Хотя после женевского саммита между Москвой и Вашингтоном наметилась перспектива прогресса взаимодействия по киберповестке, России лучше исходить из посыла «надейся на лучшее – готовься к худшему». Похоже, Вашингтон готов и дальше в одностороннем порядке реагировать на любой киберинцидент по своему усмотрению, не прибегая к взаимным консультациям и создавая новые витки напряжённости.
16 июня 2021 г. произошло знаковое для международного календаря событие – состоялся российско-американский саммит в Женеве. Среди прочих важных итогов Владимир Путин и Джо Байден достигли договорённости начать двусторонние консультации по киберповестке, которая является одним из наиболее отягчающих обстоятельств двустороннего взаимодействия. Выльется ли это неформальное соглашение во что-то большее и повлияет ли оно на динамику российско-американского взаимодействия в области кибербезопасности?
Можно констатировать, что сам факт достижения подобной договорённости – уже прорыв после нескольких лет усугубляющейся конфронтации, односторонних реакций и обвинений во вмешательстве, а также нежелания обсуждать проблему и садиться за стол переговоров – с американской стороны – и безуспешных попыток начать двусторонний диалог по проблемам обеспечения кибербезопасности – с российской стороны.
Киберповестка: что было?
Взаимодействие России и Соединённых Штатов по киберповестке насчитывает уже два десятилетия, однако пиком стало заключение во время двусторонней встречи Владимира Путина и Барака Обамы в 2013 г. на саммите G8 в Северной Ирландии соглашений «О мерах укрепления доверия в сфере использования ИКТ», основная цель которых – ограничение военной реакции на киберинциденты. В ходе переговоров решено создать две линии прямой связи для урегулирования потенциально конфликтных ситуаций, связанных с взаимодействием в киберпространстве – своего рода горячие линии: 1) между российским и американским Центрами по уменьшению ядерной опасности; 2) между должностными лицами высокого уровня. Также в рамках российско-американской Президентской комиссии решено создать двустороннюю рабочую группу по вопросам угроз в сфере использования ИКТ, которая должна была встречаться на регулярной основе. Достигнутые тогда результаты были перечёркнуты политическим кризисом на Украине, а после окончательно добиты взломами серверов Национального комитета Демократической партии США во время предвыборной кампании 2016 г. и возложением ответственности за них на Россию.
После этого на Москву посыпались систематические обвинения в осуществлении кибератак на США. Один из последних крупных киберинцидентов, ответственность за который вновь возложили на Россию, произошёл в середине декабря 2020 г. и получил название Sunbirst, в рамках которого хакеры при поддержке иностранного правительства вскрыли системы государственных ведомств США – Министерства финансов, Национального управления по телекоммуникациям и информации Министерства торговли, Министерства внутренней безопасности, Министерства энергетики, Национального управления ядерной безопасности США, лаборатории в Лос-Аламосе, которая занимается секретными разработками по ядерному оружию, Госдепартамента, федерального правительства и даже Пентагона. Взлому также подверглись большинство крупнейших частных компаний из списка Fortune 500, в том числе Microsoft. 15 апреля 2021 г. США официально приписали осуществление этой масштабной киберкампании России и ввели против неё новые санкции.
Важно отметить, что ещё 25 сентября 2020 г. Владимир Путин обратился к американской стороне с инициативой принять «Комплексную программу мер по восстановлению российско-американского сотрудничества в области международной информационной безопасности», однако она была полностью проигнорирована администрацией Дональда Трампа и пока ещё ждёт ответа от администрации Джо Байдена. Программа представляет собой углублённый формат того, о чём договорились Путин и Байден во время женевского саммита – начать консультации.
За что зацепиться?
Итак, то, что стороны договорились хотя бы начать консультации по вопросам кибербезопасности – уже некий успех. Именно на этом долгие годы настаивала Россия – не голословно обвинять в кибератаках и осуществлять меры в одностороннем порядке, а открыто высказывать свои опасения и обсуждать инциденты за столом переговоров, находя общие пути решения проблем.
Сейчас важно зацепиться за эту возможность и попытаться наладить диалог с Соединёнными Штатами по киберповестке. Одним из самых реалистичных вариантов может стать переход к «точечным» форматам взаимодействия – хотя бы периодическим консультациям по необходимости. Если всё пойдет хорошо, в будущем можно вновь вынести на обсуждение предложенную Путиным минувшей осенью «Комплексную программу мер по восстановлению российско-американского сотрудничества в области международной информационной безопасности».
Важно, что кибербезопасность обсуждалась в рамках общих разговоров о будущем системы стратегической стабильности, поэтому есть шанс, что она будет рассматриваться в качестве одного из важнейших компонентов этой системы.
Отдельной темой саммита стал запрет кибератак в отношении объектов критической инфраструктуры (КИ), что, на наш взгляд, является важным шагом президента Джо Байдена. Со своей стороны Джо Байден предоставил Владимиру Путину список из 16 секторов критической инфраструктуры, на которые необходимо полностью запретить кибератаки. Важно отметить, что этот список был утверждён ещё в 2013 г. директивой президента США № 21: «Безопасность и устойчивость критической инфраструктуры» (Presidential Policy Directive 21: Critical Infrastructure Security and Resilience, или PPD-21).
У России также есть подобный список из 13 секторов КИ, утверждённый в Федеральном законе № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 г. Предлагаем взглянуть на эти списки в сводной таблице.
Как видно из таблицы, практически полностью идентичными из списков секторов КИ у обоих стран являются девять секторов в российском списке и восемь в американском (в российском отдельной позицией выделен топливно-энергетический комплекс, который в американском перечне полностью входит в энергетический сектор – в таблице окрашено синим).
В России горнодобывающая промышленность и металлургическая промышленность выделены в качестве отдельных секторов КИ, в то время как в США добыча, обработка и обогащение входят в сектор критически важного производства, но который не ограничивается этими видами деятельности, а включает в себя непосредственно производство – машиностроение, строительство обрабатывающего оборудования, судов, транспорта, сельхоз машин, производство аэрокосмического оборудования, электрооборудования и бытовой техники и так далее (выделено зелёным). В российском же списке производственный сектор не представлен вовсе.
Российский сектор КИ «Наука», помимо прочего, охватывает и информационные технологии – отдельный сектор в американском перечне, но не ограничивается ими. Вместе с тем сектор государственных учреждений из американского списка включает в себя как научные организации и учебные заведения, так и другие государственные объекты (выделено жёлтым цветом). В России государственные учреждения, согласно Федеральному закону № 187-ФЗ, не являются объектами КИ.
Чем списки различаются полностью. В США в числе критических секторов отсутствует такой сектор, как ракетно-космическая промышленность, а в России – пищевая промышленность и сельское хозяйство, системы водоснабжения и канализации, аварийные службы, сектор коммерческих объектов, плотины.
Если страны примут политическое решение на двусторонней основе запретить кибератаки на объекты КИ, станет ли тот факт, что, по мнению одной стороны, какой-либо сектор относится к КИ, а по мнению другой – нет, препятствием для возможных договорённостей? Будет ли это единый согласованный и общепризнанный список секторов? Или Россия обязуется не осуществлять и противодействовать кибератакам из списка США, а последние, соответственно, из российского списка, что создаёт странную дилемму – Россия обязуется не осуществлять кибератаки в отношении американских систем водоснабжения, но вполне допускает воздействие в отношении своих систем (и наоборот)? Или Россия должна будет в одностороннем порядке согласится с предложением Джо Байдена не осуществлять кибератаки против американских объектов КИ, что будет являться игрой в одни ворота?
Конечно же, наиболее оптимальный вариант – выработать единый общепризнанный перечень секторов КИ, на которые Россия и США на взаимной основе обязуются не осуществлять кибератаки (если страны всё же придут к этому). «Оптимизировать» можно как американский перечень секторов КИ, так и российский. Так, американский сектор коммерческих объектов включает в себя в основном торгово-развлекательные объекты – торговые центры, гостиницы, парки развлечений, стадионы, казино, а также СМИ, кино- и телестудии, конференц-центры, которые, на наш взгляд, вряд ли на полном основании могут относится к объектами КИ. В то же время отсутствует такой важнейший сектор, как ракетно-космическая промышленность. Также не все госучреждения относятся к объектам КИ. Таким образом, американский список максимально широк – с таким же успехом можно запретить кибератаки на всё, и тогда договорённости превратятся в пустые слова.
С российской стороны можно внести следующие изменения – включить топливно-энергетический комплекс в сектор энергетики, горнодобывающую и металлургическую промышленность объединить в один сектор. Также стоит внести в перечень непосредственно производство, системы водоснабжения и канализации и так далее.
Так или иначе наложение табу на кибератаки в отношении объектов КИ представляется важной и своевременной мерой, эффективной с точки зрения ограничения круга возможных целей, а это снизит вероятность разработки каких-либо планов по выведению из строя тех или иных объектов из перечня КИ.
Более того, это важно с точки зрения небольшого шага к укреплению мер доверия по киберповестке между Россией и США. Будет настоящим прорывом, если Москва и Вашингтон установят общепризнанный единый перечень секторов КИ, на который запрещены кибератаки – это станет прецедентом на мировой арене и заложит фундамент для достижения подобных договорённостей на многостороннем уровне, возможно, даже на уровне ООН. Показательно, что на этот шаг пошёл сам Байден, который, ещё раз напомним, пока оставил без ответа российские предложения по комплексной программе мер. Всё будет зависеть от политической воли и решимости сторон.
Что может пойти не так?
Радоваться пока рано – после периода острейшего недоверия для Москвы и Вашингтона забрезжил шанс вступить в хрупкое взаимодействие, но оно остаётся заложником острых политических разногласий. Так, Джо Байден всё ещё готов вводить новые санкции против российских компаний, связанных со строительством «Северного потока – 2».
Но самая горькая ложка дёгтя в этой бочке мёда другая: во время саммита Джо Байден заявил, что если кибератаки «со стороны России» продолжатся, то ей придётся нести за них ответственность, а у США есть существенный киберпотенциал, который может быть задействован. Уже после этого, 21 июня во время брифинга, отвечая на вопрос о том, почему Джо Байден в свою очередь не предоставил Владимиру Путину список российских целей, которые могут подвергнуться взломам со стороны Соединённых Штатов в случае, если Россия ещё раз осуществит кибератаку, официальный представитель Белого дома Джен Псаки заявила, что США не собираются предварительно обозначать возможные удары. Это значит, что в случае очередных подозрений США оставляют за собой право предпринимать меры, не ставя Россию в известность.
К чему, собственно говоря, мы тогда договорились начать консультации по кибербезопасности? Эти консультации должны быть направлены как раз на предотвращение инцидентов и недопущение эскалации в киберсфере, чтобы в случае возникновения кризисной ситуации совместно обсуждать и разрешать вопросы.
И нельзя дать никакой гарантии, что новые формальные или неформальные договорённости, если они будут достигнуты, так же не рухнут под тяжестью очередных киберпровокаций, обвинений или ухудшения отношений из-за нового политического кризиса, не связанного с киберповесткой (как это было в случае с Украиной).
Наивно полагать, что США легко преодолеют «родовую травму», связанную с отстранением от власти демократов в 2016 г. и приходом в Белый дом республиканцев вследствие приписываемого России вмешательства в американский демократический процесс. Нельзя исключать того, в будущем Соединённые Штаты будут пытаться привлечь Россию к ответу за вновь приписываемые ей атаки, отказ выдать киберпреступников и противодействовать им на своей территории и так далее.
Поэтому самым реалистичным вариантом, пожалуй, будет отход от каких-либо формальных и официальных договорённостей и приход к точечным форматам работы и консультациям, как уже было сказано, по необходимости.
Пока есть надежда перейти от неконтролируемой конкуренции в киберпространстве к контролируемой, которая может носить характер сохраняющейся стратегической киберконкуренции с воссозданием и усилением определённых консультативных механизмов. В этом свете важно понимать, что задачей лидеров двух стран во время саммита изначально не было полное восстановление отношений в сфере кибербезопасности – в текущей стратегической ситуации это просто невозможно. Была задача попытаться сделать эти заведомо плохие отношения более предсказуемыми и последовательными. Работы гораздо больше, чем кажется на первый взгляд. Хотя между Москвой и Вашингтоном наметилась перспектива прогресса взаимодействия по киберповестке, России лучше исходить из посыла «надейся на лучшее – готовься к худшему».
