Донбасс медиа

Источник: Foreign Policy Magazine

Cтатья была изначально опубликована в осеннем выпуске журнала Foreign Policy 2018 года.

Автор: Тара Уилер, научный исследователь в области цифровой безопасности, специалист по кибербезопасности аналитического центра New America.  

Перевод подготовлен командой Донецкого института информации для media.dn.ua 

В 1984 году научно-фантастический фильм с атлетом-американцем австрийского происхождения в главной роли совершил прорыв и впечатлил киноманов по всему миру. Кибернетический организм был отправлен назад в прошлое, с целью отыскать и убить мать будущего героя в войне людей против машин, чтобы предотвратить его рождение. Киборг сканирует телефонный справочник и начинает методично убивать всех женщин в Лос Анджелесе по имени Сара Коннор и идет строго по списку сверху вниз.

Если бы сценарий Терминатора развернулся в современном мире, кино было бы больше похоже на короткометражку длиной в четыре с половиной минуты. Нужную Сару Коннор нашли бы по одной только фамилии и почтовому индексу, cпасибо взлому бюро кредитных историй Equifax (масштабная утечка данных 143 млн американцев в сентябре 2017 года).

Война против машин состоянием на 2018 год могла бы давно завершиться так и не начавшись, и никто этого бы даже не заметил.

Что самое ужасное в кибервойнах - это насколько прицельными и конкретно направленными они могут быть. Враг может легко проникнуть в национальное пространство, совершить удар по отдельной личности, определенному классу общества или географическому району.

Да и киборги не понадобятся сегодня. Согласно данным переписи населения в США живет 87 граждан по имени Сара Коннор. Большинство из них, возможно, водят машины с интегрированными системами сотовой связи, которые давно пора обновить, и что более вероятно, иногда используют общественные незашифрованные Wi-Fi сети, к тому же, вероятно, посещают докторов, которые ведут учет пациентов, их истории болезней на компьютерах с уязвимой и устаревшей Windows XP.

Сегодня война ведется не только на суше, в море, воздухе и космосе, существует и пятое измерение - киберпространство. Тем не менее, правительство США продолжает действовать неуверенно, когда дело доходит до кибербезопасности, перекладывая большую часть ответственности на частный сектор, что в который раз подтверждают неумелые действия администрации Трампа в отношении последней версии стратегии национальной безопасности США. Естественно, это делает страну легкой мишенью для зарубежных кибератак.

Состояние повышенного страха, неуверенности в том, что правда, а что ложь в киберпространстве, привело к тому, что сегодня не так просто разобраться в том, что на самом деле случилось, а чего вовсе не было. Природа кибервойны заключается в ее асимметричности. Отдельные солдаты способны обнаружить маленькие лазейки в системах безопасности стран и крупнейших транснациональных корпораций и использовать их в своих целях.

Вопреки широкому представлению подобные атаки не будут широкомасштабными вроде цифровой атаки на Перл Харбор с использованием революционных технологий и методов проникновения.

Наоборот это будут неприметные повседневные атаки на системы индустриального контроля, транспортные сети, базы данных медицинских учреждений, национальных страховых компаний. Почему именно эти цели?

Потому что, как правило, подобные системы работают на устаревшем программном обеспечении, плохо обслуживаются и крайне редко обновляются. Еще опаснее будут незримые манипуляции общественным мнением и выборами с использованием таргетированной рекламы, фейков, сфабрикованных аудио и видео с провокационными заявлениями любых мировых лидеров и влиятельных лиц.

Серьезный вызов для военных и специалистов по кибербезопасности - подобные атаки очень тяжело предвидеть. Современные стратегии обнаружения традиционных военных угроз нельзя применить в отношении киберпространства.

Кибервойна - это бой без правил.

Безусловно у кибервойн есть свои принципы, но генеральным штабам они мало известны и чужды.

К примеру, в условиях кибервойны неосмотрительно объявлять о правительственных контрактах с Google и Microsoft о разработке технологий искусственного интеллекта или программного обеспечения для миграционной службы.

Именно государствам и технологическим корпорациям предстоит установить правила кибервойны.

На данный момент все знакомы с понятием, но никто на международном уровне не предложил универсальное определение для кибератаки, а определение понятий кибервойны - это первый шаг к превентивным действиям.

Ближе всего к определению понятия кибервойны подошли вооруженные силы США, указав, что это “действия, которые приводят к серьезным последствиям, такие действия подлежат оценке и рассмотрению в Конгрессе США”.

С учетом той скорости, с которой кибератаки могут парализовать ключевые объекты инфраструктуры, ожидать, что  Конгресс США сможет оперативно и вовремя среагировать - весьма наивно.

В мире, где узкопартийное интриганство стало средством войны, толковая дезинформационная операция одного государства, нацеленная только на одну партию, сыграет на руку остальным политическим силам в стране. И тогда будут забыты национальные интересы и безопасность.

Помимо этого существует серьезный риск случайных потерь и сопутствующего ущерба. Большинство военных понимает свою ответственность во время авиаударов и прочих военных операций. Риск жертв среди мирного населения всегда принимают во внимание при планировании подобных операций. Хотя США уже стали оценивать возможный сопутствующий ущерб перед санкционированием киберопераций, на международном уровне нет такого документа, который бы обязал другие государства принимать аналогичные меры.

Масштабная кибератака на США в 2014 году - яркое свидетельство того, как гражданское население может пострадать от последствий таких операций.

Почти все эксперты по кибербезопасности и сотрудники ФБР заявили, что следы взлома серверов Sony Pictures Entertainment 2014 года ведут в Северную Корею.

Враждебное государство нанесло удар по американскому юридическому лицу с намерением дестабилизировать крупную корпорацию и это ему удалось. По предварительной оценке Sony пришлось потратить около $100 млн. на восстановление своих систем после атаки.

В сфере традиционных военных операций это было бы сопоставимо с разрушением нефтеносного района Техаса или Аппалачской угольной шахты. Интересно, что если бы вражеское государство разрушило американскую шахту или крупный завод, то в международном праве это бы расценивалось как акт вооруженной агрессии.         

В ближайшем будущем атаки подобного масштаба больше не будут чем-то исключительным. У государственных инфраструктурных объектов и крупных компаний множество уязвимых мест. Подобные атаки неизбежно приведут к колоссальному ущербу как для страны так и для бизнеса.

Тем не менее, до сих нет международно утвержденных правил и норм, которые бы дали определение таким преступления и зафиксировали ответственность за эти действия.

Несколько примеров:

Раз в неделю один из европейских производителей cамолетов очищает кабины пилотов всех своих самолетов от вредоносного ПО Android. Пилоты могут занести вредоносные программы в самолет из своих смартфонов, когда они подсоединяют их к портам для зарядки в кабине пилотов, что приводит к тому, что смартфон второго пилота тоже становится зараженным. В итоге самолеты покрыты как цифровыми так и микробиологическими вирусами. В такой уязвимой среде даже не самая утонченная хакерская атака может привести к плачевным последствиям.

Текстовое сообщение, отосланное всем пилотам в рейсе, якобы, от службы национальной безопасности с предупреждением и требованием изменить маршрут полета, может спровоцировать ряд чрезвычайных посадок и привести к масштабной путанице среди систем координации полетов.

Более продвинутые атаки могут привести к куда более серьезным последствиям.

Авиация - лишь один среди многих уязвимых секторов.

Система здравоохранения США полна устройств, которые работают на устаревшем аппаратном и программном обеспечении, его уже невозможно обновить или усовершенствовать. Маленькие больницы часто не могут позволить себе регулярно обновлять свое медицинское оборудование.

Производители, в свою очередь, часто прекращают выпускать обновления для старых версий оборудования, чтобы стимулировать продажи новых моделей.

Это становится проблемой, когда все больше хирургических операций проводятся при помощи роботов-ассистентов. Индустрия медицинского оборудования в первую очередь нацелена на результативность и эффект на состояние здоровья, а не на защиту от взлома или обновление уровня безопасности своих систем. Кибератака на медицинские учреждения причинит выход из строя робототехники и если это случится во время операции, фатальные случаи вполне возможны.

Допустим, группа террористов выбрала своей мишенью влиятельного сенатора. Злоумышленникам стало известно, что у него запланирована хирургическая операция, в которой будет задействован робот ассистент. Террористы проникли в систему больницы, получили контроль над роботом, сенатор убит, а следы умело замели. В таком случае будет невероятно трудно установить личности тех, кто организовал и выполнил такое изощренное преступление.

Более того, пока нет ни одного прецедента в юридической системе США, который бы квалифицировал хакерский взлом медицинского оборудования как орудие убийства. Протоколов ответных мер не предусмотрено.

Еще один, но уже реальный пример - недавно сотрудники криогенного хранилища эмбрионов в городе Кливленд не смогли обнаружить тот факт, что кто-то дистанционно отключил сигнализацию контейнеров с замороженными эмбрионами. В результате центр потерял больше 4000 замороженных яйцеклеток и эмбрионов. Интересно, что большинство операторов систем индустриального контроля особо не парятся по поводу паролей установленных по умолчанию как и выданных доступов к объектам. Такие объекты особенно уязвимы к атакам со стороны программ-вымогателей.

На данный момент тяжело определить была ли потеря эмбрионов и яйцеклеток в Кливленде вызвана ошибкой управления сети или это намеренный взлом. Тем не менее случай настораживает с учетом того, что скоро все больше развитых стран будут строить у себя подобные хранилища, а всего один удаленный взлом может стоить жизни тысяч будущих граждан.

Нет никакого функционального различия между солдатом, который уничтожает контейнеры с 4000 тысячами яйцеклеток и таким же солдатом, который с помощью клавиатуры и мышки удаленно проник в систему хранилища и отключил систему охлаждения.

Что первый, что второй случай - одинаково чудовищны с моральной точки зрения. Кажется, что сложность и неясность подходов в определении злодея во втором случае, невольно переносит преступление в область научной фантастики. Но это не так.

Кибератаки, вероломные, вопиющие и бытового уровня происходят довольно часто в наше время и чаще всего это проходит очень тихо, без лишнего шума и внимания общественности. Большинство опасений и страхов по поводу настоящего и будущего кибербезопасности - результат искривленного публичного восприятия редких громких случаев. Пока специалисты по кибербезопасности не могут с уверенностью установить характеристики кибератак или факт возникновения некоторых атак, шансы возникновения новых растут, злоумышленники это понимают и пользуются таким положением дел.

Технологии и киберпространство меняются намного быстрее чем работают механизмы формальных национальных и международных институтов.

Прогрессивный план для кодификации основ киберпезопасности должен идти в ногу со временем и учитывать развитие инфраструктуры защиты, а также привлечение и обучение перспективных специалистов в области информационной безопасности.

Не нужно заново изобретать велосипед, система кибербезопасности США должна придерживаться тех основных принципов, которые использовали для разработки основной инфраструктуры США: стратеги планируют, специалисты выполняют, эксперты оценивают.

К примеру, сеть федеральных скоростных автомагистралей США, которая была изначально разработана в 1956 году с целью обеспечить скоростную транспортировку войск и припасов принесла больше бонусов и возможностей простым американцам.

Сегодня, из-за небрежного ухода, дороги в США усеяны колдобинами и трещинами. Как результат - тысячи смертей на шоссе из-за неудовлетворительного состояния дорожного покрытия. Пока ямы и трещины на дорогах - самая скучная проблема для чиновника.

Для сравнения, когда где-то обваливается мост, это мгновенно становится темой номер один в медиа. Хотя количество жертв - в разы меньше чем ежегодная статистика жертв ДТП на скоростных трассах, мосты дают возможность чиновнику покрасоваться перед камерами, продемонстрировать свои лидерские качества целевой аудитории, сделать громкие заявления, дать гарантии разобраться и все восстановить.

Рутинная монотонная работа над очередным километром трассы - совсем другое, непопулярное среди чиновников дело. Да, это скучно, но это фундаментальная и жизненно необходимая работа для обеспечения функционирования всей дорожной сети огромной страны. То же самое нужно проделать для развития технологической инфраструктуры.

Если работа над кибербезопасностью скучная, то только потому, что мы неправильно ее выполняем.

Такие базовые меры кибербезопасности как апгрейд шифрования, тестирование способности восстановления сети в случае потери данных, рутинная проверка санкционированного доступа лиц - должны быть заложены в бюджет каждой организации.

В случае инцидента, должен последовать экспертный аудит системы независимого регулятора.

Такая практика применяется при авиакрушениях, когда национальное управление безопасности перевозок США проводит аудит и дает свой вывод.                                    

На данный момент в США очень не хватает такого управления для кибербезопасности. Из-за недостатка государственных экспертов, обычно в таких случаях привлекают крупных аудиторов как Ernst & Young, PwC, Deloitte.

Но этого мало, для эффективной работы нужен батальйон экспертов по цифровой безопасности.

Первый шаг для усовершенствования киберзащиты - это определение составляющих кибератаки иностранным государством. Это будет полезно для разделения понятий кибершантажа и индиструального шпионажа. Затем парламентариям и чиновникам нужно решить  - каковы будут ответные меры самозащиты после такой атаки.

До сегодняшнего дня было несколько попыток создания глобальных норм. В 2013 году группа экспертов цифрового права собралась в Таллине и написала Таллинское руководство (The Tallinn Manual) - документ, который ближе всего по смыслу подобрался к Женевской конвенции по кибербезопасности.

Документ определил характеристики кибератаки, которые включают, выведение из строя критической инфраструктуры, атака на медицинские учреждения, разрушение транспортных коридоров и пассажирского транспорта, попытки внедриться в компьютерные системы вооруженных сил другого государства. К сожалению, в таллинском руководстве не столь детально проработаны вопросы связанные с операциями по дезинформации и внедрению в выборы иностранного государства. Но это хоть какое-то начало.

В преддверии парламентских выборов в Германии в 2017 году, ряд кибератак в стране спровоцировал широкие опасения насчет вмешательства Кремля во внутренние дела Германии, но согласно Уставу ООН, вооруженных сил другого государства не было замечено в Германии, значит подобные случаи нельзя трактовать как акт агрессии. Такое определение как и понятие вмешательства во внутренние дела государства из Устава ООН уже безнадежно устарели.

Достижение консенсуса в отношении факторов, которые допускают право государства на самозащиту в киберпространстве требует согласованного взаимопонимания.

Нужно определить, где проходит грань между экономическими преступлениями, промышленным шпионажем и истинными кибератаками.

Одна из моделей может приобрести форму если факт вмешательства России в президентские выборы в США будет обоснованно доказан. Прецедент,  который докажет что вмешательство России через манипулятивные информационные кампании, направленные на американских избирателей повлияли на результаты выборов, может привести к глобальному консенсусу по поводу определения акта агрессии в киберпространстве.

Без международной легитимности никакое определение из области кибербезопасности не будет эффективным. Если группе экспертов все таки удасться собрать уполномоченную комиссию для создания Женевской конвенции по кибербезопасности, не совсем ясно кто выступит источником полномочий документа. В случае с Таллинским руководством, НАТО выступили спонсором конференции. Несмотря на это, документ имел рекомендательный характер и не являлся официальным документом НАТО.

При отсутствии согласованных норм, обязательных для всех стран, мы и дальше будем жить в мире, уязвимом для атак как стороны хакеров, разного рода мошенников, разведчиков, преступников, так и просто кибер хулиганов любителей. Учитывая нынешнюю тенденцию действия этого класса будет почти невозможно идентифицировать даже если они предпримут самые элементарные меры, чтобы замести свои следы.                                

Вызов заключается в том, что за развитием киберпространства не угнаться, пока будет идти подготовка саммита одной повестки дня, в киберпространстве будут актуальны уже другие вопросы. Даже если государства согласятся с определением кибератаки одного юридического или частного лица на другое, нет никакой гарантии, что они придут к консенсусу для определения такого нападения одной страны на другую. Но все равно через это придется пройти.

Со временем привычки становятся традициями. Именно так в свое время Гуго Гроций охарактеризовал развитие международных отношения. Идеи Гроция вдохновили собрание первого дипломатического конгресса для подписания Вестфальского мира в 1648 году, который положил начало нового порядка в мире, порядка основанного на концепции государственного суверенитета.

Гуго Гроций - голландский юрист, отец теории справедливой войны, сформировал первую серию международных норм, согласно которым анархический международный порядок постепенно будет сам себя структурировать. Спустя 370 лет, концепция современного государства, заложенная Гроцием, выглядит нерушимой как скала и регулярно укрепляется международными договорами и конвенциями.

Мы дошли до того момента, когда странам нужны новые привычки для новой эры. Странам лидерам стоит последовать примеру НАТО, которые поддержали первые попытки определить термины, актуальные для новой реальности и призвать страны к совместной работе над Женевской конвенцией по вопросам кибербезопасности. Без международного консенсуса по поводу того, что, собственно, представляет собой кибервойна, мир погрузится в цифровую анархию, когда у каждого государства свое понимание угроз, защиты и ответных действий, каждый уязвим и остается сам один, когда приходит время разбираться с последствиями разрушительных кибератак.