Позитивный контроль и случайная война

Затронутая выше проблема — сохранение возможности противника осуществлять командование и контроль — поднимает еще один вопрос: «Кто обладает полномочиями вторгаться в сети и применять кибероружие?» Ранее в этой главе я предположил, что для изменения банковской информации может понадобиться санкция членов кабинета, и все же мы не уверены, знает ли президент о логических бомбах в сетях разных стран, которые, возможно, разместили Соединенные Штаты. Оба этих факта указывают на большую неопределенность в вопросах о том, кто обладает полномочиями вести кибервойну и заниматься подготовкой поля боя.

В ядерной стратегии поднималось два главных вопроса — кто и что может сделать, которые объединяются понятием «позитивный контроль». Первый вопрос прост: «Может ли какой-нибудь американский офицер, имеющий доступ к ядерному оружию, использовать это оружие, даже если не имеет таких полномочий?» Чтобы предотвратить такую проблему и чтобы никто не украл и не взорвал ядерную бомбу, бомба была оборудована тщательно продуманным электронным механизмом. Электроника блокировала бомбу до тех пор, пока на устройство не поступал специальный буквенно-цифровой код. Часто требовалось, чтобы два офицера подтвердили код и одновременно повернули ключи для снятия блокировки — так называемый контроль «с двумя ключами». Часть кода хранилась вдали от бомбы и высылалась тем, кто должен его разблокировать. Эти и так сложные системы с годами еще более усложнялись. Соединенные Штаты частично поделились такой технологией с некоторыми ядерными державами.

Второй вопрос позитивного контроля: «Какая высшая инстанция обладает полномочиями посылать коды разблокирования ядерного оружия?» Теоретически при нормальных условиях такими полномочиями должен обладать президент. Офицер, прикомандированный к президенту, всегда носит с собой закрытый чемоданчик, в котором хранятся коды запуска на случай ядерной атаки. Во время попытки военного переворота 1990 года в Москве я узнал, что в Советском Союзе существовала аналогичная система. Президент Горбачев, который на одном из этапов кризиса оказался заложником, взял с собой на дачу такой «ядерный» чемоданчик с кодами запуска» Этот случай с Горбачевым подчеркнул необходимость передачи полномочий, если президент в силу каких-то обстоятельств не может действовать. Американское правительство отказывается сообщать, кто, помимо президента, обладает полномочиями деблокировать и использовать ядерное оружие и при каких условиях эти полномочия передаются. Весь персонал, имеющий доступ к ядерному оружию, должен подвергаться специальным проверкам и тестированиям, разработанным для отсеивания людей с психологическими или эмоциональными проблемами.

Кибероружие оказывает значительно меньшее воздействие, чем ядерное, но его использование может привести к большим разрушениям и вызвать более широкую войну. Итак, кто решает, применять ли его, и как мы можем убедиться в том, что эти действия санкционированы? Кто должен решать, в какие сети нам нужно вторгаться в процессе подготовки поля боя? Пока мы не накопили достаточно опыта в применении кибероружия, я настаиваю на том, что президент должен по крайней мере раз в год утверждать рекомендации о том, в какого рода сети и в каких странах нам следует вторгаться для сбора информации и размещения логических бомб. Кто-то осудит такое предложение как чрезмерно ограничивающее и заметит, что мы годами вторгаемся в различные сети с разведывательной целью без всякого надзора со стороны президента. Пусть так, но нередко лишь несколько нажатий клавиш отделяют вторжение в сеть для сбора информации от разрушительных последствий. Поскольку существует риск, хоть и небольшой, что факт размещения логических бомбы и других проникновений будет обнаружен и воспринят как враждебное действие, президент должен решать, какой риск мы готовы взять на себя и с кем.

Ответственность за решение использовать кибероружие в разрушительных целях также следует возлагать на президента или в редких случаях, когда необходимо действовать быстро, на министра обороны. Могут возникнуть ситуации, когда региональным военачальникам придется воспользоваться заранее переданными полномочиями, чтобы защититься от надвигающейся или уже происходящей атаки. Однако Киберкомандование и подчиненные ему части должны использовать какой-то программный аналог контроля «с двумя ключами», чтобы гарантировать, что никакой чрезмерно рьяный или сильно заскучавший молодой лейтенант не инициирует атаку.

Но даже в случае надлежащего управления существует риск случайной войны. Первые радиолокационные системы во времена холодной войны иногда не могли отличить огромные стаи канадских гусей от строя советских бомбардировщиков. Были времена, когда Соединенные Штаты запускали группы своих бомбардировщиков по направлению к определенным целям, ожидая, когда начальство воздушной обороны прояснит ситуацию и определит наверняка, подвергаемся ли мы нападению.

В кибервойне атака может начаться случайно, если кто-нибудь использует непроверенную программу и вместо того, чтобы добавить код, копирующий данные, использует код, который их удаляет. Кроме того, существует вероятность случайного запуска логической бомбы в результате действий оператора сети или какого-нибудь хакера, обнаружившего ее. Подобные шансы невысоки, но Киберкомандование и все те, кто участвует во взломах сетей других стран, обязаны придерживаться строгих правил, гарантирующих, что ошибок не будет. Риск случайной войны особенно увеличивается, если мы неправильно определяем, кто начал кибератаку против нас, и принимаем меры против неповинной страны.

Атрибуция

В учениях «Южно-Китайское море» ни одна из сторон не сомневалась в том, кто атаковал ее. Был политический аспект, росло напряжение вокруг морских нефтяных месторождений. Но что, если атаку совершил не Китай, а Вьетнам? По нашему сценарию Вьетнам является союзником Соединенных Штатов. Так с какой же стати ему нас атаковать? Да хотя бы для того, чтобы втянуть США в конфликт, заставить Вашингтон выступить против Китая. А что для этого может быть лучше, чем убедить Вашингтон в том, что Китай ведет кибервойну против Америки? А когда Китай начнет отрицать свое участие, США наверняка спишут это на попытку Китая оправдаться. (Если вы хотите рассмотреть подобный сценарий и готовы простить меня за некоторую саморекламу, прочитайте мой роман Breakpoint («Точка излома»), в котором затрагивается проблема кибервоенной атрибуции.)

Киберэкспертам на конференции Black Hat 2009 года задали вопрос: считают ли они проблему атрибуции столь существенной, как некоторые полагают, сложно ли выяснить, кто вас атаковал, и так ли важно, кто это сделал? Все до единого ответили, что проблема атрибуции не является такой уж важной. Нет, они не утверждают, что определить взломщика легко, просто данный вопрос их не тревожит. В большинстве своем эксперты являются сотрудниками корпораций, и после кибератаки первоочередной задачей для них будет восстановление системы и предотвращение подобных атак в дальнейшем. Опыт общения с ФБР убедил их в том, что вряд ли стоит даже сообщать правоохранительным органам о фактах взлома.

Для сотрудников ФБР, однако же, куда важнее знать, кто атаковал. Об этом может спросить президент. Возможно, понадобится послать взломщикам дипломатическую ноту протеста, как сделал секретарь Клинтон после новостей о попытках проникновения в Google из континентального Китая. Может быть, вы захотите нанести ответный удар, чтобы атаку прекратили. Один из способов найти взломщика — использовать отслеживающие программы, но есть вероятность, что вы дойдете лишь до какого-то промежуточного сервера. На этом этапе есть основания подать дипломатическую ноту с требованиями, чтобы правоприменяющий орган страны в рамках международного сотрудничества по расследованию преступлений получил ордер, осмотрел сервер и извлек записи. На это потребуется не один день, и нужные записи за это время сумеют уничтожить. Либо же виновная сторона откажется помочь вам. Когда следы прерываются, вы можете совершить «ответный взлом», проникнув на сервер и проверив данные. Разумеется, это будет незаконно, если только вы не офицер разведки. Но и проникновение на чужой сервер может не сработать, если взломщик скрыл свое нахождение. Во многих случаях вам придется находиться в режиме онлайн, наблюдая за тем, как атакующие пакеты проходят через серверы. Но, проследив путь через десяток серверов в разных странах, вряд ли вы обнаружите, что атака берет начало из места под названием «Российское агентство кибервоенного наступления». Даже если российское правительство организовало атаку, в целях безопасности оно наверняка будет действовать с сервера другого государства и, если это операция по сбору разведданных, вся полученная информация будет храниться в третьей стране. Далеко не всегда удается выяснить, кто атаковал вас, если только вы не находитесь в сети, которую использует взломщик, и не наблюдаете за процессом (что тоже не всегда возможно). Есть вероятность, что спецслужбы сумеют определить, на какой «языковой» клавиатуре писался код — арабской, кириллической или корейской, но они вряд ли вычислят самого хакера. Если даже выяснится, что атака шла из России, как было в случае с Эстонией и Грузией, власти страны, скорее всего, переложат вину на гражданских «хактивистов» и ничего им не сделают.

Сложность атрибуции может означать, что для определения взломщиков стране порой необходимо полагаться на традиционные методы разведки — шпионаж или полицейские методы. Обычная разведка, в отличие от компьютерной, не действует со скоростью, приближающейся к скорости света. Быстрое реагирование не всегда возможно. В стратегии ядерной войны атрибуция не считалась важной проблемой, поскольку мы всегда могли сказать, откуда запущены ракеты или бомбардировщики. Кибератака похожа на взрыв бомбы. Если мы наблюдаем за развитием атаки, видя киберэквивалент стартовой шахты или авиабазы, мы сумеем определить происхождение атаки с большой степенью достоверности. Но если атака начинается на серверах в США, пройдет какое-то время до того момента, как президент скажет: мы знаем, кто атаковал нас. Насколько уверенными мы должны быть, прежде чем нанести ответный удар? Ответ, вероятно, будет зависеть от реальной ситуации в мире.

Кризис неустойчивости

Ныне покойный Билл Кауфман однажды попросил меня написать доклад на тему «Предупредительный сигнал». Стратегическое командование ВВС считало: как только мы поймем, что Советский Союз готов совершить на нас ядерное нападение, мы должны направить на него как можно больше бомбардировщиков и запустить ракеты наземного базирования. Поскольку точность наведения советских ракет росла, они могли уничтожить даже те наши ракеты, которые хранятся в укрепленных подземных стартовых шахтах. Как и все прочее в доктрине ядерной стратегии, задача «запуска в случае их приближения» усложнилась. А что, если мы или наши средства обнаружения ошибаются? А если они атакуют, но малыми силами, направленными всего лишь на несколько целей? Нужно ли нам ответить всей своей мощью? По этой причине ВВС разработали стратегию «запуск при атаке», то есть приняли решение ждать, пока картина прояснится, пока боеголовки противника не взорвутся где-нибудь на нашей территории. Переход к стратегии предупреждения всегда считался делом опасным, поскольку обострял нестабильность и взрывоопасность ситуации во время усиления напряженности. Если не принять правильное решение быстро, вы проиграете, но если принять решение быстро, оно может оказаться неправильным. В исследовании, которое я провел по заданию Кауфмана, я смог прийти к заключению о том, что у нас достаточно ракет на «море» и эти ракеты достаточно точны, так что мы можем пережить нападение, а затем принять рациональное решение, прежде чем развернуть ответные действия.

Подобная проблема существует и в кибервойне. Считается, что Соединенные Штаты способны узнать о приближении атаки, быстро пресечь ее и лишить противника возможности нападать снова. Такое предположение не всегда необоснованно. Если предположить, что стратегия США заключается в предвидении надвигающейся атаки и переходе к действиям, то действовать нужно быстро и не размышляя о том, кто враг и куда он собирается нанести удар. Промедление, скорее всего, выльется в два неблагоприятных для нас события:

— нападающая страна, вероятнее всего, поднимет мосты, то есть сразу же после запуска большой атаки Китай сможет отсоединиться от всего остального Интернета;

— нападающая страна может совершить атаку на сеть Интернет и телефонную инфраструктуру Соединенных Штатов, в связи с чем Америке сложно будет предпринимать ответные меры в киберпространстве.

Таким образом, первый удар может обеспечить преимущество нападающему и ведет к кризису нестабильности, молниеносности и не дает времени на размышления. А теперь вспомните наш разговор о неопределенности намерений, о том, какого типа цели выбирает одна сторона в период подготовки поля боя. Если страна уверена, что противник разместил в ее инфраструктуре (включая компьютерные и энергетические сети) разрушительные программы и логические бомбы, то эти соображения, в сочетании с преимуществами первого удара, могут во времена усиления напряженности заставить тех, кто принимает решение, нажать на заветную клавишу зудящим пальцем.

Асимметрия обороны

В наших учениях победила китайская команда, которая заставила американцев отвести войска и пойти на переговоры, чтобы сохранить лицо. Главная причина их победы заключалась в том, что им удалось преодолеть оборону Соединенных Штатов и довольно эффективно воспользоваться собственной. США ждали атаки из-за океана, а китайцы использовали американские серверы, которыми, возможно, управляли китайские «студенты», сидя где-нибудь в кафе. Американцы искали сигнатуры известных атак, а китайцы использовали программы «нулевого дня». И самое главное, у США не было механизма обороны гражданской инфраструктуры, в которую входят финансовая индустрия, энергетическая сеть и система железных дорог.

Китай, с другой стороны, имел в своем распоряжении не только систему, с помощью которой можно было управлять всей инфраструктурой страны, но и план обороны.

Когда стало ясно, что надвигается кибервойна, китайские энергетические системы и железные дороги перешли на несетевую систему управления. Когда китайцы лишились спутниковой связи, они за час ввели в эксплуатацию резервную радиосеть. Короче говоря, Китай не выкинул старые системы, а разработал план их дальнейшего использования.

* * *

Уроки, которые мы извлекли, помогли нам определить проблемы и возможные варианты их решения, и мы приблизились к определению своей военной стратегии. Однако есть еще один отсутствующий элемент. Мы почти не обсудили международные законы войны и другие договоренности. Какие международные законы касаются кибервойны и какие дополнительные многосторонние соглашения были бы в наших интересах?

Глава 7

Кибермир

Соединенные Штаты практически в одиночку блокируют идею контроля над вооружениями в киберпространстве. Ее главным сторонником является, как ни странно, Россия. Учитывая дестабилизирующую природу и потенциальный ущерб кибервойны для США, о чем шла речь в предыдущих главах, можно подумать, что Соединенные Штаты давно должны были начать обсуждение международного соглашения о контроле над вооружениями, чтобы сократить риски.

На самом деле с тех пор как, администрация Клинтона первый раз отвергла предложение России, Соединенные Штаты выступали последовательным оппонентом контроля над кибевооружениями. Чтобы быть предельно откровенным, пожалуй, я должен признать, что это я отверг предложение России. Многие со мной согласились — мало какие решения американского правительства принимаются кем-то единолично. Однако в число моих функций в Белом доме во времена Клинтона входила координация политики кибербезопасности, включая международные и межправительственные соглашения. Несмотря на интерес Госдепартамента к проблеме контроля над кибервооружениями, мы сказали «нет». Я считал предложение России прежде всего инструментом пропаганды, чем десятилетиями и являлись все многосторонние инициативы подобного толка. Ратификация любого киберсоглашения казалась невозможной. Более того, Соединенные Штаты еще не выяснили, чем они намерены заниматься в сфере кибервойны. Было неясно, включать ее или нет в задачи национальной безопасности. Поэтому мы сказали «нет» и продолжаем говорить «нет» уже более десяти лет.

Теперь, когда вооруженные силы и разведывательные службы двадцати с лишним стран создали наступательные киберподразделения и мы стали лучше понимать, как может развиваться кибервойна, пожалуй, для США пришло время пересмотреть свою позицию по вопросу контроля над кибервооружениями и спросить, возможно ли добиться каких-то выгод посредством международного соглашения.

Краткий критический