В этой статье отечественному читателю особенно интересны предложения автора, что считать адекватными ответами на кибератаки, а что нет и почему. Довольно познавательно и явно востребуется в скором времени для понимания перспектив.
В прошлом месяце компания FireEye, занимающаяся кибербезопасностью, предупредила правительство США о том, что хакеры взломали его защиту и получили доступ к сетям клиентов, включая многочисленные федеральные агентства и крупные корпорации. С тех пор государственные следователи раздобыли доказательства гигантской операции по взлому сетей, которую на протяжении многих месяцев осуществляла иностранная держава. В результате получен доступ как минимум к внутренней информации 18 тысяч компаний и государственных организаций из-за слабых связей в цепочках поставок: управляющих программах, разрабатываемых и поставляемых техасской компанией SolarWinds. Аналитики всё ещё расследуют источник взлома, но факты указывают на российскую Службу внешней разведки, известную как СВР. Похоже, Россия легко преодолевает кибероборону США. По меньшей мере, шесть федеральных ведомств не сумели выявить злонамеренных действий в своих сетях, включая Государственный департамент, министерства торговли и энергетики.
Дорогостоящая система Einstein, закупленная Департаментом внутренней безопасности, также не распознала этой враждебной активности. В конце концов, взлом обнаружен не искусственным интеллектом, не алгоритмами машинного обучения и не с помощью засекреченных возможностей контрразведки, а сотрудником компании FireEye, заподозрившим неладное. Хакеры попытались добавить многофакторную аутентификацию к взломанному устройству, действующему в сети FireEye, и аналитик из центра безопасности попросил собственника устройства проверить легитимность запроса. Владелец сказал, что это нелегитимный запрос, и FireEye начала расследование, которое позволило разоблачить кампанию взлома сетей.
Такой грандиозный провал вполне логично мог бы побудить наблюдателей задним числом раскритиковать давно принятую Соединёнными Штатами киберстратегию. Но по мере того, как всплывают детали хакерской кампании, они, похоже, свидетельствуют о том, что дело тут не в стратегии, а в её выполнении.
Это означает, что нужно заложить фундамент для совершенствования сотрудничества и координации между государственными ведомствами и частными технологическими компаниями по проведению тщательного расследования провалов, которые привели к взлому систем компании SolarWinds. Затем требуется пропорциональная реакция и принятие мер, которые в будущем позволят своевременно обнаруживать кибератаки со стороны России и других противников США.
Жизненно важное государственно-частное партнёрство
В течение двух десятилетий, и даже более, американская киберстратегия обусловливалась потребностью совместной работы правительства и частных предприятий по противодействию угрозам. Ни одно федеральное ведомство не сможет выявлять и сдерживать всех зарубежных противников в киберпространстве, необходимо сотрудничество государственного и частного сектора. Тем не менее Соединённые Штаты так и не создали структуры или возможности, необходимые для полноценной организации совместных усилий. Вместо этого каждые четыре-восемь лет президент или Конгресс собирают разные группы экспертов для долгого обсуждения нового подхода. Это делала Комиссия по кибербезопасности при центре стратегических и международных исследований для 44-го президента США в 2008 г., Комиссия Белого Дома по усилению национальной кибербезопасности в 2016 г., а также прошлогодняя Комиссия по киберпространству (Cyberspace Solarium Commission).
У каждой из этих комиссий были широкие полномочия для переосмысления киберстратегии, и каждая пришла к одному и тому же выводу: единственный жизнеспособный подход заключается в государственно-частном партнёрстве. Каждая из комиссий рекомендовала длинные перечни средств для налаживания партнёрства, в том числе за счёт усиления механизмов и процедур сотрудничества и обмена информацией между федеральными ведомствами и частным сектором. К сожалению, большая часть рекомендаций были выполнены частично или вообще проигнорированы.
Например, в 2014 г. хакеры, связанные, как представляется, с правительством Северной Кореи, взломали файлы компании Sony Pictures. В ответ администрация президента Барака Обамы создала Центр исследования киберугроз (CTIIC) наподобие Национального центра борьбы с терроризмом для координации сбора и передачи информации о киберугрозах. Но этому центру CTIIC не было предоставлено достаточного финансирования или полномочий для осуществления миссии. Конкуренция, забота о неприкосновенности личной жизни, а также культура секретности и конфиденциальности по-прежнему препятствуют свободному обмену информацией о киберугрозах разведывательными сообществами, ведомствами и частными охранными предприятиями.
Пока преждевременно давать точный диагноз причин провала разведывательного сообщества, чтобы сказать наверняка, почему оно не сумело своевременно выявить российскую кампанию взлома сетей и воспрепятствовать ей. Возможно, Агентству национальной безопасности США (АНБ), которое отслеживает кибератаки против государственных учреждений и частных американских компаний, не удалось получить доступ к российским сетям и проследить за действиями российских спецслужб. Ещё больше тревожит возможность того, что правительство просто не сумело связать все факты в единое целое: АНБ и другие разведывательные ведомства, вероятно, собрали отдельные элементы ребуса, но не делились ими с другими государственными учреждениями или частными предприятиями, которые не смогли сопоставить их с данными правоохранительных структур или частного сектора. Поэтому и не удалось вовремя распознать хакерскую кампанию и принять меры до того, как был причинён ущерб.
К счастью, пробел вскоре будет восполнен. В Новый год Конгресс принял Закон о полномочиях в области национальной обороны. Тем самым была выполнена одна из главных рекомендаций Комиссии Solarium относительно назначения национального директора по кибербезопасности (НДК) в Белом Доме. У него должно быть достаточно сотрудников и полномочий для преодоления помех в координации усилий по реализации киберстратегии, с которыми страна сталкивалась в последние два десятилетия. (Остаётся посмотреть, выделит ли Конгресс достаточно средств для нового управления, которые позволили бы ему выполнить поставленную задачу).
Как только должность будет утверждена, НДК следует провести исчерпывающее расследование последнего провала, чтобы понять, как СВР смогла проникнуть в американские сети и шпионить за ними несколько месяцев, оставаясь незамеченной. НДК должен будет не только документировать возможные провалы американской политики и систем безопасности, но и предлагать решения, проверять и реализовывать их. Если расследование натолкнётся на препятствия (например, не желающие сотрудничать федеральные ведомства или частные компании), НДК должен будет документировать эти препоны и добиваться от Конгресса полномочий на их преодоление. Когда будут найдены компромиссы между неприкосновенностью частной жизни и безопасностью, НДК необходимо изложить перед законодателями свои озабоченности, чтобы они утвердили достигнутый компромисс.
По всей вероятности, НДК обнаружит, что системы потерпели неудачу на всех уровнях. Некоторые инструменты кибербезопасности окажутся неспособны выявить признаки злонамеренных действий. Другим удастся обнаружить подобные действия, но работающие с ними ведомства или компании не поделятся находками с остальным сообществом, обеспечивающим кибербезопасность. Если НДК удастся это вскрыть в процессе расследований, ему следует предложить новые механизмы и стимулы для обмена информацией между всеми заинтересованными ведомствами, а также между государством и частным сектором.
Тщательно выверенная реакция
Будущей администрации избранного президента Джо Байдена необходимо не только повысить способность Соединённых Штатов обнаружить и пресекать хакерские кампании, но и реагировать на вмешательство России во внутренние дела США таким образом, чтобы сдерживать агрессию в киберпространстве в будущем. Какой должна быть эта реакция и как её преподнести, будет зависеть от мотива хакерской кампании, проводимой Россией. Американские аналитики по-прежнему над этим работают.
Однако если целью России был шпионаж, оправдать такие карательные действия будет труднее. В этом случае Москва не нарушает нормы сбора разведывательной информации – в конце концов, это то, чем занимаются разведки всех стран. Когда шпионов ловят с поличным, страны, за секретами которых они охотятся, заявляют вялые протесты, но дают понять по другим каналам, что не намерены прибегать к эскалации. Как сказал генерал Майкл Хейден, руководивший ЦРУ и АНБ при администрации президента Джорджа Буша – младшего после того, как Китай взломал файлы Управления кадров США, «позор не им, а нам».
Возможно, будущая администрация пожелает рассмотреть принятие новых норм, согласно которым такой широкомасштабный сбор разведданных будет признан неприемлемым. Такие нормы могут улучшить положение Соединённых Штатов по отношению к их недругам, поскольку США смогут добывать нужную им информацию посредством ограниченных, целенаправленных операций или пойти на риск организации широкомасштабной кампании в надежде не быть пойманными с поличным. Шпионские действия отчасти считаются приемлемыми из-за предположительно стабилизирующего влияния шпионажа: засекреченная информация часто свидетельствует о том, что намерения недругов не столь зловещи, какими до этого казались. Однако эта норма сбора разведданных появилась до возникновения киберпространства, и она не учитывает того, что хакеров нередко ловят публично или при обстоятельствах, когда правительства не могут молчать (если это делается третьими сторонами). В демократиях такого рода публичный скандал оказывает дополнительное давление на избранных лидеров, побуждая их отреагировать на кибершпионаж эскалацией.
Такая реакция телеграфирует русским, какие аспекты её хакерской кампании можно считать более или менее приемлемыми, а какие США считают недопустимыми и выходящими за рамки дозволенного.
Но какие бы сигналы новая администрация Байдена ни посылала, и какие бы действия ни предпринимала, ей будет трудно защитить федеральные ведомства и частные предприятия от будущих хакерских кампаний, если она не реализует киберстратегию, впервые сформулированную более двух десятилетий назад. Только сильное государственно-частное партнёрство, содействующее обмену разведывательными данными, собираемыми в киберпространстве, а также скоординированный ответ на угрозы, сможет сохранить все системы Соединённых Штатов в безопасности.
