігурує у пресі, в роботі аналітичних центрів, в урядових звітах, дослідженнях, тощо. Очевидно, що впродовж останніх 20 років найдраматичніші події в житті людства були пов’язані саме з неймовірним розвитком інформаційних технологій. Я є одним з не багатьох людей у цій кімнаті, які жили в доінтернетівську епоху і пам’ятають ті часи. Певне, для тих, хто належить до покоління моїх дітей, це все одно, що я сказав би, що жив у льодовиковий період.
В ті часи, якщо потрібно було отримати інформацію про якийсь університетський курс в Америці, ти мав написати листа, покласти його в конверт з маркою, написати адресу, відіслати і чекати з місяць, (це якщо пощастить), щоб отримати відповідь поштою. А зараз ви майже миттєво можете завантажити потрібну інформацію, ще й разом з бланком заяви на вступ. Сьогодні усе, що стосується людського існування, як приватного, так і професійного, поступово переходить до кібер-простору. Чим далі, тим більшу частку свого життя ми проводимо у віртуальному світі. В режимі он-лайн ми спілкуємося, здійснюємо банківські операції, платимо податки, скуповуємось, висловлюємо політичні погляди… Навіть одружуємось в режимі он-лайн. Чи принаймні знаходимо своїх наречених у віртуальному світі. Люди мого покоління, коли хотіли знайти пару для створення сім’ї, мали податися, приміром, до клубу «Медереньен», потратити купу грошей, аби потрапити кудись на віддалений середземноморський пляж і сподіватися, що поталанить. Зараз у цьому вже немає потреби…
Звичайно, одним з найактуальніших питань ХХІ сторіччя є те, чи зможемо ми перевести до віртуального світу, у кібер простір, де відбуватиметься дедалі більше людської діяльності, ті ж самі правила, закони, та норми поведінки, встановлення яких ми завжди прагнули у фізичному світі?
…Моя дружина працює в музичній індустрії. Це якраз одна із сфер, в якій проблеми перенесення до віртуального світу таких норм, як, наприклад, авторське право, мали нищівні наслідки щодо продажів компакт-дисків та прибутків музичної індустрії, які в результаті впали на дві третини. Насправді, це питання не лише нових стандартів, а й розробки якісно нових моделей бізнесу.
І, звичайно, головне питання щодо віртуального світу полягає у тому, чи відбудеться впродовж наступних 20 років таке ж феноменальне розширення Інтернету, як за останні 20 років, і відповідно, в міру того, як Інтернет поширюється на дедалі більшу частину планети, чи буде й кібер-загроза зростати у відповідній геометричній прогресії? Сьогодні я спробую дати відповідь на це питання.
…З середини минулого року кількість персональних комп’ютерів у світі перевищила мільярд. Більше ніж половина населення планети має мобільні телефони – 3,5 мільярди. Відтак ми маємо ситуацію, коли рівень незахищеності і кількість потенційних каналів віртуального нападу підвищуються у відповідності зі збільшенням кількості задіяних систем.
Звичайно, усе це інколи набуває комічних проявів. Багато хто з вас, певне, пам’ятає, як кілька тижнів тому, коли Іспанія перебрала головування в ЄС, на офіційному веб-сайті цієї країни з’явилося фото не Прем’єр-міністра Запатеро, а Містера Біна, (принаймні на кілька днів).
В моїй країні теж стався кумедний випадок, коли дружина новопризначеного керівника Британської служби розвідки – сера Джона Соерса – розмістила на своїй сторінці у Фейсбуці усі подробиці його пересувань – поїздки у відпустку, вечірки з друзями, тощо. Щоправда, у цьому випадку мова не йшла про кібер-напад; то була просто необачність, нехтування правилами особистої безпеки при користуванні Інтернетом. Трохи пізніше я ще скажу декілька слів з цього приводу, оскільки не кожен випадок несанкціонованого доступу до інформації є результатом цілеспрямованого нападу.
Насправді недбальство та нехтування безпекою є причиною величезної кількості інцидентів, пов’язаних з незаконною передачею та несанкціонованим використанням інформації. Але водночас ми дедалі частіше маємо справу з випадками, коли хакери здійснюють кібер-напади не для власної репутації, чи для того, щоб зажити слави, а конкретно заради наживи. Тому об’єктами таких нападів дедалі частіше стають бізнес-компанії.
За результатами нещодавнього опитування компаній Німеччини, за останній рік 40% респондентів ставали жертвами несанкціонованого доступу до своїх комерційних секретів та іншою важливої інформації, або взагалі втрачали її.
Варто згадати, масовану атаку та Гугл, здійснену пару днів тому з території Китаю. Власне, вона охопила не лише Гугл, а й 24 інші компанії. Звичайно, подібні напади вражають не лише комерційні компанії, оскільки їх результатом є також доступ до особистої інформації. У даному випадку постраждали також активісти захисту прав людини, які користувалися послугами Гугл.
Тобто ми бачимо, що кібер-атаки здійснюються не лише для комерційного зиску, але можуть слугувати ще й інструментом державних репресій, зокрема, якщо використовуються для таємного слідкування за громадянами через доступ до їхньої приватної електронної пошти.
Ми також бачимо, що кібер-атаки дедалі ширше використовуються для проведення інформаційних кампаній політичного характеру. Ті з вас, хто пам’ятає минулорічну копенгагенську конференцію зі зміни клімату, певне пригадують, що десь за два тижні до її відкриття хтось із хакерів проник до бази даних Університету Східної Англії – одного з найвидатніших у Сполученому Королівстві центрів досліджень зміни клімату. Хакери скачали звідти усю електронну пошту і використали цю інформацію, щоб показати, що навіть науковці, що займаються змінами клімату, мають сумніви щодо серйозності цієї проблеми та реальних темпів цих змін. Немає потреби наголошувати, як, напередодні саме такого зібрання, це зіграло на руку тим, хто проводить кампанію заперечення проблеми зміни клімату.
І зрештою, оскільки я працюю в НАТО, то, серед інших тем хочу сьогодні зупинитися на тому, що вразливість кібер-простору дедалі більше спостерігається і в контексті військових операцій.
Ось один з показових прикладів: буквально перед різдвом, коли Пентагону випадково пощастило захопити комп’ютер, що належав іракським повстанцям, стало відомо, що ця група мала можливість несанкціонованого доступу до комп’ютерної системи американських безпілотних літальних апаратів Предатор і могла навіть скачувати відео матеріали, відзняті цими апаратами. Усе це стало можливим завдяки системі Скай-гребер, яку можна скачати з Інтернету всього за 25 доларів.
Отже, кібер-атака відрізняється від звичайного нападу. Той, хто зазнає невіртуального удару, незадовго після нападу вже знає про це. А у випадку з кібер-атакою може пройти кілька тижнів, місяців чи навіть років доки об’єкт нападу дізнається про несанкціоноване проникнення в його комп’ютерну систему. І тут необхідно розрізняти речі, які люди не завжди розрізняють. Те, що на тебе здійснено кібер-атаку стає відомим, коли твою систему паралізовано, коли вона виходить з ладу. Прикладом цього є те, що трапилось з Естонією у 2008-му році; (до цього я повернуся пізніше), а також з іншими країнами та компаніями, що зазнавали подібних паралізуючих ударів. Але 90% кібер-атак спрямовані, власне, на скачування інформації. Конфіденційної інформації!
Коли вона вилучається ваш комп’ютер і усі його системи продовжують працювати в звичайному режимі, тому ви не знаєте, що сталося несанкціоноване проникнення. Як у випадку з Пентагоном та безпілотними літальними апаратами в Іраку, про кібер-атаку часто стає відомо лише завдяки тому, що випадково пощастило це з’ясувати.
Отже, постає питання, чи не перетворюються кібер-атаки із інструменту, що просто створює незручність на ЗМЗ? А ЗМЗ може мати 2 значення – зброя масового збою, або зброя масового знищення. Між ними, безумовно, існує різниця щодо пропорційності потенціалу ураження. Так, на перший погляд, проблема дійсно зростає. Кібер-напад – найсучасніший спосіб ведення несиметричної війни.
По-перше, він доступний кожному. Тут не треба діяти на державному рівні і витрачати мільярди доларів на технічне обладнання, як у випадку з ядерною, хімічною, біологічною зброєю, військово-повітряними чи сухопутними силами. Достатньо бути приватною особою, яка має базову підготовку і комп’ютер. Отже, кібер-зброя має непропорційно великий потенціал ураження, оскільки, потенційно, один комп’ютер може завдати шкоди мільйонам комп’ютерів в мережі супротивника. Жоден інший вид зброї в історії людства не мав настільки непропорційно великого потенціалу ураження. Але оскільки в результаті нікого не вбивають, (принаймні за моїми дослідженнями на сьогодні ніхто не загинув від кібер-нападу), то й обурення та відчуття необхідності удару у відповідь в таких випадках, вочевидь, не є такими сильними, як це було після терактів 11 вересня, що безпосередньо забрали людські життя. У кібер-просторі можна буквально замести сліди.
Часто лише після місяців ретельного розслідування з залученням цілого ряду країн та юрисдикцій вдається напевне визначити, звідки було здійснено напад. А на той час, коли ви нарешті закінчили розслідування, нападник уже розібрав свою систему, змінив Інтернет адресу, або ще й сам переїхав. Як сказав один аналітик на конференції, яку я нещодавно відвідав, кібер-атаки – це прояв «конфлікту між сильними, але самозаспокоєними представниками західних суспільств та тими, хто слабкий, але має сильну мотивацію». Іншими словами, кібер-зброя – це найсучасніший засіб ведення асиметричної війни.
Ще однією цікавою особливістю кібер-конфліктів є те, що, як нещодавно наголосив начальник Штабу оборони Великобританії – сер Джок Стирруп, вони відрізняються від усіх видів минулих конфліктів. В минулому існувала чітка лінія, що розділяла війну і мир. Хоча, звичайно, ми мали й період холодної війни, що характеризувався тривалою напругою, але все одно, звичайні гармати або стріляють, або мовчать. Аж доки їх не застосують знову… Тому періоди війни та миру є чітко визначеними. А коли йдеться про кібер-зброю, то як сказав сер Джок Стирруп, вона завжди є в режимі «вімкнено».
Тобто, незалежно від стану міжнародних відносин та потенційної загрози фізичного конфлікту, випробування кібер-зброї, спроби кібер-нападу, або власне кібер-атаки не припиняються ніколи. Аналітики навіть підрахували, що, наприклад, Китай зібрав в лавах народної армії визволення до 100000 комп’ютерників, які працюють з 9 ранку до 5 вечора і займаються тим, що шукають вразливі місця в комп’ютерних мережах інших країн. Також підраховано, що на сьогодні близько 100 країн світу (а це означає – більшість) активно розробляють не оборонні, а саме наступальні кібер-засоби.
Компанія СИМАНТЕК, що базується в Америці і яка допомагала мені дослідницькими матеріалами для даної лекції, щорічно публікує дуже корисний звіт щодо вразливих елементів кіберпростору, головним чином що стосується приватного сектору.
За даними цієї компанії, у сучасному світі кожні чверть секунди відбувається кібер-атака. Це означає півтора мільярди кібер-нападів щодня. І, як я вже говорив, на відміну від зброї минулого, організувати удар з використанням кібер-зброї можна з будь-якої точки і спрямувати його так само можна на будь-яку точку планети.
Однією з причин є дедалі більша кількість потенційних вірусів, ботнетів, тощо. За підрахунками фахівців, у будь-який момент часу близько 10 мільйонів заражених комп’ютерів застосовуються для кібер-атак через так звані бот-мережі.
Навіть НАТО, при усіх її захисних системах, щотижня стає об’єктом більше 100 кібер-атак або, принаймні, спроб проникнення в наші комп’ютерні системи. Аналіз статистики вказує на те, що кількість комп’ютерних вірусів зростає у феноменальній геометричній прогресії.
За даними компанії Симантек, ще зовсім недавно – у 2002 році існувало 20 547 шкідливих програмних кодів. А до 2005 року їхня кількість зросла до 113025. Ці цифри виглядають надзвичайно точними, але саме такими є підрахунки на початок 2005-го року. До 2007 ця кількість зросла до 624000, а минулого року сягнула 1656000. Мені також повідомили, що на 2010-й рік у кібер-просторі налічуватиметься до 3 мільйонів ідентифікованих вірусів. А це означає (ви знаєте, як я люблю статистику), що в той час як вірогідність ураження блискавкою це 1 до 26 мільйонів, вірогідність потрапити в ДТП –1 до300, а вірогідність того, що вас укусить змія –1 до 42 мільйонів, -- вірогідність стати об’єктом того чи іншого роду кібер-нападу –1 до5!
Отже, це дійсно вселенська проблема, яка викликає зростаюче занепокоєння аналітиків, в міру того як дедалі більше інформації розміщується в Інтернеті. Учора, наприклад, газета Financial Times помістила дуже цікавий матеріал – інтерв’ю з заступником міністра оборони США Уіл’ямом Лінном, в якому повідомлялося, що в результаті лише однієї кібер-атака, здійсненої, найвірогідніше, з Китаю, було незаконно скачано за обсягом більше інформації, ніж та, що міститься в бібліотеці Конгресу Сполучених Штатів.
Це дійсно незбагненно. А в міру того, що дедалі більша частка критичної інфраструктури переводиться на цифрові технології – це і електростанції і транспортні мережі, системи управління повітряним рухом, заклади охорони здоров’я, тощо – зростає загроза, що кібер-напади можуть приводити не лише до незаконного заволодіння інформацією, а й виводити з ладу системи життєзабезпечення.
За даними компанії Симантек, більшість випадків несанкціонованого доступу до інформації трапляється: у сфері освіти (27%), уряду (20%) і охорони здоров’я (15%), але, що цікаво, 57% цих випадків є результатом того, що інформацію було викрадено, або загублено. Так близько 2 років тому у британському уряді стався неймовірний конфуз, коли зникли персональні дані усіх користувачів державної системи соціального забезпечення, що зберігалися на одному комп’ютерному диску.
Звичайно, доступ до такої інформації – про банківські рахунки і таке інше – міг тоді спричинити справжній кримінальний бум, але там причиною були не дії хакера, а недбале поводження з диском. До речі, у ході нещодавнього опитування ряду західноєвропейських компаній, 59% їхнього персоналу зізналися, що брали корпоративну інформацію додому. (Не знаю, можливо дехто з вас міг би також зізнатися у подібному). До того ж 1 з кожного десятка опитаних губив, в продовж останніх 2 років, або лептоп, або смартфон, або флеш-диск.
Отже, недоліки корпоративної політики чи, іншими словами, нехтування небезпекою, недбальство залишаються причиною більшості випадків несанкціонованого заволодіння інформацією. До того, як перейти до більш тривожних речей, це вам, якщо хочете, добра новина, оскільки вищесказане означає, що за умови дотримання правил безпеки ми, відповідно до експертного джерела НАТО, з яким я консультувався з цього питання, можемо попередити до 90% випадків несанкціонованого комп’ютерного доступу до інформації.
До того ж 90% випадків несанкціонованого доступу до інформації у кібер-просторі пов’язано зі злочинністю. Згідно з деякими статистичним даними, зокрема зі звітом колишнього директора національної розвідки США, крадіжка закритої комерційної інформації щорічно завдає економіці Сполучених Штатів шкоди на суму до 100 мільярдів доларів. Інші звіти, які я читав, оцінюють ці збитки значно нижче – від 1 до 2 мільярдів за рік. Звичайно, між цими оцінками існує разюча різниця, але будь-яка сума, що перевищує мільярд доларів – це вже значний збиток.
В Сполучених Штатах в результаті лише одного хакерського злому було викрадено персональні дані 8,4 мільйона американців – це 3% усього населення крани. Одна компанія з випуску кредитних карток (не буду її називати) підрахувала, що в результаті однієї кібер-атаки було викрадено персональні дані 94 мільйонів користувачів її кредитних карток. За даними тієї ж компанії ліквідація наслідків кожного випадку несанкціонованого доступу до інформації компанії коштував її 67 мільйонів доларів.
Навіщо крадуть подібну інформацію? Цим переважно займаються кримінальні угрупування з метою подальшого перепродажу. Дані кредитних карток, особисті дані, інформація про банківські рахунки і так далі... Оскільки мова йде про широкополосну мережу, що містить оцифровані дані величезної кількості громадян, не дивно, що Сполучені Штати займають 1 місце за рівнем нелегальної діяльності у кібер-просторі – 23%, Китай – 9%, але тут цей показник також різко зростає. Це означає, що попри те, що у ЗМІ ця країна часто фігурує як суб’єкт нелегальної кібер-діяльності, вона водночас дедалі частіше стає жертвою кібер-нападів.
Цікаво, що у цьому списку є чимало країн-членів НАТО: Німеччина – 6% від загальної кількості кібер-атак, Сполучене Королівство – 5%, Іспанія – 4%, Франція – 3%. А в міру того, як широкополосний доступ збільшується, до цього списку приєднуються й інші країни: Бразилія, Польща, Росія, Туреччина, Індія…
Це лише з тих країн, які я нещодавно досліджував у цьому контексті. Водночас, усе це, цілком природно, спричинило величезні капіталовкладення у кібер-захист. Минулого року Конгрес США виділив 7,3 мільярда доларів (це колосальна сума!) лише на захист урядової комп’ютерної системи. А тепер додайте до цього мільярди доларів, які витрачають на кібер-захист приватні компанії Америки. Так компанія Симантек, яка, як я вже говорив, дуже допомогла в моїх дослідженнях, повідомила, що на сьогодні вона має 240000 центрів у більше ніж 200 країнах світу і забезпечує моніторинг понад 130 мільйонів маршрутизаторів – шлюзових систем, що знаходяться в її базі даних. Тож, безумовно, як для злочинців, що діють у кібер-просторі, так і для тих, хто захищається від них, ця галузь вимагатиме дедалі більше фінансових витрат.
Я вже говорив, що чимало проблем можна попередити навіть дотриманням елементарних правил безпеки. Отже, що необхідно робити, якщо ми знаємо, що уникнення цих проблем на 90% залежить від нас самих?
По-перше, варто сказати, що термін «кібер-атака» є не зовсім правильним. Слово «атака» означає силове вторгнення, тобто передбачає подолання певного спротиву. Але у кібер-просторі все по-іншому. Кібер-атака відбувається коли програма дозволяє вам увійти, якщо ви знайшли для цього правильний підхід.
Отже, коли йдеться про захист, то, перш за все, треба бути свідомим того, що у будь-який момент може здійснитися спроба незаконного втручання у вашу систему. Це має радше сприйматися як норма, а не виняток.
Необхідно забезпечити фінансування досліджень, що дозволяли б виявляти, перш за все, кібер-атаки, а по-друге – вразливі елементи наших комп’ютерних систем.
Джордж Маршалл, один з моїх найбільших героїв – автор Плану Маршалла – в кінці кожного робочого засідання говорив своїм фахівцям: «Добре, а тепер скажіть мені, що може дати збій?» Думаю, ми також маємо ставити перед собою саме це питання: що може не спрацювати?
…Необхідно фінансувати дослідження у цій галузі. Ми маємо також розробляти стандарти захисту комп’ютерних мереж. Існує чимало організацій, що мають цілий ряд комп’ютерних мереж, але, як не дивно, деякі з цих мереж захищені значно краще, ніж інші. Традиційно, особливо коли йдеться про військові системи, склалося так, що люди перш за все захищають інформаційні мережі, що містять секрети. Але якщо взяти операцію в Афганістані, яка комп’ютерна мережа є для нас найважливішою?
– Та що стосується логістики! А оскільки інформація щодо логістики не містить секретів, вона менш захищена. Але для проведення військової операції захист цієї інформації може мати навіть більше значення, ніж захист військових таємниць. Уряди також повинні затверджувати відповідні стандарти безпеки для компаній, що працюють у кібер-просторі; -- подібно до того, як це робиться для безпеки хімічної чи атомної промисловості.
Я вважаю, що урядам доведеться докладати дедалі більше зусиль для створення резервних систем, які можна було б використовувати у випадках ураження кібер-атаками таких ключових галузей як охорона здоров’я, харчова промисловість, водопостачання, тощо.
У 2008-му, після кібер-нападу на Грузію, який передував військовому конфлікту, грузини змогли перевести свої інформаційні системи на одного з американських Інтернет-провайдерів. Потрібно створити систему міжнародної співпраці, яка дозволяла б державам, що зазнають кібер-удару, оперативно переключати свої комп’ютерні системи на відповідні мережі в інших країнах.
Наступне важливе питання – це криміналістична кібер-експертиза. На початку лекції про розповсюдження зброї масового знищення ми говорили про ядерну експертизу, яка дає змогу, на основі експертного аналізу конкретного ядерного матеріалу, визначити його походження – приналежність до тієї чи іншої країни. Я дедалі більше розмірковую над перспективою створення подібної системи для кібер-потреб. Чи можна за характерним стилем кібер-атаки, за її характерною методологією визначити певний код чи іншу ознаку, що давала б підстави говорити, що за даним злочином стоїть країна «Ікс», радше ніж країна «Ігрек»? Ми повинні також володіти засобами дезорієнтації хакерів. У класичного роду війнах та протистояннях завжди існував елемент дезорієнтації супротивника.
Моя улюблена історія у цьому контексті добре відома і стосується вона створення американцями та британцями фіктивної армії під командуванням генерала Паттона під час Другої світової війни. В Кенті та Суссексі було створено Першу американську групу армій – з наметами, гумовими танками, картонними літаками – усе для того, щоб ввести німців в оману нібито висадка десанту союзників має відбутися через Па-де-Кале, у Булоні. І Гітлер повірив! Тому Нормандія залишилась відносно незахищеною. Якби в день висадки десанту німецькі війська під командуванням генерала Роммеля були не в Па-де-Кале, а в Нормандії, невідомо, як би закінчилась Друга світова війна…
Обманна тактика потрібна нам і у боротьбі з кібер-нападниками. Вони намагаються вводити в оману нас, тому ми повинні робити теж саме по відношенню до них. Є речі, які в технічному плані мені важко зрозуміти, але мова йде про так звані «медоноси» - спеціальні незахищені мережі, які можна використовувати як приманку і в такий спосіб вивчати прийоми хакерів, визначати, що вони про нас знають, а відтак захищати вразливі елементи наших комп’ютерних систем від потенційного нападу. Необхідно ширше застосовувати запобіжні засоби, такі як аутентифікаційні коди, щоб, отримуючи ту чи іншу інформацію, знати, що вона дійсно надходить від того, хто заявляє себе як відправник. Потрібно також більше використовувати криптографічний захист. Це звучить як військовий засіб, але він має використовуватись і в приватних комп’ютерних системах.
Обговорення довкола цих питань зводяться до одного: як ми можемо захиститися від зловмисників у кібер-просторі? Як відомо, військові стратеги міркують таким чином: для цього мають існувати засоби оборони, стримування та контр-нападу. Це засадничі принципи стратегії, і чимало фахівців вважають, що кібер-простір нічим не відрізняється від будь-якого іншого простору, де відбуваються військові дії. Тобто у ньому не можна покладатися лише на оборону.
Уільям Лінн – заступник міністра оборони США, у своєму інтерв’ю у вчорашній Financial Times говорив, що ми не можемо побудувати тут щось на кшталт Лінії Мажино і чекати, поки на нас нападуть. Необхідно мати відповідні маневрові засоби...
Я читав цілі наукові праці вчених Американської академії наук, присвячені питанням кібер контр-нападу як засобу залякування – як засобу стримування. Після ознайомлення з цими численними дослідженнями у мене з’явилося відчуття, що, зрештою, подальше удосконалення систем оборони – це, мабуть, найкращий варіант на сьогодні.
Чому? Річ у тім, що забезпечити стримування своєю спроможністю до контр-удару дуже важко. Метод залякування базується на тому, що протилежна сторона має певні активи, які є для неї не менш цінними, ніж ваші активи для вас.
Як це було за часів холодної війни: якщо ви знищите Москву, ми знищимо Нью-Йорк. Тобто між супротивниками існує паритет сил, тому вони, по суті, тримають один одного в заручниках, оскільки якщо один із них нанесе удар, обидві сторони постраждають в однаковій мірі. Але у кібер-просторі це не так, оскільки загроза не є симетричною. Наприклад, ваша система водопостачання є для вас значно важливішою, ніж для кібер-нападника його персональний комп’ютер. Тож як можна забезпечити стримування, коли немає можливості тримати супротивника в заручниках?
Тому більшість аналітиків схиляються до думки, що для боротьби з цією загрозою необхідно виходити за межі кіберпростору. Наприклад, якщо ви знаєте, що країна «Ікс» здійснює кібер-напади на вашу систему, ваш прем’єр-міністр може поїхати до цієї країни, як кілька місяців тому це зробила канцлер Ангела Меркель, коли відвідала Пекін, і порушити це питання публічно, або вдатися до дипломатичних заходів чи економічних санкцій, чи звернутися з відповідним запитом до ООН, але в межах кіберпростору застосовувати стримування в боротьбі з цією асиметричною загрозою надзвичайно складно.
Тут неможливе роззброєння. Як би цього не хотілося, тут не вийде укласти договір, як у випадку з ядерною зброєю і тим самим позбавити супротивника певних засобів агресії, оскільки у цьому випадку агресор може за мізерну ціну придбати нове обладнання і знову нанести удар. Існують так звані Боти – програми роботи, які можна купити в Інтернеті всього за 25 центів. І ціни на них постійно падають. Єдине, що дає певну надію – це те, що одночасно зі зниженням цін на шкідливі програми зменшуються і ціни на антивірусні системи.
Що ж стосується ударів у відповідь – контратак – то тут проблема полягає в тому, що діючи поспіхом можна нанести удар не по тому, хто напав на тебе. Річ у тім, що кібер-напади зазвичай здійснюються, так би мовити «під чужим прапором». Тобто тут легко замаскуватися. Мене атакує один, а я подумав на іншого, тому що нападник діяв під чужим прапором. Отже, я наношу удар у відповідь, але спрямовую його проти третьої сторони, яка в свою чергу вступає в кібер-конфронтацію зі мною, не розуміючи, в чому причина моєї атаки.
Блискучий аналітик Мартін Лібіцький, який дуже цікаво пише на цю тему, сказав, я цитую: “Цифрова чіткість – це ознака телебачення високої роздільної здатності, а не ознака кібер-війни?” Іншими словами, електрони не завжди поводяться так, як нам хотілося б. Наприклад, коли ви наносите віртуальний удар ви можете вивести з ладу не лише те, що є об’єктом вашого нападу, скажімо певна військова система, а й значну частину цивільної інфраструктури. І завдаючи контрудару по військовому об’єкту, нікому не хотілося б вивести з ладу, наприклад, кувез для новонароджених. До того ж виникає питання, якими можуть бути наслідки подібного інциденту з точки зору міжнародного права?..
З концептуальної точки зору, між нападами різного роду існує велика різниця. Деякі з них лише створюють певні незручності, скажімо – шпіонаж. Він існує споконвіку. Це – друга найстаріша професія в світі, як його колись назвали. А кібер-шпіонаж – це лише одна з форм агентурної розвідки. Робити це у віртуальному просторі значно дешевше, ніж вербувати агентів і відправляти їх до певної країни для збору інформації. Дії такого роду, особливо якщо вони не спричинили людських жертв, не можуть бути розцінені як casus belli – тобто формальний привід для початку фізичної конфронтації. Тож, за яких умов кібер-напад може підпадати під дію 5 статті Вашингтонського Договору і становити casus belli, тобто вважатися рівноцінним збройній агресії?
Роберт Гейц, міністр оборони США сказав: «Ми повинні мати чітко визначену політику стосовно того, який рівень кібер-атаки може вважатися воєнною агресією».
Але поки що це питання залишається невизначеним. Це подібно до того, про що я говорив у своїй лекції про тероризм: дуже важко з’ясувати, чи є той чи інший теракт настільки масштабним, щоб підпадати під дію 5 статті, тобто бути підставою для колективних дій у відповідь чи навіть військового контрудару.
Тут є ще один чинник. Інколи люди не бажають визнавати, що зазнали кібер-нападу: незручно визнавати несанкціоноване проникнення у вашу комп’ютерну систему. Скажімо, якщо це банк, аж ніяк не хочеться говорити своїм клієнтам про викрадення даних щодо їхніх кредитних карток, тощо. Завжди є спокуса тримати це в таємниці, аби уникнути конфузу, намагаючись без зайвого галасу вирішити питання зі стороною, яка на вашу думку, здійснила кібер-напад. А якщо надати проблемі розголосу, виникає необхідність зберігати обличчя, гідно тримати удар з боку громадськості і таке інше.
Ще одна річ, пов’язана з так званими «громадськими інстинктами», полягає у тому, що інколи люди можуть здійснювати кібер-напади від вашого імені тоді, коли ви їх про це навіть не просите. Ви, можливо, пригадуєте резонансні кібер-атаки на Естонію, що сталися кілька років тому і тривали впродовж 3 днів. Вони завдали дуже серйозного удару по комп’ютерних системах державного управління Естонії. Головною причиною нападів стала емоційна реакція на рішення керівництва країни прибрати радянський пам’ятник з центра Талліна, пам’ятаєте? Багато з тих, хто здійснював цей кібер-напад належать до категорії людей, яких ми називаємо «хакерами-патріотами». Вони міркують так: «Я не буду чекати доки уряд завдасть удару у відповідь, зроблю це сам від імені уряду».
Так 99-го року, під час повітряної кампанії у Косові, НАТО зазнала масованих прицільних кібер-ударів з боку міжнародних прихильників сербів, а головно представників діаспори, які не хотіли чекати, доки Белград почне реагувати, і вирішили діяти від його імені. Виникає питання, як контролювати людей, які можуть спричинити дипломатичну кризу діями, до яких вони вдаються нібито від вашого імені, тобто роблять те, що, як їм здається, ви від них чекаєте?
Якщо говорити про вихід за межі кібер-оборони і про застосування тактики залякування чи ударів у відповідь, то, я не стверджую, що уряди не будуть створювати для цього відповідних засобів, щоб бодай стримати зловмисників, але ці варіанти тягнуть за собою цілу низку правових, технічних та процедурних ускладнень, що, на мою думку означає, що тактика оборони залишається найбільш доречною. Але, звичайно, це має бути розумна оборона.
Недавно мені показали цікаві фото. На одному – Велика китайська стіна, на іншому– стіни довкола Стамбула (Константинополя). Китайська стіна всього одна ( я маю на увазі Велику китайську стіну, а не систему фільтрації Інтернету в Китаї під назвою «китайська протипожежна стіна»). Це означає, що для проникнення зловмиснику треба подолати лише одну перешкоду. А Стамбул оточений кількома рядами захисту і, подолавши один, ти наштовхуєшся на інший. Я гадаю, ми потребуємо оборони саме такого роду.
…І нарешті – стратегічні висновки.
З позиції стратега кібер-загрози – це проблема, що викликає занепокоєння, але водночас і неабиякий інтерес. І тут питання в тому, в якій мірі ця проблема може вийти за межі простих незручностей чи комерційних втрат і становити загрозу для наших суспільств, так само як війна у класичному розумінні цього слова.
За відповіддю на це питання фахівці у галузі стратегії розділилися на 2 табори. Одні розділяють позицію Брюса Берковіца – відомого американського оглядача, який у своїй книзі «Нове обличчя війни» наголошує, що «інформаційна революція фундаментально змінила природу воєнних дій і сьогодні, щоб виграти війну, необхідно спочатку перемогти у інформаційній війні». Іншими словами, війна, що відбувається у кібер-просторі – це окрема війна, що має вирішальне значення. Тобто перемоги лише у кібер-просторі може бути достатньо, щоб виграти війну взагалі…
Інші відомі стратеги, такі як Колін Грей з Редінгського університету у Великій Британії, дотримуються більш скептичної думки і вважають, що в межах звичайної війни кібер-війна може допомогти виграти ту чи іншу битву, але не війну, як таку.
Проаналізувавши ці питання, я більше схиляюся більше до думки Коліна Грея, а не Брюса Берковіца. Хто вивчав історію воєн, знає, що переваги у технологічній сфері можуть дати надзвичайно багато. Історія Другої світової чітко вказує на те, що з одного боку події розвивалися на полі бою – Сталінград, Нормандія, інші битви, але боротьба велася і в іншому вимірі – у лабораторіях, і можна сказати, що ця війна була не менш важливою, адже інколи саме вона мала вирішальне значення й приводила до переломних моментів. Як у випадку, коли британці розробили спосіб знешкодження радіонавігаційної технології, що застосовувалась німцями для бомбардування Сполученого Королівства у 40-му році.
Ще один приклад – це коли британці зламали код німецької шифрувальної машини «Енігма» і отримали доступ до шифрограм противника. Ці та чимало інших успіхів подібного роду дали Великобританії значну перевагу.
Але, пані та панове, я не думаю, що саме вони визначили перемогу союзників у Другій світовій війні. Її визначило те, що війська союзників дійшли до самого Берліна і остаточно знищили гітлерівський режим.
Якщо згадати відомий вислів Клаузевіца про те, що війна визначається 4 складовими: небезпека, фізичне навантаження, непевність і випадковість, то я б сказав, що перевага в інформаційному просторі – це те, що допомагає зменшити негативний вплив цих чинників, але усунути їх повністю – неможливо. Одна справа мати інформаційну перевагу, і цілком інша – знати, як цим скористатися. Яскравий приклад тому – Друга світова війна. У технологічному плані фашистська Німеччина була першою. Вона мала найкращих вчених, найпередовіші технології, першою створила ракети – «Фау-1», «Фау-2»…Але вона все одно зазнала поразки у війні. Оскільки це питання ще й бойового духу, дисципліни, підготовки, лідерства, громадської підтримки і, звичайно, правильної стратегії.
Отже і кібер-засоби не стануть, на мою думку, диво-зброєю, яка могла б сама по собі забезпечити перемогу у тому чи іншому конфлікті. Не більше, ніж авіація у 1920-х – 30-х роках. На той час у Європі дуже боялись, що авіація буде настільки могутньою зброєю, що її застосування проти тієї чи іншої країни миттєво примусить населення здаватися. Як говорив Стенлі Болдуін – Прем’єр-міністр Британії – «Бомбардувальник завжди прорветься».
Але коли це сталося – як у випадку німецького «бліцу» проти Британії, так і американсько-британського бомбардування Німеччини – починаючи з 41-го до самого кінця – виявилося, що авіація досягла значно менше, ніж очікували прихильники повітряних ударів. Вона не зламала дух населення, не позбавила німців можливості продовжувати виробництво своїх літаків і таке інше…
…Річард Овері – найкращий Британський історик з питань Другої світової війни – детально дослідив ці питання і дійшов висновку, що англо-американська повітряна кампанія проти Німеччини дійсно серйозно вплинула на хід Другої Світової, але не тому, що досягла цілі, яку мала б досягти – зруйнувати інфраструктуру Німеччини, деморалізувати її населення, паралізувати економіку, а тому, що примусила її значно послабити свій східний фронт, де йшли бої з російськими військами, оскільки довелося забрати звідти значні сили, щоб захистити свою територію від бомбардувальників. Тож причина була радше в переведенні сил та ресурсів супротивника, а не в їх фізичному знищенні. Як на мене, цей аргумент є переконливим.
Таким чином, я вважаю, немає підстав стверджувати, що кібер-засоби змінять природу воєнних дій у більшій мірі, ніж це зробила ядерна зброя чи, свого часу, авіація. Врешті-решт, ми просто навчаємось жити з новими видами зброї як з реалією і інтегруємо її у свою стратегію.
І все ж, якими можуть бути наслідки кібер-нападів? Перш за все – це короткострокова перевага на початковому етапі.
Подібно до того, яку роль відігравала артпідготовка під час Першої світової війни, зокрема на західному фронті. Послабити позиції ворога, щоб було легше захопити висоту і ввести війська на ворожу територію. Це була прелюдія до бою – спосіб паралізувати ворога. Як операція «Шок і трепет» під час війни проти Іраку у 2003-му – коли паралізуються системи комунікацій ворога, щоб послабити його спротив.
Але досвід показує, що ефект, який дає кібер-атака, є досить нетривалим. Наприклад в Естонії… Коли це було? У 2007-му, 6-му, 5-му? Словом – не так давно, кілька років тому. Я маю на увазі випадок, що набув найбільшого розголосу. Це були, здебільшого, короткі спалахи кібер-атак, кожен з яких тривав десь годину, не більше.
Протягом 3 днів естонці полагодили вражені системи, і вони знову запрацювали в нормальному режимі. Отже, результат є тимчасовим: щойно ви знайшли обхідний канал, система знову функціонує.
Тут найбільше можна досягти, якщо діяти зненацька, але якщо ми свідомі небезпеки нападу і постійно створюємо запобіжні системи, ефект несподіваності масованого кібер-удару можна пом’якшити. Таким є моє бачення потенційного впливу кібер-загроз.
По-друге, ми маємо враховувати певні принципи. Перед усім, необхідно створити умови, що зменшують мотивацію для потенційного кібер-нападу. Для цього необхідно ускладнити можливість такого нападу своєю готовністю до нього – здатністю швидко виявити факт кібер-атаки і відреагувати на нього. Наступне (і це вже інтелектуальне завдання) – необхідно попереджувати переростання того чи іншого кібер-нападу у справжню війну.
І тут проблема полягає у тому, що коли конфліктуючі сторони постійно провокують одна одну, випробовують терпіння, (як це було між арабами та ізраїльтянами перед 67-м роком, чи перед війною Судного дня 73-го року), то ситуація може легко вийти з-під контролю.
Одна зі сторін може просто не розрахувати силу провокації і замість кулачної бійки спалахує справжня війна. Отже, як запобігти переростанню кібер-атак у відкриту конфронтацію? Як забезпечити розрядку напруженості не допускати ескалації кібер-конфліктів?
По-третє, якщо кібер-напад припинено, як ми можемо це виявити. Коли супротивник говорить: «Я припиняю, ми готові підписати мирний договір, обіцяю більше такого не робити…». Які ми можемо мати гарантії того, що це не просто коротка пауза, після якої атака відновиться? Усі ці питання потребують ретельного опрацювання.
І нарешті – міжнародне право.
Що можна зробити, аби в світі було створено новий міжнародний режим на основі консенсусу щодо визнання кібер-нападу карним злочином, який підлягає відповідному покаранню. Щоб показати, що це не просто забавки підлітків, які таким чином розважаються – коротають вечір десь у гаражі... Новий режим має слугувати стримуючим засобом, особливо з огляду на те, що, як я вже говорив, досягти комп’ютерного «роззброєння» неможливо.
Я вважаю, що це, перш за все, може бути закон, що регулював би роботу провайдерів Інтернет-послуг – міжнародна угода, що передбачала б їхню відповідальність за різного роду шкідливі програмні засоби, які проходять через їхні системи, і зобов’язувала б провайдерів забезпечувати відповідний контроль за своїми мережами. Вони не повинні бути лише пасивними передавачами інформації. Фінляндія, наприклад, має дуже ефективне законодавство щодо боротьби з Інтернет-шахрайством (так званим «спуфінгом») в контексті роботи Інтернет-провайдерів. (Можливо, варто вивчити цю модель).
Необхідно стандартизувати законодавство, щоб кібер-напади підлягали єдиному правовому режиму. Наприклад, в Аргентині (не знаю, чи й зараз, але), принаймні, ще кілька років тому кібер-злочини не визнавалися як такі, і хакери могли почуватися абсолютно вільно. І якщо ми не хочемо, щоб такі країни як Ємен чи Афганістан слугували прихистком для терористів, так само й для хакерів не повинно бути притулку там, де правовий режим по відношенню до них є значно м’якшим, ніж деінде.
По-третє, міжнародні конвенції з цих питань мають бути дієвими. Проблема в тому, що чинній Конвенція Ради Європи «Про кібер-злочинність» бракує механізму реалізації, механізму впровадження. Вона є гарною з точки зору морального осуду кібер-злочинів, але в практичному сенсі ця конвенція безсила.
Однією з причин тут є неоднозначне відношення до цього документу з боку Росії, якій не хотілося б, щоб на її території певні повноваження надавались міжнародним представникам чи правоохоронним органам інших країн. Взагалі, усі країни є досить чутливими до того, щоб ділитися своєю юрисдикцію з правоохоронцями інших держав.
Дозволю собі історичну аналогію: коли в університеті я досліджував питання щодо причин Першої світової війни, я з великим здивуванням дізнався, що в 1914 році Сербія відкинула ультиматум Австро-Угорщини – пам’ятаєте? Але ви, можливо, не пам’ятаєте іншого – насправді Сербія прийняла усі положення ультиматуму, окрім одного, і саме це спричинило Першу світову. Вони відмовилися дозволити австрійським суддям засідати в судах Сербії. Лише через це угода зірвалася, що й привело до Першої світової війни. Отже, це – делікатне питання. Але все одно, необхідно шукати шляхи подальшого удосконалення згаданої конвенції.
Тож, пані та панове, що ми маємо у підсумку?
По-перше, коли йдеться про кібер-загрозу, як і про будь-яку іншу загрозу, не піддаваймося паніці! – Ніякої параної! Особливо з огляду на те, що, як я вже говорив, 90% інцидентів можна уникнути дотриманням правил безпеки. Це перше.
По-друге, кібер-зброя не є еквівалентом зброї у класичному розумінні цього слова. Якби у світі відбувся обмін потужними ядерними ударами, ми могли б знову опинитися у кам’яному віці. А якби якась неймовірна хакерська атака вивела з ладу усі комп’ютерні системи світу, то нас би відкинуло десь у 60-і роки. Ну і що з того?
Звичайно, я дещо жартую, але у 60-х були автомобілі, телевізори, холодильники, посудомийні машини – життя було досить комфортним! Звичайно, в інформаційному плані все було значно примітивніше, але то не був кам’яний вік, тож не треба перебільшувати цю загрозу.
До того ж суспільство має вражаючу життєстійкість і здатність відновлюватись. Я вже згадував про повітряні кампанії Другої світової, які показали, що страхи відносно того, що буде масова паніка, дезертирство, що люди вже не повернуться на роботу, виявилися серйозно перебільшеними. Так само громадяни Сараєва відважно витримали осаду, що тривала з 1992 до 95-го року… Тобто коли трапляються такі випробування, виявляється, що ми маємо більший запас витривалості, ніж здавалося до того. Але, звичайно, самозаспокоюватись не можна, оскільки ми не знаємо, як будуть розвиватись події впродовж кількох наступних років, а потенціал кібер-загороз є дійсно серйозним.
Нещодавно в часописі Foreign Affairs я прочитав статтю Уеслі Кларка – колишнього головнокомандувача НАТО, в якій він стверджує (не знаю, чи це правда), що коли ізраїльська авіація нанесла удар по сирійському реактору, – (пам’ятаєте, подробиці щодо цього були засекречені і з’ясувалися тільки пізніше); так от, у статті говориться, що тоді сили протиповітряної оборони Сирії навіть не протистояли нападу, оскільки були заздалегідь виведені з ладу комп’ютерним вірусом.
Отже, якщо це можливо на такому високотехнічному рівні, то враховуючи перехід до ведення бойових дій на основі об’єднаних інформаційних мереж та дедалі ширше застосування цифрових систем озброєння та комунікації, наша позиція дійсно може бути вразливою. Це не обов’язково означає поразку, оскільки, як я вже говорив, наслідки кібер-нападу є лише тимчасовими, але вони здатні завдати великої шкоди і я не виключаю, що можуть навіть спричинити численні людські жертви.
Я не претендую на звання світового експерта у цій галузі, але за моїми дослідженнями є лише один приклад, коли в результаті кібер-нападу стався вибух, що вивів з ладу генератор в Америці. Були також випадки, коли в Лос-Анджелесі люди спересердя виводили з ладу систему дорожніх світлофорів, що могло спричинити ДТП з людськими жертвами…
Однак, такі інциденти приводять скоріше до збою в роботі систем, а не до смертельних наслідків. Але доки подібні випадки трапляються, ми маємо бути пильними. Це так само, як з ядерною зброєю. Треба просто адекватно відноситися до неї, як до реалії, і навчитися жити з нею.
Ну і, завершуючи аналіз 6 сучасних викликів безпеці, що можна було б порекомендувати тим, хто розробляє нову Стратегічну концепцію НАТО? Вочевидь, перший висновок полягає у тому, що ми маємо зберігати пильність щодо кожної з цих загроз.
Мистецтво стратегії полягає на в тому, щоб розділити наявні ресурси на 6 рівних частин, оскільки в такому разі кожна з цих часток буде замалою, щоб досягти відчутного результату. Але необхідно тримати руку на пульсі. Тоді навіть попри те, що головна увага приділяється пріоритетам, ви все одно залишаєтесь свідомими усіх інших процесів, і якщо на якомусь із напрямів виникне життєво небезпечна загроза, вам не доведеться починати з нуля – ви вже матимете відповідну політику, знання і технології, щоб протистояти цій загрозі.
І все ж, проаналізувавши усі ці загрози, дві з них я назвав би найважливішими. Перша – це розповсюдження зброї масового знищення. Оскільки, як я вже сказав, кібер-напади, дякувати Богу, поки що не приводили до масових людських жертв, а першочерговим завданням такого альянсу як НАТО є захист життя громадян країн-членів і, наскільки це можливо, життя громадян інших держав.
Зрештою, смерть від кулі – це значно гірше, ніж втрата на 2 дні доступу до свого банківського рахунку в результаті кібер-нападу. Останнє можна пережити і можна виправити, в той час як обмін ядерними ударами може забрати життя мільйонів людей. А розповсюдження ядерної зброї, як я вже говорив – це реалія сьогодення. Я не стверджую, що події будуть розвиватися за найгіршим сценарієм, але і повністю виключати це ми не можемо. Тому, на мою думку, запобігання цьому найгіршому сценарію – через контроль над озброєннями, через системи ПРО і так далі – має стати для НАТО ключовим пріоритетом.
Друге: недієздатні країни. Це була тема моєї попередньої лекції. Чому це так важливо? Тому, що ця проблема набуває світового масштабу. Минулого разу я говорив, що 60 країн світу зазнали або наближаються до кризи державної влади. Безумовно, найбільше потерпають саме громадяни цих країн: порушення прав людей, жертви серед цивільного населення, експлуатація природних ресурсів кримінальними групами, про що писала Мікела Ронг у своїй недавній книзі «Наша черга їсти»…Йдеться про те, як, нарешті, прийшовши до влади, та чи інша етнічна група монополізує природні ресурси, намагаючись взяти соціальний реванш, оскільки ці люди переконані, що настала їхня «черга їсти». Водночас досвід показує, що недієздатні держави становлять загрозу не лише для свого населення, оскільки часто слугують прихистком для злочинних угрупувань, терористичних організацій, джерелом незаконного виробництва наркотиків, тощо. Ми дедалі частіше пересвідчуємось, що вони підривають і нашу безпеку.
Отже, керуючись як стратегічними, так і гуманітарними міркуваннями, на перші 2 місця у своєму списку я поставив загрозу недієздатних держав та розповсюдження зброї масового знищення. Але ніхто не може знати напевне. Хто намагається передбачити майбутнє завжди помиляється. У цьому відношенні я не виняток. Тому варто тримати у полі зору і інші загрози. Сподіватися, що вони не сягнуть рівня 2 вищезгаданих, але залишатися свідомими того, що таке теж може трапитись. Дуже дякую.
-- Не знаю, наскільки доречним є це питання, але з якою метою хакери зламують бази даних медичних закладів?
-- Головним чином для того, щоб отримати інформацію, що має певну комерційну цінність, і продати її. Це може бути конфіденційна інформація на пацієнтів, яку можна продати, наприклад, фармацевтичним компаніям. Це можуть бути результати лабораторних досліджень, клінічних випробувань ліків і таке інше. До того ж є чимало угрупувань організованої злочинності, які діляться між собою подібною інформацією.
Звичайно, найбільше від кібер-нападів потерпають фінансові установи, оскільки мрія кожного злочинця – перевести гроші з легального банківського рахунку на нелегальний, але статистика доводить, що і на заклади охорони здоров’я припадає велика частка віртуальних атак.
-- Дякую. З огляду на вразливість кібер-простору, яким вам видається подальший розвиток електронного урядування?
-- В контексті сучасних проблем безпеки, наразі існує 2 базових підходи до питань електронного урядування; так само, як і до проблеми зміни клімату.
Перший – це створення універсального режиму на кшталт пост-кіотської загальної угоди з питань зміни клімату. Але якщо це виявиться недосяжним, або угода не буде дієвою, оскільки загального консенсусу можна досягти лише з небагатьох питань, тоді другий підхід – регіональні угоди. Ми вже спостерігаємо це у сфері торгівлі: якщо не вдається заключити глобальну угоду – Доський раунд переговорів ВТО – вибір робиться на користь регіональних угод. Одну з них було нещодавно підписано в Азії – про режим вільної торгівлі. Це робиться в надії, що з часом до регіональних угод буде приєднуватись дедалі більше країн, які, врешті-решт, встановлять універсальні стандарти.
Я гадаю, в майбутньому такі організації як НАТО, до яких входять держави-однодумці, будуть дедалі активніше працювати над створенням внутрішніх систем кібер-безпеки, що захищали б інтереси країн-членів. А подальше приєднання держав-парнерів, (якщо говорити про НАТО), розширювало б міжнародні масштаби такої системи.
Минулого тижня я говорив, що в операції під проводом НАТО в Афганістані беруть участь 15 країн, що не є членами організації; такі як Швеція, Фінляндія та інші. Звичайно, вони потребують такого ж кібер-захисту своїх систем розвідки, управління та комунікацій, як і союзники. Ми не можемо допустити несанкціонованого доступу до їхніх даних, оскільки наші оперативні системи взаємопов’язані, і якщо зламали їхню, це означає, що зламали й нашу.
Отже я вважаю, системи кібер-захисту створюватимуться за секторальним принципом. Приватні компанії також об’єднуватимуться, щоб ділитися своїм досвідом, у тому числі і в створенні систем раннього попередження. Слабких місць у віртуальному просторі безліч, і пов’язані вони як з програмним забезпеченням, так і з технічним обладнанням.
Виробники можуть закласти в обладнання вірус ще на етапі виготовлення, і ви нічого про це не знатимете. Як це було після Другої світової, коли Британія поставила деяким країнам німецьку шифрувальну машину «Енігма», попередньо ввівши в неї вірусні коди. Тож, купуючи обладнання, ніколи не знаєш, які маніпуляції з ним проводились до того.
До того ж зараз дедалі більше комп’ютерного обладнання імпортується. Скажімо, 20 років тому, у США, компанія АйБіЕм сама виробляла комп’ютерну техніку. А зараз комплектуючі завозяться з Індії, Китаю, Індонезії – звідусіль. Хто може гарантувати, що з цими деталями не було жодних маніпуляцій. Існують також проблеми, пов’язані зі «швами» між обладнанням та програмним забезпеченням, з комунікаційними каналами, з системною конфігурацією, з поведінкою користувачів та операторів і, звичайно, як я вже говорив – з поведінкою Інтернет-провайдерів.
Є кілька шляхів, якими можуть скористатися хакери. В міру дедалі більшої інтеграції систем, як це відбувається в межах Альянсів, тощо, кібер-захист на рівні окремих держав поступово втрачає ефективність. Тут неможливо будувати «лінії Мажино». Відтак виникає потреба в універсальних системах захисту, що охоплюють ту чи іншу інтегровану структуру.
…Коли я прийшов працювати в НАТО (навіть не буду говорити, як давно це було, щоб не лякати вас), в той час Альянс розробляв своє програмне забезпечення власними силами, наприклад, для системи протиповітряної оборони, тощо. Сьогодні вже так ніхто не робить. Усі користуються комерційним продуктом – Microsoft, Windows, універсальними комп’ютерними додатками…Власних систем для внутрішнього користування – систем, до яких не було б зовнішнього доступу, уже ніхто не розробляє. Тому фахівцям варто об’єднувати свої зусилля, принаймні в межах відповідних структур, і розробляти системи кібер-захисту на основі передового досвіду, поступово поширюючи його. Сподіваюсь, майбутній рух буде саме у цьому напрямі.
Оскільки універсальна угода, особливо якщо вона не буде дієвою, (а зараз саме це видається вірогідним), вирішити проблему кібер-захисту не зможе. Прошу пана.
(Дакосса, Рада Європейського Союзу)
-- У мене питання про «ботнети» – програми-роботи, що широко пропонуються в Інтернеті. Нещодавно фахівці з кібер-безпеки спільними зусиллями проаналізували, як діють бот-мережі і почали роботу, спрямовану на їхнє знешкодження; на знищення, власне. Як ви оцінюєте таку спробу взяти закон у свої руки...
-- У цій галузі, дійсно, дуже багато невизначеності. Наприклад, для того, щоб перевірити на вразливість власну систему інколи необхідно прозондувати іншу систему. Тому деякі так звані наступальні системи у певному сенсі є оборонними. Тобто, ви бачите, що ваша система зазнає несанкціонованого впливу і думаєте, що це результат кібер-атаки.
Ви починаєте «зондувати» систему когось іншого, щоб з’ясувати, хто здійснює напад. А та людина, в свою чергу, сприймає це як кібер-атаку на неї, і так далі. Розумієте?
Це як перед Першою світовою – кожна країна, яка оголошувала мобілізацію, вважала, що захищається. Водночас інші вважали, що вона готується до нападу саме на них. Різниця між нападом та обороною стала майже непомітною: кожен вважає себе жертвою, а інших агресорами. Тому кібер-простір стає дедалі складнішим середовищем, у якому все більше людей, військових інституцій та держав витрачають чимало ресурсів і часу, щоб отримати відповідну інформацію, і, що не менш важливо, – прозондувати системи інших. Не лише, щоб знайти їхні слабкі місця, а щоб з’ясувати слабкі місця власної системи.
В результаті маємо ланцюг причинно-наслідкового звязку, коли кожна дія викликає відповідну протидію.
Ви згадали про бот-нети.
Я вважаю, що врегулювати це питання можна лише чітко розрізняючи відповідні дії у кібер-просторі. Деякі з них пов’язані, скажімо, з міждержавним шпигунством. Це, так би мовити, звична практика. Час від часу заявляються протести, когось видворяють з тієї чи іншої країни, потім ситуація знову нормалізується… Це реалії, з якими нам доведеться жити. Їх не змінити. Ми не можемо наказати усім країнам припинити збір інформації одна на одну. Але подібні речі треба чітко відрізняти від зловмисних дій, що мають на меті вивести з ладу вашу систему, або отримати інформацію, що допоможе вивести її з ладу, чи мати доступ до ваших базових систем, тощо.
Щоб припинити це, можна було б створити щось на кшталт режиму контролю над озброєннями. Зокрема, з 1967 року діє угода про заборону використання космосу для розміщення зброї; подібна угода існує і стосовно морського дна; зараз розглядаються можливості заборони протисупутникової зброї…
Свого часу Сполучені Штати і Радянський Союз заключили договір, що зобов’язує сторони відмовитися від систем протиракетної оборони. Пам’ятаєте, договір щодо обмеження систем ПРО?
Отже, я вважаю, що єдиний спосіб протистояти проблемі, про яку ви говорите, це – розробити низку двосторонніх угод (подібних до контролю над озброєнням) і укласти їх між основними гравцями – Росією, Китаєм, США та іншими. Угод, що передбачали б заборону кібер-нападів у певних царинах, наприклад, у протиповітряній обороні, в супутникових системах, у GPS навігації, тощо. Таким чином у разі порушення цих угод можна було б задіяти відповідні дипломатичні інструменти… Подібний міждержавний «кодекс поведінки» був би, на мою думку, найкращим варіантом.
Хочу додати, що впродовж кількох років Сполучені Штати і Росія намагаються досягти угоди щодо кібер-простору, але росіяни вважають, що вона має стосувалася переважно військової сфери, а США хочуть охопити і приватний сектор, кримінальні прояви, тощо. Але, принаймні, спроби досягти угоди робляться. І було б дійсно чудово мати першу угоду щодо контролю над кібер-озброєннями, яка слугувала б прикладом для інших…
-- Ви згадували про кібер-напади на банки, медичні установи, про проблеми програмного забезпечення та комп’ютерного обладнання…Хотілося б більше почути про те, наскільки небезпечними можуть бути масові збої в роботі систем життєзабезпечення в результаті можливих кібер-нападів. Я маю на увазі мережі електропередач, водопостачання, енерготранспортні лінії – все те, що називається об’єктами критичної інфраструктури і може потрапити під кібер-удар.
-- Немає сумніву, що в майбутньому доведеться розробляти усі ці системи з урахуванням необхідного захисту від можливих нападів. Варто зауважити (і це стосується також попереднього питання), що в міру того, як в наданні послуг життєзабезпечення дедалі більше країн покладаються на Інтернет, вони всі можуть бути зацікавлені в його роботі. Адже Інтернет розроблявся не для того, щоб працювати в секретному режимі.
Іншими словами, для Китаю його фінансова система, чи для Росії її залежність від енергетичних трубопроводів вартує настільки дорого, що тримати віртуальний простір відкритим для них економічно вигідніше, ніж намагатися підірвати його кібер-атакою проти когось іншого. Тобто, навіщо завдавати шкоду комусь, якщо в результаті можеш зазнати навіть більшої шкоди. В цьому немає сенсу…
Саме таке міркування може стати порятунком в питаннях кібер-безпеки.
Звичайно, залишається проблема кібер-нападів для отримання інформації, але застосування їх як засобу масового збою, безумовно, буде зменшуватись. Щоправда, ми ще не створили систему пропорційного стримування, тобто коли я знаю, що удар у відповідь може обернутися мені не меншою шкодою, ніж мій тобі, тому утримуюсь від нападу. Такої системи ще немає, але якщо вона з’явиться, ситуація може змінитися.
Можливо, мій наступний аргумент буде суто філософським, але хочу пояснити, що я маю на увазі. Існує досить мало свідчень того, що аль-Каїда чи інші терористичні угрупування вдаються до кібер-нападів.
Причина полягає у тому, що терористи дедалі більше покладаються не на тренувальні табори десь в Афганістані чи Пакистані, а саме на Інтернет, з допомогою якого вони рекрутують добровольців, проповідують Салафію, показують відео, навчають відповідним технологіям, тощо. Тому, якби через кібер-напади Інтернет перестав діяти, вони як терористична організація втратили б надзвичайно багато…
Можливо, це дещо «збочений» приклад незацікавленості в підриві кібер-простору, адже для них він лише засіб рекрутування та агітації, але терористи дійсно вважають, що кібер-напади можуть позбавити їх важливого Інтернет-ресурсу, що в кінцевому рахунку більше зашкодить їм самим.
Але все одно, необхідно розробляти засоби запобіжного захисту… Необхідно створювати резервні системи… Як, наприклад, в Лівані кілька років тому в кожному домі був свій генератор на випадок відключення електроенергії. Подібного роду аварійний резерв потрібно мати і нам у кібер-просторі. До того ж, я гадаю, паралельно з високотехнологічними комп’ютерними системами мають існувати і такі, що діють за старим принципом– за принципом ручного управління. Їх можна було б вводити в дію в екстремальних умовах, для безперебійного виконання функцій життєзабезпечення.
Водночас важливо також мати систему раннього попередження. За рівнем активності у віртуальному просторі кібер-атаку можна зафіксувати на ранньому етапі, до того, як вона набула критичної маси. Функція кібер-розвідки полягає в тому, щоб швидко виявити нештатну ситуацію, визначити, де слабке місце і оперативно заблокувати небезпечну ділянку. Я мало знаюся на технічних питаннях, але дослідження показують, що кібер-атака подібна до того, як підглядають у шпарину дверей. Тобто, я не бачу, що відбувається у вашому домі, бо вікна завішені, але я можу зазирнути в шпарину і спробую розгледіти, що, де і як.
Таким чином зловмисник створює щілину у вашій системі. Але це не відразу дозволяє вірусу поширитись у ній.
Отже, якщо оперативно виявити цю прогалину, можна локалізувати шкідливий вплив. Як на кораблі з герметичними каютами. Про «Титанік» цього не скажеш, але так має бути. Щоб у разі зіткнення з айсбергом і пошкодження якогось з відсіків, він герметично перекривався б і не дозволяв воді затопити решту корабля. Або як з літаком: якщо один з двигунів загорівся, його вимикають...
Отже, в майбутньому нам треба створювати системи, в яких можна було б локалізувати вражені ділянки і таким чином запобігати розповсюдженню вірусів.
А зараз, пані та панове, щиро дякую, що були зі мною. Якби в мене не було слухачів, я не мав би можливості читати лекції, і тому я вам дуже вдячний. Бажаю усього найкращого; сподіваюсь зустрітися з вами знову, щоб продовжити обговорення – вже нових актуальних питань безпеки.
Дякую!