Глава 6

Как наступать?

В фильме 1983 года о компьютерах и войне «Военные игры» с Мэтью Бродериком в главной роли компьютерный голос задает вопрос: «Желаете поиграть в термоядерную войну?» Почему бы и нам не поиграть? Попробуем провести кибервоенные учения, чтобы разъяснить некоторые моменты. Министерство обороны ежегодно проводит подобные мероприятия, которые получили название «Кибершторм». Аналогичные учения ЦРУ, «Безмолвный горизонт», проходят регулярно с 2007 года. В целях исследования я обращусь к вам с той же просьбой, что и к своим студентам из Школы государственного управления Кеннеди Гарвардского университета и чиновникам госбезопасности, которые собираются за одним столом в оперативном штабе Белого дома: «Придерживайтесь сценария». То есть не тратьте время на рассуждения о том, что однажды в силу неких обстоятельств США окажутся на грани конфликта с Россией или Китаем. Когда американские кибервоины говорят о big one, они подразумевают конфликт в киберпространстве с Россией или Китаем — странами, которые наряду с Соединенными Штатами обладают самым мощным наступательным потенциалом. Никто не хочет войны с такими противниками. Но, рассматривая данный вариант развития событий, чтобы разобраться, какой может быть кибервойна, мы делаем ее более вероятной. По существу, соглашаясь с рисками кибервойны, мы имеем шансы снизить вероятность ее начала. А если вопреки нашим надеждам кибервойны не удастся избежать, лучше заранее обдумать, как она может разворачиваться.

До 11 сентября я, безусловно, не хотел таких «перспектив», но немало поиграл в настольные войны — проработал ряд возможных сценариев, чтобы подготовить себя и чиновников к подобным событиям. Когда день X настал, мы уже знали, как реагировать на атаку и действовать. Мы не только прилагали невероятные усилия для предотвращения атак, но и продумывали, как действовать, если какая-нибудь из них все же начнется. Не поступи мы так, тот кошмарный день был бы еще страшнее. Так что давайте на время представим, что отношения между США и Китаем обострились. Назовем эти учения «Южно-Китайское море» и переместимся на несколько лет в будущее.

Почти ничего не изменилось, только в Китае возросла зависимость от Интернета. В свою очередь Соединенные Штаты не слишком много сделали для улучшения собственной киберобороны. В игре примут участие три команды — Киберкомандование США, Кибердивизия Народно-освободительной армии Китая и Наблюдатели, то есть все остальные. Наблюдатели, помимо прочего, решают, что может произойти в результате действий двух команд. Давайте для чистоты эксперимента предположим, что Китай надавил на Вьетнам и другие страны АСЕАН (Ассоциации государств Юго-Восточной Азии), чтобы те уступили свои права на обширные подводные газовые и нефтяные месторождения. (Китай на самом деле уже заявлял о своих правах на эти территории, простирающиеся на сотни километров на юг, вдоль побережья Вьетнама и Филиппин.) Условимся, что небольшие столкновения военно-морских сил этих стран уже происходили. Представим, что Вьетнам попросил США о военной поддержке (вот уж исторический анекдот), как сделали другие страны в регионе, претендующие на оспариваемые территории. В свою очередь президент Соединенных Штатов санкционировал совместные морские учения США и АСЕАН и отправил две группы авианосцев из 20 кораблей и 150 самолетов и несколько подводных лодок. Китай и США обменялись дипломатическими нотами и публичными заявлениями, и каждая страна заявила, что другой лучше воздержаться от вмешательства. Канал CNN начал передавать новости под заголовком «Кризис в Южно-Китайском море».

Наши гипотетические учения начинаются в Форт-Мид, где команда Киберкомандования США получает приказ продумать шаги, которые предпримет в случае обострения политической ситуации. Согласно приказу министра обороны необходимо:

1. Убедить китайское правительство отказаться от военных действий в оспариваемых водах.

2. Если переговоры не увенчаются успехом, максимально снизить опасность, исходящую от китайских военных, для американских и союзнических сил в регионе.

3. В случае, если напряжение усилится или противник внезапно начнет боевые действия, быть готовыми нанести удар по войскам Китая, чтобы уменьшить его возможности применения силы.

4. Подорвать внутреннюю инфраструктуру Китая так, чтобы переключить внимание китайского руководства на эту проблему и подвергнуть сомнению необходимость агрессивного поведения за пределами страны.

5. На протяжении всей операции Киберкомандование США должно сотрудничать с соответствующими правительственными ведомствами, чтобы предотвратить кибератаку китайского правительства или граждан на важнейшие военные и гражданские инфраструктуры США.

В такой ситуации перед командой, выступающей в роли Киберкомандования, возникает дилемма. Они не хотят демонстрировать все доступные им приемы кибератаки. Как только тот или иной прием используется, специалисты по киберобороне могут найти решение, позволяющее заблокировать такую атаку в будущем. Хотя защитники и не в состоянии подготовить все системы, которые могут подвергнуться атаке, они подлатают важнейшие, и нападение лишится немалой части своего потенциала.

Поэтому Киберкомандование предпочтет воздержаться от самых интеллектуальных методов. Пока они ждут, китайцы могут предпринять меры, которые существенно осложнят Соединенным Штатам проведение кибератак.

По мере усиления напряженности Китай сократит поток информационных пакетов в страну, а прошедшие будет сканировать и фильтровать на предмет обнаружения возможных угроз со стороны США. Затем, возможно, вообще оборвет связь с внешним миром. Если США к тому времени не запустят кибератаку, пробиваться через великий китайский брандмауэр Great Firewall будет гораздо сложнее.

Киберкомандование должно заранее создать туннели в киберпространстве Китая, например, спрятав спутниковые телефоны на территории страны, чтобы через них начать атаку на китайский Интернет. Или же совместно с ЦРУ распределить по всему Китаю агентов с ноутбуками, на которых установлено атакующее программное обеспечение.

Если США будут тянуть с использованием своего лучшего оружия, Китай может осложнить задачу, нарушив работу или разрушив наше киберпространство и интернет-магистраль. Переустановка серверов высшего эшелона в системе имен домена, занимающихся предоставлением интернет-адресов веб-сайтам или таблицами маршрутизации (протоколами пограничных шлюзов) провайдеров первого яруса, разрушит киберпространство на долгие дни. В результате поток информации будет попадать по неправильным интернет-адресам. Как я уже отмечал в третьей главе, мало что может помешать такому развитию событий, поскольку программы, управляющие работой Интернета, не проверяют, подлинна ли та или иная команда. Если китайцы смогут заслать своих агентов в «ящики», где расположены соединения интернет-провайдеров первого яруса, так называемые пиринговые точки, или на любые другие участки крупнейших сетей, они смогут отдавать команды непосредственно маршрутизаторам, которые коммутируют и направляют интернет-трафик. Даже несмотря на то что у Министерства обороны и разведывательных органов США есть собственные каналы, отделенные от общедоступного Интернета, их трафик, скорее всего, идет по тем же оптоволоконным магистралям. Просто их кабель покрашен в другой «цвет» либо идет по отдельному стекловолокну, но находящемуся в той же магистрали. Очень вероятно, что есть много участков, где трафик Министерства обороны и разведки проходит через те же самые маршрутизаторы, что и трафик общедоступного Интернета. Китай должен быть хорошо знаком с этими маршрутизаторами. Большая их часть произведена фирмой Cisco на территории Китая. Так что у Китая есть все возможности отключиться от Интернета и лишить Соединенные Штаты шанса нанести киберудар. Это означает, что на ранних этапах кризиса у Киберкомандования есть повод провести военные действия в киберпространстве за пределами США. Разумеется, это расширит масштабы кибервойны.

Чтобы начать операцию, группа Киберкомандования решит послать сигнал о своем участии, в надежде удержать Китай от дальнейших военных операций. Причастность Киберкомандования к последующим действиям будет отрицаться публично, но китайские власти должны понимать, что это вовсе не случайность. Сигнал, демонстрирующий, что США способны на технически сложные операции, должен быть достаточно явным для китайского руководства, но не настолько разрушительным, чтобы привести к полномасштабной кибервойне. Итак, взломав закрытую китайскую военную сеть, Киберкомандование рассылает старшим офицерам обработанную в фотошопе фотографию горящего китайского авианосца. Это не слишком прозрачный намек на то, что гордость китайского флота, его единственный авианосец, ВМС США могут отправить на дно, поэтому китайцам стоит подумать и не развязывать конфликт, который может привести к таким последствиям.

Затем американская разведка узнает, что китайцы готовы высадить десант на оспариваемые острова в Южно-Китайском море. Пентагон просит Киберкомандование выиграть время и отсрочить операцию, помешав погрузке войск и провианта на корабли, которые все еще находятся в порту. Штаб-квартира южнокитайского флота находится в Чжаньцзян на полуострове Лэйчжоу, а военно-воздушные силы, при поддержке которых проводятся операции на море, базируются на острове Хайнань в Тонкинском заливе. Штаб-квартира флота и морская авиабаза не имеют собственной электросети, они подключены к общей системе электроснабжения. У них нет собственных электрогенераторов, только аварийные резервные установки.

С помощью спецподразделения, 10-го флота, Киберкомандование использует заранее установленные «черные ходы» в электрораспределительной сети Китая и получает доступ к системе управления местной электросетью. Посылает сигналы, вызывающие скачки напряжения, вследствие чего срабатывают предохранители и генераторы останавливаются. Впрочем, американцы не провоцируют разрушение генераторов и трансформаторов.

Команда, играющая роль Китая, понимает, что блэк-аут был не случаен, и прослеживает следы атаки. Следы ведут в Эстонию и далее теряются. Никто в Пекине не подумает, что их атаковали эстонские хакеры. «Сигнал» привлекает внимание китайской команды. Им сообщают, что блэкаут на полуострове Лэйчжоу вызвал отключение электричества во всей провинции Гуандун (бывшем Кантоне), вследствие чего более ста миллионов граждан почти на сутки остались без света. Блэкаут затронет и Гонконг. Политбюро считает, что это лишь начало, и просит Киберподразделение Народно-освободительной армии предложить ответные действия. Киберподразделение рекомендует отреагировать соизмеримо и задеть города, в которых базируется американский флот, но послать сигнал о том, что Китай способен на большее. Политбюро одобряет все шесть шагов, предложенных кибервоинами:

1. Обеспечить подкрепление Южному флоту и отправить больше самолетов на Хайнань и аэродромы Южного побережья.

2. Отдать приказ китайской эскадре подводных лодок из Юйлинь, остров Хайнань, выйти в море.

3. Активировать логические бомбы, размещенные в электросетях Гонолулу, Сан-Диего и Бремертона (штат Вашингтон) — городах, где дислоцированы базы Тихоокеанского флота США. (Блэкаут распространится на Тихуану (Мексика) и Ванкувер (Британская Колумбия), хоть китайцы об этом и не знают.)

4. Разрушить открытую сеть Министерства обороны, запустив «червя», который заразит одну машину за другой и сотрет информацию с жестких дисков (атака будет запущена из внутренней сети Министерства обороны).

5. Атаковать эстонского интернет-провайдера, откуда предположительно была произведена атака на китайскую электросеть.

6. Вызвать блэкаут в японском городе Йокосука и на окружающей территории, где находится штаб-квартира 7-го флота США.

К началу следующего этапа учений напряжение нарастает, и Киберкомандование узнает, что Китай собирается отключиться от мирового киберпространства. Поэтому команда из Форт-Мид просит Пентагон разрешить запуск еще двух волн кибератаки и приготовиться к запуску третьей. Две атаки предлагается направить на сеть ПВО Китая и систему управления военного командования. Планируется использовать сверхсекретные программы атаки и логические бомбы, заранее размещенные в этих сетях. В перспективе можно атаковать железнодорожную сеть Китая, авиадиспетчерскую службу, банковскую систему и электросети (генераторы и трансформаторы).

Странно, но Киберкомандование получает из Белого дома и Пентагона приказ воздержаться от нападений на военное командование, системы управления и средства обороны, в частности ПВО. Киберкомандованию отдают приказ избегать атак на систему управления воздушным движением и банковский сектор.

Пока Киберкомандование формулирует дальнейшие предложения, из Security Industries Automation Corporation и Deposit Trust в Нью-Йорке сообщают о том, что их базы данных серьезно повреждены и даже разрушены. Также пострадали базы данных железных дорог CSX, Union Pacific и Burlington Northern Santa Fe и авиакомпаний United, Delta и American Airlines. Нью-Йоркская фондовая биржа закрыта, остановлены товарные поезда, самолеты не могут взлететь в аэропортах по всей стране. Управление информационного обеспечения, которое управляет внутренней сетью Министерства обороны, объявляет чрезвычайное положение, поскольку в секретную сеть SIPRNET и в сверхсекретную JWICS проникли «черви», распространяющиеся с невероятной скоростью и разрушающие жесткие диски. Все эти атаки пришли не из-за границы, поэтому американская разведка и Киберкомандование не обнаружили их на входе и не могли остановить. Очевидно, были использованы новые, неизвестные приемы, поэтому Киберкомандование не сумело заблокировать их, используя опыт прошлых нападений.

Выбор у Киберкомандования США невелик — нельзя атаковать китайскую систему ПВО, банки, систему управления вооруженных сил и авиадиспетчерскую службу. Более того, поскольку американское Киберкомандование должно защищать сети Министерства обороны, некоторым сотрудникам приходится переключиться на борьбу с появившимися там «червями». Учитывая масштабы действий китайской команды, американцы решают устроить блэкаут по всему Китаю и в том числе вывести из строя несколько крупных генераторов. В то же самое время они попытаются вызвать как можно больше аварий товарных поездов и устроить беспорядок в базах данных железнодорожной системы. Чтобы найти замену военным целям, которые вычеркнуло высшее командование, американская команда решает атаковать китайские военные и гражданские спутники связи.

Доклад руководящей группы о последствиях второго раунда атаки сложно назвать хорошей новостью для американцев. Китай отсоединил свои сети от глобального Интернета, тем самым ограничив возможности американского нападения. Более того, когда Соединенные Штаты впервые атаковали электросеть, Пекин приказал всем остальным ее секторам перейти в положение обороны, то есть отключиться от Интернета. Электрические сети Китая разделились на «островки», чтобы предотвратить каскадные отключения электричества. Лишь несколько генераторов, выбранные американцами в качестве мишеней, были выведены из строя, что привело к локальным отключениям электричества. Все остальное было переведено в режим обороны — железные дороги стали управляться вручную и по радиоканалам. Попытка нарушить работу системы товарных поездов не удалась.

США взломали китайский спутник связи, заставив его поворотный двигатель работать, пока не израсходовалось все топливо, и направив в сторону Юпитера. Однако в течение часа китайский флот привел в действие запасную, засекреченную телетайп-систему. Но атака американцев на сеть снабжения китайского флота оказалась успешной, что наряду с региональным отключением электроэнергии замедлило погрузку китайских военных подразделений на корабли.

Руководящая группа также сообщила, что китайская подводная лодка всплыла на поверхность точно между двумя американскими авианосцами. Она проникла за границу обороны, подобно тому, как произошло в 2009 году, когда подлодка класса Song оказалась рядом с американским авианосцем Kitty Hawk. Поднявшись на поверхность, подлодка выдала свое расположение, но послала США сигнал, что дислокация американских авианосцев китайцам точно известна. Если бы началась активная фаза войны, это позволило бы Китаю направить на данный участок множество крылатых ракет наземного и воздушного базирования.

Киберкомандование США проинформировали, что Белый дом приказал двум группам американских авианосцев взять курс на Австралию. Госдепартамент готов начать переговоры на высшем уровне по поводу территориальных претензий Китая. Киберкомандованию приказано прекратить наступательную операцию.

После каждых кабинетных учений в правительстве проводится собрание наблюдателей и игроков под названием «горячий душ». Пора записать полученные уроки и наметить области дальнейшего исследования. Итак. Что мы узнали из учений «Южно-Китайское море»? Наметилось десять важнейших проблем: концепция сдерживания; ненападение; предвоенная подготовка поля битвы; глобальное распространение регионального конфликта; сопутствующий ущерб; контроль эскалации; случайная война; атрибуция; кризис неустойчивости; асимметрия обороны. Давайте последовательно проанализируем каждую из них.

1. Сдерживание

Очевидно, в этом случае сдерживание не состоялось. Какой урон Китай может нанести Соединенным Штатам? В реальном мире США, пожалуй, воздержались бы от развязывания полномасштабной кибервойны с Китаем из боязни несимметричных последствий, к которым бы привели ответные меры. И все же сдерживание — это самая неразвитая теоретическая область в современной концепции кибервойн. Теория сдерживания служила основой ядерных стратегий США, Советского Союза и НАТО в эпоху холодной войны. Страх последствий использования ядерного оружия (и опасение того, что любое его использование станет глобальным) удерживал ядерные державы от применения абсолютного оружия друг против друга. Он также удерживал государства, как ядерные, так и нет, от любых действий, которые могли бы спровоцировать ответный ядерный удар. Стратеги разрабатывали сложные теории ядерного сдерживания. В 1960-х годах Герман Кан выделил три разных типа ядерного сдерживания. Теоретические исследования Германа Кана изучались гражданскими и военными лидерами Соединенных Штатов и Советского Союза. Его сухие размышления о вероятных масштабах разрушений, изложенные в книгах «О термоядерной войне» (1960) и «Думать о немыслимом» (1962), несомненно, помогли предотвратить ядерную войну.

Из всех ядерных концепций теория сдерживания, пожалуй, наименее применима к кибервойне. На самом деле сдерживание в киберпространстве имеет совершенно иное значение, чем в работах Кана и стратегов тех годов. Ядерное устрашение основывалось на представлении о последствиях применения ядерного оружия. Мир в 1945 году увидел два ядерных взрыва в Хиросиме и Нагасаки. Позднее проводились многочисленные надземные испытания: Соединенными Штатами и Советским Союзом в 1940–1950-х, Великобританией в 1952-м, Францией в 1960-м и Китаем в 1968-м. В общей сложности пять первых ядерных держав взорвали около 2300 ядерных снарядов над и под землей.

Никто не знает, что бы случилось, если бы Соединенные Штаты или Советский Союз запустили несколько сотен баллистических ракет с ядерными боеголовками, но изначально американские военные планировали запустить более 90 % своих ракет и задействовать все имевшееся вооружение. Чтобы удостовериться, что возможная массовая атака окажется успешной, американские военные планировали наносить ядерные удары трех разных видов (бомбардировка с воздуха, запуск ракет наземного базирования, запуск ракет морского базирования). Обе сверхдержавы развернули свои силы так, чтобы после неожиданной массированной атаки со стороны противника большая часть ядерного оружия не пострадала. Ответный удар был неизбежен. То есть существовала почти полная уверенность в том, что если одна сторона применит ядерное оружие, то от него же в той или иной степени пострадает. Последствия массированного обмена ядерными ударами были предметов дебатов, но мало кто сомневался в том, что обе стороны нанесут друг другу ущерб, не имеющий равного во всей человеческой истории. Многие полагали, что после атомной войны настанет ядерная зима и человечество вымрет. Почти все эксперты были уверены в том, что массированный обмен ядерными ударами приведет к быстрой смерти миллионов (Кан сухо отмечал: «Никто не хочет стать первым убийцей сотен миллионов человек»).

Все опасались, что любое применение ядерного оружия может привести к войне непрогнозируемого масштаба. Это опасение вот уже более 60 лет сдерживает Соединенные Штаты и Советский Союз от использования ядерного потенциала. Проведенные ядерные испытания создали эффект демонстрации. Некоторые теоретики полагали, что в случае масштабного кризиса (войны с применением обычных видов вооружения в Европе) Соединенные Штаты могут взорвать ядерную бомбу в целях демонстрации, предупреждая: если война не прекратится, Североатлантический союз готов перейти к использованию ядерного оружия. В НАТО планировали «сигнализировать о намерениях НАТО» такими предупредительными выстрелами. Как показывают все имеющиеся на сегодняшний день примеры кибервойн, в данном случае эффект демонстрации не работает. Как уже обсуждалось, большинство киберинцидентов представляли собой либо простые DDoS-атаки, либо тайное проникновение в сеть с целью кражи информации или размещения лазеек и логических бомб. На последствия DDoS-атак мало кто обращал внимание, помимо ее непосредственных жертв. Что же касается взломов, о них зачастую не догадываются даже жертвы.

Итак, в какой степени кибервоины уверены, что их оружие сработает, каких последствий они ожидают от его применения? Они знают, что им неоднократно удавалось проникнуть в сети других государств. Возможно, они испробовали все, за исключением нескольких финальных нажатий кнопок, которые сделали бы в настоящей кибервойне. Они наверняка проводили разрушительные операции на моделях вражеских сетей. Такие испытания проводились на генераторе в штате Айдахо в рамках программы «Аврора». В результате экспериментаторы убедились, что с помощью кибероружия можно вызвать физическое разрушение большого электрогенератора.

Однако кибервоины не знают, какие сюрпризы может им преподнести защита страны, которую они атакуют. Что будет, если Китай отсоединит свою сеть от остального киберпространства? Есть ли у США план действий при таких обстоятельствах? Если русские разместили «черные ходы» и логические бомбы в американских сетях, как им узнать, что американцы их не обнаружили и не запланировали их устранение в случае напряжения отношений? Когда кибервоин соберется проникнуть в сеть с помощью заранее установленных «черных ходов», маршрут доступа могут заблокировать, а на его пути неожиданно встанет эффективная система предотвращения вторжений. В отличие от систем ПРО системы предотвращения вторжений в важнейшие сети могут держаться в тайне до момента их активации. Если задача кибервоина — отключить вражескую систему ПВО накануне вторжения бомбардировщиков, военно-воздушные силы атакующей страны может постигнуть глубокое разочарование. Радиолокационные станции и ракеты, которые считались бездействующими, могут внезапно активироваться и уничтожить штурмовую авиацию. Последствия ядерного взрыва знали наверняка. Если его целью была военная база, она выводилась из строя на долгие годы, если не навсегда. Когда я в 1970-х годах был аспирантом Массачусетского технологического института, мне почти сразу вручили специальный диск — калькулятор ядерного воздействия. Сделав поворот одного диска на один круг, мы устанавливали мощность ядерного взрыва, скажем, 200 килотонн. Покрутив другой — выбирали, где будет производиться взрыв (на земле или в воздухе). Затем указывали максимальное расстояние до цели, и этот маленький калькулятор определял, будет ли мощность взрыва достаточной, чтобы сравнять с землей ракетную стартовую шахту врага и превратить ее в облако радиоактивной пыли. Кибервоин может быть уверен в том, что если он нанесет удар серьезным кибероружием по какой-то системе, эта система, скажем железнодорожная, скорее всего, выйдет из строя. Но ему не известно, существуют ли у данной системы надежный план противодействия сбоям и резервная сеть управления, ведь противник держит ее в секрете и не использует. Нападению препятствует система предотвращения вторжений, а система поддержки непрерывности позволяет быстро восстановить объект после кибератаки.

В силу невозможности узнать оборонительный потенциал противника концепция сдерживания в теории кибервойны существенно отличается от концепции сдерживания в ядерной стратегии. В ядерной стратегии было предельно ясно — в большинстве случаев нападение предпочтительнее, то есть любую оборону легко разбивает своевременная внезапная атака. Гораздо дешевле направить свои ракеты на оборонные объекты противника, чем разрабатывать хоть сколько-нибудь эффективные средства ПРО. Какой бы совершенной ни была оборона, нападение давало сто очков форы. Кроме того, никто ни на секунду не мог представить, что Советский Союз или Соединенные Штаты тайно сумеют разработать и развернуть эффективную систему ПВО. Рональд Рейган надеялся, что США, потратив миллиарды долларов на исследования, сумеют изменить это соотношение и средства противоракетной обороны станут реальной силой. Спустя десятилетия мы этого так и не добились, и сегодня Соединенные Штаты надеются, что им удастся предотвратить небольшую ракетную атаку или нападение примитивных ракет второстепенных государств. Но даже это остается под сомнением.

В теории стратегической ядерной войны разрушительная мощь нападения была хорошо известна, и никакие средства обороны не могли воспрепятствовать ей, поэтому нападения боялись. Это сдерживало страны от применения ядерного оружия и совершения других провокационных действий, способных вызвать ответный ядерный удар. В случае кибервойны потенциал нападения в значительной мере секретен, но в случае кризиса может быть использована и эффективная оборона, так что едва ли какая-либо страна готова отказаться от применения кибероружия.

Предположим, что Соединенные Штаты (или какая-либо другая страна) обладают таким мощным наступательным кибероружием, что могут преодолеть любую защиту и нанести серьезный урон вооруженным силам и экономике противника. Если бы США объявили о таких возможностях, не раскрывая деталей, многие оппоненты сочли бы, что мы блефуем. Когда не известны подробности, когда никто не видел американское кибероружие в действии, мало кто испугается до такой степени, чтобы воздерживаться от действий. Теоретически США могут продемонстрировать свой киберпотенциал, наказав каких-нибудь злодеев. (В 1989 году США направили истребители-бомбардировщики F-117 в Панаму не потому, что боялись панамской противовоздушной обороны, а потому, что Пентагон жаждал похвастаться своим новым оружием и устрашить остальных. Вторжение получило кодовое название «Просто потому», и многие в Пентагоне саркастически замечали, что мы послали туда F-117 «просто потому, что можем».) Что же касается идеи использования кибероружия в ходе очередного кризиса, проблема в том, что многие сложнейшие приемы кибератаки разрабатываются только для одноразового применения. Когда кибероружие используется, потенциальные оппоненты обнаруживают его и прилагают все усилия для разработки защиты.

Если США не в силах устрашить других секретным кибероружием, боимся ли мы сами киберугрозы со стороны других стран? Иначе говоря, удерживаем ли мы себя сегодня от обычных военных операций, помня о собственной уязвимости в киберпространстве? Если бы кризис в Южно-Китайском море начался, как в описанных выше учениях, сомневаюсь, чтобы кто-нибудь на собрании оперативного штаба сказал президенту: «Лучше не посылайте авианосцы в Китай. Если вы это сделаете, господин президент, Пекин запустит кибератаку, которая разрушит нашу фондовую биржу, заставит приземлиться наши самолеты, остановит поезда, погрузит наши города во тьму. Мы никак не сможем остановить их, сэр».

Кто-то должен это сказать, поскольку, конечно, так оно и есть. Но скажут ли? Маловероятно. Самый высокопоставленный американский офицер только два года назад узнал о том, что его сеть может быть разрушена в результате кибератаки. Белый дом под управлением президента Обамы целый год не назначает кибербосса. Американские военные считают технологии чем-то вроде козыря в рукаве, который позволяет самолетам, кораблям и танкам работать лучше всех в мире. Им сложно представить, что другие страны могут эффективно использовать технологии против нас, особенно когда эти технологии — строки компьютерного кода, а не самолеты-невидимки.

Итак, мы не способны удержать другие страны от применения кибероружия. На самом деле другие страны не сдерживают себя и регулярно взламывают наши сети. Не способны мы и удержать их от действий, которые могут спровоцировать масштабную кибератаку. Сдерживание — это всего лишь потенциал, то, что мы может создать в голове возможного взломщика, если (очень большое если) серьезно отнесемся к развертыванию эффективных средств обороны в некоторых важнейших сетях. Поскольку мы даже не приступали к этому, теория сдерживания — краеугольный камень предотвращения ядерной войны — не играет никакой роли в предупреждении кибервойны.

2. Ненападение

Наверное, вы заметили, что в сценарии наших гипотетических учений было одно условие — мы нанесли первый удар. При отсутствии любой другой стратегии американская сторона в этих гипотетических учениях делает первый шаг в киберпространстве, рассылая оскорбительное электронное письмо по внутренней почтовой системе, которую китайцы считали закрытой, а затем инициируя то, что, как надеялись американцы, будет локальной аварией энергосистемы. Стратегической целью было показать, как серьезно Соединенные Штаты относятся к данному кризису, и продемонстрировать, что США обладают некоторыми возможностями. Непосредственной тактической задачей Киберкомандования было приостановить погрузку китайского десанта, чтобы выиграть время на переговоры американских дипломатов с китайцами по поводу запланированной операции.

В ядерной стратегии Советский Союз предлагал нам согласиться на условие, что ни одна сторона в случае конфликта не должна применять ядерное оружие первой; Американское правительство всегда отвергало эту идею, оставляя за собой свободу выбора в использовании ядерного оружия для того, чтобы компенсировать превосходящие неядерные силы Советского Союза. Следует ли использовать подход отказа от нападения первым в кибервоенной стратегии? В мире не существует традиционных вооруженных сил, которые превосходили бы американские, при условии, что американские войска не окажутся ослеплены и разъединены в результате кибератаки. Следовательно, нам не нужно стремиться начать кибервойну первыми, чтобы компенсировать какие-то недостатки, как приходилось делать в ядерной стратегии. Кроме того, когда мы делаем первый шаг в кибервойне, наша жертва в глазах всего мира поступает более приемлемо с политической точки зрения, когда отвечает нам тем же. Так что, учитывая нашу уязвимость к кибератаке, США, возможно, и не захотят переходить к кибернетической фазе войны.

Однако отказ от применения кибероружия до того, как оно будет использовано против нас, может означать, что, если вспыхнет обычная война, мы не сумеем защитить войска, используя кибератаку на системы противовоздушной обороны противника. Первое использование кибероружия в сценарии учений «Южно-Китайское море» было психологической операцией — мы рассылали электронное письмо с изображением тонущего китайского корабля по внутренней сети китайских вооруженных сил. Следует ли это считать первым применением кибероружия?

Более того, сценарий обнажил проблему: если вы не делаете первый шаг в киберпространстве, ваши возможности запустить кибератаку снижаются, поскольку другая сторона принимает оборонительные (Китай отключает свое киберпространство от всего остального мира) и наступательные (включая атаки, которые выводят из строя американские сети, которые, возможно, необходимы для запуска наших кибератак) меры. Заявлено ли это публично или считается скрытым элементом нашей стратегии, если мы принимаем решение не применять кибероружие первыми, мы должны четко понимать, что это будет означать. Считается ли актом кибервойны проникновение в сеть? Когда проникновение в сеть выходит за рамки простого сбора информации и превращается ли в этот момент разведывательное действие в кибервойну? Любой запрет на первый шаг применим лишь до начала поступательных военных действий. Как только война становится наступательной, почти все договоренности отменяются.

3. Подготовка поля боя

Вы должны были обратить внимание еще на один момент — обе стороны конфликта проникли в системы друг друга задолго до начала учений. В реальном мире, вероятно, они уже проделали то же самое.

Если ЦРУ засылает агентов в некую страну, чтобы они провели расследование на предмет возможности будущего саботажа и оставили тайники с оружием и взрывчаткой, по американскому закону эта деятельность считается секретной операцией, требует разрешения президента и формального уведомления двух разведывательных комитетов конгресса. В последние годы Пентагон придерживался мнения, что подобного рода секретные операции — это всего лишь подготовка поля боя и знать о них не обязательно. Выражение «подготовка поля боя» стало достаточно гибким. Почти любое место когда-нибудь может стать полем битвы.

Такая гибкость стала использоваться и в кибервоенной сфере, к тому же, очевидно, не только в Соединенных Штатах. В наших гипотетических учениях и США и Китай использовали предварительно установленные «черные ходы» в сетях противника, а затем взорвали логические бомбы, размещенные в том числе и в сетях, управляющих электроснабжением. Помимо учений есть и другая причина верить, что кто-то уже разместил логические бомбы в сетях управления американской энергосистемой. Несколько осведомленных источников намекнули или подтвердили, что США уже готовят поле боя.

Представьте: ФБР объявило, что арестованы десятки агентов китайского правительства, которые по всей стране устанавливали взрывчатку С4 на башни высоковольтных линий передач и трансформаторные подстанции. Вся нация возмутится. Некоторые конгрессмены начнут требовать объявления войны или карательных санкций в отношении китайского импорта. Кто-то станет настаивать, что пора называть китайскую еду чипсами свободы. Ну а когда в апреле 2009 года Wall Street Journal опубликовал статью о том, что Китай разместил логические бомбы в системе электроснабжения Соединенных Штатов, реакции практически не последовало. Такой разный отклик свидетельствует главным образом о неискушенности конгресса, СМИ и публики в вопросах кибервойны. Хотя это не означает, что существует какая-либо разница между последствиями взрыва логических бомб и взрывчатки С4.

Внедрение логических бомб в системы наподобие американской сети электропередач нельзя считать разведывательной операцией по сбору информации. Можно собирать сведения о системах вооружения, проникая в сеть Raytheon Company[15] или Boeing, но в системах управления Florida Power and Light нет информационной ценности.

Даже если бы там имелись ценные данные, логические бомбы не собирают информацию, они разрушают ее. Единственное объяснение тому, что вы вторгаетесь в систему управления электросетью, размещаете «черный ход», который позволит вам быстро проникнуть туда позднее, а также оставляете компьютерный код, способный после активации испортить программное (и даже аппаратное) обеспечение сети, — вы планируете кибервойну. Это не значит, что вы уже решили ее начать, но определенно подразумевает, что вы к ней готовы.

Во времена холодной войны и даже позднее ходили легенды о том, что советские агенты проникают в США с миниатюрными (чемоданными) ядерными бомбами, которые способны стереть с лица земли американские города, даже если США нанесут внезапный удар по СССР и уничтожат все бомбардировщики и ракеты. В то время как у США и Советского Союза действительно было «малое» оружие (у нас есть несколько сотен таких устройств Medium Atomic Demolition Munitions, MADM, и Small Atomic Demolition Munitions, SADM, которые могут поместиться в рюкзак), нет никаких доказательств, что кто-либо из нас развернул его на стороне противника. Даже в разгар холодной войны стратеги полагали, что использовать MADM слишком опасно. Но почему же китайские и, вероятно, американские ответственные лица разрешили использовать логические бомбы на территории другой страны? Маловероятно, что высокопоставленные чиновники одной или обеих стран не знали о таких действиях. Возможно, это военные отдали такой приказ, воспользовавшись собственными полномочиями по подготовке поля боя. Существует определенный риск, что высшим должностным лицам в случае кризиса скажут, что противник разместил логические бомбы на этапе подготовки к войне и будет угрожать ими, вынуждая высокопоставленных политиков принимать ответные меры. Лидерам могут доложить, что противник намерен разрушить нашу энергосистему, и мы должны действовать первыми, пока есть такая возможность. Есть и другой риск — оружие и в самом деле можно использовать без санкции высшего руководства. Его мог разместить слишком самостоятельный военачальник, или хакер, или рассерженный сотрудник. Кибервоины оправдывают шаги по подготовке поля боя, называя их необходимыми мерами по обеспечению руководства страны свободой выбора во время кризиса: «А вы бы хотели, чтобы у президента осталось меньше вариантов, как действовать в случае кризиса?» — спрашивают они. «Если вы хотите, чтобы в будущем у него была возможность действовать в киберпространстве, вы должны позволить нам проникнуть в их сети. Если сейчас сеть уязвима перед несанкционированным проникновением, это не значит, что так будет и через несколько лет, когда нам понадобиться в нее попасть».

Сети постоянно совершенствуются. Вполне вероятно, что электроэнергетические компании однажды приобретут эффективную систему предотвращения вторжений (IPS), способную обнаруживать и блокировать методы, которые мы используем для взлома сетей. Но если мы способны проникнуть в их сеть сейчас, мы можем оставить «черный ход», который любая будущая система безопасности воспримет как санкционированный. Однако проникнуть в сети в будущем — это еще полдела, нам необходимо будет запустить код, которые заставит систему делать то, что нужно нам. Будущая система может блокировать загрузку исполняемого кода даже авторизированным пользователем. Следовательно, мы должны, проникнув в систему сейчас, оставить там код, который заблокирует защиту от скачка напряжения, заставит генераторы вращаться несинхронно, в общем, обеспечит нам шанс использовать выбранный нами способ нарушения (или разрушения) работы сети или оборудования.

Звучит убедительно, но есть ли места, в которых готовить поле боя нежелательно?

4. Глобальная война

В наших гипотетических учениях ответный удар китайцев был направлен на четыре американские военно-морские базы, но затронул несколько крупных городов в четырех странах (North American Interconnects связывает энергетические системы США, Канады и Мексики).

Чтобы замести следы, США напали на китайскую сеть с эстонского компьютера. Чтобы добраться из Эстонии до Китая, американские атакующие пакеты прошли через несколько стран, включая Россию. Чтобы обнаружить источник атаки, китайцам пришлось бы проникнуть в российские маршрутизаторы, откуда поступили последние пакеты. Китай нанес ответный киберудар по Эстонии, чтобы дать понять — страну, которая позволяет проводить кибератаку, может ожидать возмездие, даже если это сделано неумышленно.

В эпоху межконтинентальных ракет и самолетов кибератака развивается быстрее и пересекает границы проще, чем любые другие формы военных действий на всем протяжении истории человечества. Как только государство инициировало кибервойну, возникает высокая вероятность того, что другие страны окажутся в нее втянуты, поскольку нападающие постараются скрыть как свою личность, так и маршруты, по которым шло нападение. Начать атаку с эстонских сайтов для США — это примерно то же, что без позволения посадить штурмовики на территории Монголии, дозаправить их, взлететь и сбросить бомбы на Китай. Поскольку некоторые средства нападения, например «черви», распространяются за считанные минуты, существует вероятность возникновения сопутствующего ущерба по мере того как эти программы будут переспать межгосударственные границы и разрушать неучтенные цели. А что насчет сопутствующего ущерба в стране, которая служит объектом атаки?

5. Сопутствующий ущерб и доктрина сдерживания

Стараясь поразить военно-морские базы, оба противника нанесли удар по электростанциям. При этом огромные регионы и миллионы людей остались без света, поскольку электросети очень уязвимы перед каскадными отключениями, которые происходят за секунды. В десятках больниц резервные генераторы так и не сумели запуститься. Международные законы вообще запрещают атаковать больницы и гражданские объекты, но невозможно разрушить электросеть, не затронув гражданские здания. В ходе последней войны в Ираке американцы провели кампанию «Шок и трепет», в процессе которой были стерты с лица земли конкретные здания, а гражданские объекты, расположенные на той же улице, остались нетронутыми. США и другие страны, соблюдающие осторожность при бомбовых ударах, разработали разрушительное кибероружие, вред от которого невозможно ограничить атакуемыми объектами.

В нашем сценарии кибервойны американское Киберкомандование не получило разрешения атаковать банковский сектор. В реальном мире мои предложения убедить Управление национальной безопасности вторгнутся в банковские системы и захватить финансы «Аль-Каиды» неоднократно пресекались Министерством финансов, когда президентом был Клинтон. Даже при Буше Министерство финансов смогло заблокировать предложение атаковать банковские счета Саддама Хусейна, в то время как администрация готовила вторжение и оккупацию, в ходе которых погибло более ста тысяч иракцев. Банкиры убеждали, что система международных финансовых отношений и торговли строится на определенном уровне доверия.

Решение США воздержаться от атак на финансовый сектор отражает понимание того, что Соединенные Штаты в кибервойне, затрагивающей банки, могут понести самые высокие потери. Даже несмотря на то что американский финансовый сектор защищен лучше всех остальных отраслей, он все же уязвим. «Мы, как приглашенные советники, проверили безопасность десяти с липшим крупнейших финансовых учреждений страны и сумели вторгнуться в систему каждого, — рассказал мне знакомый консультант по вопросам безопасности. — И каждый раз мы могли поменять цифры или перевести деньги, но, разумеется, этого не делали».

Существующие в США законы не запрещают вторгаться в системы иностранных банков для сбора разведывательных данных, но создают очень большие препятствия для изменения данных. Министр финансов и госсекретарь должны дать разрешение на такие действия. Насколько мне известно, подобные санкции никогда не давались. По существу, мы имеем дело с объектами, на которые нацелились, но не намереваемся наносить удар. Согласно такой стратегии, мы предполагаем или надеемся, что противники будут играть по этим же неписаным правилам. В учениях «Южно-Китайское море» Народно-освободительная армия Китая не стала следовать этим правилам. В ходе последней операции она нанесла удар по базам данных фондового рынка. Это было драматическое и, надеемся, нереальное развитие ситуации. Экономика современного Китая так крепко связана с американской, что он должен воздерживаться от нападений на финансовый сектор. Можно предполагать, что в обозримом будущем страны будут воздерживаться от атак на финансовый сектор, вызывающих изменение данных, хотя некоторые американские аналитики выражают сомнения относительно Китая.

Поскольку рассчитывать на аналогичную вежливость со стороны искушенного хакера-одиночки не приходится, американский финансовый сектор совместно с федеральными регулятивными органами должен заранее прийти к пониманию, что делать в случае атаки, способной изменить хранящуюся информацию. Вероятно, следует обсудить планируемые действия с некоторыми европейскими и японскими институтами. У Федерального резервного банка, Securities Industry Automation Corporation и ряда других операторов финансовых баз данных существуют специальные системы удаленной архивации. Чтобы быть готовыми к восстановлению данных после атаки, необходимо иметь «слепок» того, «кто чем владел», который не сможет затронуть кибератака. По согласованию с федеральными органами управления банки и фондовые биржи в случае сбоя могут восстанавливать систему по предыдущим данным. Кто-то потерпит убытки, кто-то разбогатеет, но финансовая система продолжит функционировать.

Китайская система управления полетами (СУП) также попала в список важных целей. В то же время, модернизация привела к тому, что зависимость американской СУП от сети и, следовательно, уязвимость перед кибератакой возросла. Даже при старой системе в США происходили случаи, когда отдельные диспетчерские пункты аэропортов и даже региональные центры отключались на несколько часов из-за неисправностей компьютеров или связи. Насколько нам известно, ни одно из этих отключений не было вызвано взломов!. (Одного хакера, вторгшегося в систему Федерального авиационного агентства, арестовали, хотя последствия его атаки были минимальными.)

Тем не менее возможность того, что кто-нибудь изменит данные и заставит самолеты столкнуться в воздухе, необходимо рассматривать. США подписали Монреальскую конвенцию, в соответствии с которой умышленное нападение на гражданский пассажирский самолет является нарушением международного права. Практически все взломы считаются нарушением каких-либо государственных или международных законов, но Монреальская конвенция — это выражение международного мнения о том, что определенные действия выходят за рамки допустимого поведения.

Вторгнуться в системы управления полетами становится все проще. Федеральное авиационное агенство выразило беспокойство в связи с планами Boeing использовать в новом самолете 787 Dreamliner единую компьютерную сеть для управления полетом и интерактивного развлечения пассажиров. Управление поделилось опасениями о том, что пассажир может вторгнуться в систему управления полетом прямо со своего места или подключиться к ней с земли через Интернет. Компьютерные сети пассажирских самолетов играют важную роль в обеспечении полета. В современных самолетах с дистанционным управлением система управления полетом посылает компьютерный сигнал для управления закрылками, элероном или рулем высоты. Авария самолета Air France в 2009 году, о которой уже упоминалось, показала широкой аудитории то, что пилоты знали давно: в современных самолетах с дистанционным оборудованием бортовые компьютеры сами решают, какие сигналы посылать на землю. При определенных условиях программа может проигнорировать решение пилота и заблокировать ручное управление, чтобы предотвратить падение самолета. Как и в случае с системой управления полетами, компьютерные сети пассажирских самолетов должны быть недоступными для посторонних.

Военная авиация хотела бы вести честную игру. Если бы Киберкомандование попросило разрешения атаковать резервные и рабочие системы китайских авиакомпаний, они получили бы, пожалуй, разную реакцию. В реальном мире из-за компьютерных сбоев в США и Канаде сотни самолетов часами ждали разрешения на взлет. Самолеты были исправными, экипаж — в полной готовности, но без работающих баз данных и операционной сети авиакомпании просто не могли знать, какие самолеты, каких пассажиров, какой экипаж, груз, какое топливо и куда направлять. Авиакомпании, как и другие крупные коммерческие организации, больше не пользуются ручными системами.

Помимо банковской системы и пассажирского авиатранспорта могут быть и другие ограничения. В наших учениях Киберкомандованию приказано было не затрагивать военную сеть управления и систему обороны. Почему же нельзя было трогать эти объекты?

6. Эскапационный контропь

Во время холодной войны я часто принимал участие в учениях, когда команда служащих госбезопасности тайно и в спешке отправлялась по срочному заданию из Вашингтона в глухие малодоступные места. Однажды мы занимались тем же, что предлагал компьютер из фильма «Военные игры» (War Games) — разыгрывали термоядерную войну. В целом это был очень неприятный опыт, поскольку по сценарию на земле от ядерных взрывов погибли миллионы людей. Почти всегда нашей задачей было завершить войну и начать восстановление. Самое сложное в конце войны — найти тех, кто выжил и командует войсками другой стороны. Кто руководит советскими вооруженными силами и как нам переговорить, не выдав свою дислокацию? Отчасти задачу усложнял тот факт, что человек, с которым мы вели переговоры, как выяснялось, на самом деле не контролировал некоторые подразделения советских вооруженных сил, например ядерные подводные лодки. Такой неприятный опыт научил нас следующему—когда мы уничтожаем систему контроля и управления противника, мы лишаем его возможности отдать приказ войскам сложить оружие. Изолированные командующие, отрезанные от высших звеньев управления или не признающие власти преемника, берут инициативу в свои руки и часто решают продолжать борьбу. Одинокие японские воины периодически появлялись на отдаленных островах Тихого океана еще в 1950-х, не зная, что император уже много лет назад приказал им сдаться. Подобное может произойти и кибервойне. Если в результате атаки будет уничтожена система военного командования и контроля, предотвратить наступательную войну будет сложно. В большинстве вооруженных сил полномочия переходят командующему на местах, если он не может связаться с начальством. Даже при функционирующей системе на местах могут решить, что власть захватили враги, которые отдают ложные приказы, в связи с чем командование передадут местному генералу, пока он не установит надежную связь с начальством. Подобная ситуация ярко представлена в фильме «Багровый прилив» (Crimson Tide), где капитан атомной подводной лодки сначала получает приказ запускать ядерные ракеты, а затем — не запускать. Будучи не в состоянии установить подлинность последнего приказа он, опасаясь, что это поддельный приказ, отправленный русскими, считает, что требуется произвести запуск.

На ядерных учениях мы постоянно приходили к выводу о том, что не нужно было наносить «обезглавливающий удар», после которого военное руководство противника не может связаться ни с нами, ни с собственными войсками. В кибервойне, возможно, стоит отключить некоторые части от высшего командования или закрыть противнику доступ к информации о происходящем. Но, выбирая, какие части «отрубать», необходимо помнить, что без связи с командованием подразделение с большой долей вероятности перейдет в наступление по собственной инициативе. Поэтому кибератаки нужно проводить очень внимательно, чтобы оставался канал связи для переговоров, а командование противника имело возможность приказать прекратить борьбу.

В наших с вами учениях запрещено было наносить удар по сетям противовоздушной обороны. Основанием такого запрета служит эскалационный контроль. В шедевре военной стратегии «Об эскалации» (1965) Кан утверждал: если ваша цель — завершить войну до тотального разрушения или вынужденной капитуляции противника, вы можете просигнализировать об этом, нанося удар по одним мишеням и не трогая другие. Допустим, вы хотите дать знать, что ваши намерения ограниченны, причем так, чтобы противник не предположил иное и не счел, что терять уже нечего.

Из концепции эскалационного контроля можно сделать кое-какие выводы и для кибервойны. Кибератака на национальную систему противовоздушной обороны заставила бы руководство страны сделать вывод о планируемых воздушных атаках. В учениях «Южно-Китайское море» американские авианосцы располагались совсем близко. Если китайские военные подумают, что с этих авианосцев готовы нанести удар, они наверняка пойдут на упреждающие меры и потопят их. Таким образом, кибератака на систему противовоздушной обороны привела бы к наступательной войне, которой мы так старались избежать. Даже попытка проникновения в эту сеть для размещения лазеек и логических бомб может быть обнаружена и истолкована как подготовка к надвигающейся бомбардировке. Так что в эпоху обострения даже приготовление к запуску кибератаки толкуется превратно, поэтому такие меры следует предпринимать заблаговременно. Герман Кан, Томас Шеллинг, Уильям Кауфман и другие «всадники Армагеддона» много размышляли о том, как контролировать ядерную эскалацию, которая начинается от напряжения, ведущего к кризису, проходит стадии предупреждения, первого применения и окончания войны. Первоначально специалисты по ядерной стратегии считали, что этот процесс должен развиваться медленно, сопровождаемый дипломатическими попытками остановить конфликт на каждом данном этапе. Они обсуждали также концепцию эскалационного доминирования, которую я уже упоминал. Согласно этой стратегии, одна из сторон заявляет: «Мы не хотим вести мелкие военные действия, которые постепенно будут разрастаться. Если вы хотите сражаться с нами, готовьтесь к масштабному и разрушительному сражению». Похоже на ва-банк в покере в надежде, что соперник сдастся, а не станет рисковать всеми своими деньгами. За одним лишь исключением: в эскалационном доминировании вы действительно перепрыгиваете несколько ступеней лестницы и наносите серьезный урон противнику. Этот шаг вы сопровождаете угрозами причинить более значительный вред, если не остановиться прямо здесь и прямо сейчас. Тот факт, что вы уже нанесли урон, может заставить противника почувствовать необходимость ответить таким же образом. Или, если он благоразумен, то поймет, что ставки слишком высоки и ему грозят более серьезные потери. В учениях «Южно-Китайское море» Народно-освободительная армия Китая решила, что стране необходимо эскалационное доминирование. В ответ на кибератаку электросети в юго-восточной части Китая они не только нанесли удар по энергосистеме Западного побережья, но и разрушили глобальную внутреннюю сеть Министерства обороны США, повредили базы данных расчетных палат и направили дополнительные военные части в зону конфликта в Южно-Китайском море.

Игра затянулась, и руководству Соединенных Штатов нужно было решить, продолжать ли нести потери в следующем раунде кибервоенной эскалации. Америка находилась в невыгодном положении, поскольку в случае продолжения и обострения кибервойны она в любом случае потеряла бы больше. Поэтому Соединенные Штаты стремились к быстрому дипломатическому соглашению. Эскалационное доминирование — верный ход со стороны Китая, поскольку эскалация продемонстрировала, что США гораздо чувствительнее к кибератаке и дальнейшее обострение конфликта лишь ухудшило бы положение американской команды. Америка могла бы попытаться заблокировать кибертрафик, идущий из Китая. Но поскольку источники китайских атак располагались на территории США, а системы контроля в интернет-магистралях еще не существовало, следующую, более масштабную китайскую кибератаку остановить было бы очень сложно.

Короче говоря, если собираетесь бросить киберкамень, убедитесь, что в вашем доме меньше стекла, чем у того парня, или что окна у вас пуленепробиваемые.

7. позитивный контроль и случайная война

Затронутая выше проблема — сохранение возможности противника осуществлять командование и контроль — поднимает еще один вопрос: «Кто обладает полномочиями вторгаться в сети и применять кибероружие?» Ранее в этой главе я предположил, что для изменения банковской информации может понадобиться санкция членов кабинета, и все же мы не уверены, знает ли президент о логических бомбах в сетях разных стран, которые, возможно, разместили Соединенные Штаты. Оба этих факта указывают на большую неопределенность в вопросах о том, кто обладает полномочиями вести кибервойну и заниматься подготовкой поля боя.

В ядерной стратегии поднималось два главных вопроса — кто и что может сделать, которые объединяются понятием «позитивный контроль». Первый вопрос прост: «Может ли какой-нибудь американский офицер, имеющий доступ к ядерному оружию, использовать это оружие, даже если не имеет таких полномочий?» Чтобы предотвратить такую проблему и чтобы никто не украл и не взорвал ядерную бомбу, бомба была оборудована тщательно продуманным электронным механизмом. Электроника блокировала бомбу до тех пор, пока на устройство не поступал специальный буквенно-цифровой код. Часто требовалось, чтобы два офицера подтвердили код и одновременно повернули ключи для снятия блокировки — так называемый контроль «с двумя ключами». Часть кода хранилась вдали от бомбы и высылалась тем, кто должен его разблокировать. Эти и так сложные системы с годами еще более усложнялись. Соединенные Штаты частично поделились такой технологией с некоторыми ядерными державами.

Второй вопрос позитивного контроля: «Какая высшая инстанция обладает полномочиями посылать коды разблокирования ядерного оружия?» Теоретически при нормальных условиях такими полномочиями должен обладать президент. Офицер, прикомандированный к президенту, всегда носит с собой закрытый чемоданчик, в котором хранятся коды запуска на случай ядерной атаки. Во время попытки военного переворота 1990 года в Москве я узнал, что в Советском Союзе существовала аналогичная система. Президент Горбачев, который на одном из этапов кризиса оказался заложником, взял с собой на дачу такой «ядерный» чемоданчик с кодами запуска» Этот случай с Горбачевым подчеркнул необходимость передачи полномочий, если президент в силу каких-то обстоятельств не может действовать. Американское правительство отказывается сообщать, кто, помимо президента, обладает полномочиями деблокировать и использовать ядерное оружие и при каких условиях эти полномочия передаются. Весь персонал, имеющий доступ к ядерному оружию, должен подвергаться специальным проверкам и тестированиям, разработанным для отсеивания людей с психологическими или эмоциональными проблемами.

Кибероружие оказывает значительно меньшее воздействие, чем ядерное, но его использование может привести к большим разрушениям и вызвать более широкую войну. Итак, кто решает, применять ли его, и как мы можем убедиться в том, что эти действия санкционированы? Кто должен решать, в какие сети нам нужно вторгаться в процессе подготовки поля боя? Пока мы не накопили достаточно опыта в применении кибероружия, я настаиваю на том, что президент должен по крайней мере раз в год утверждать рекомендации о том, в какого рода сети и в каких странах нам следует вторгаться для сбора информации и размещения логических бомб. Кто-то осудит такое предложение как чрезмерно ограничивающее и заметит, что мы годами вторгаемся в различные сети с разведывательной целью без всякого надзора со стороны президента. Пусть так, но нередко лишь несколько нажатий клавиш отделяют вторжение в сеть для сбора информации от разрушительных последствий. Поскольку существует риск, хоть и небольшой, что факт размещения логических бомбы и других проникновений будет обнаружен и воспринят как враждебное действие, президент должен решать, какой риск мы готовы взять на себя и с кем.

Ответственность за решение использовать кибероружие в разрушительных целях также следует возлагать на президента или в редких случаях, когда необходимо действовать быстро, на министра обороны. Могут возникнуть ситуации, когда региональным военачальникам придется воспользоваться заранее переданными полномочиями, чтобы защититься от надвигающейся или уже происходящей атаки. Однако Киберкомандование и подчиненные ему части должны использовать какой-то программный аналог контроля «с двумя ключами», чтобы гарантировать, что никакой чрезмерно рьяный или сильно заскучавший молодой лейтенант не инициирует атаку.

Но даже в случае надлежащего управления существует риск случайной войны. Первые радиолокационные системы во времена холодной войны иногда не могли отличить огромные стаи канадских гусей от строя советских бомбардировщиков. Были времена, когда Соединенные Штаты запускали группы своих бомбардировщиков по направлению к определенным целям, ожидая, когда начальство воздушной обороны прояснит ситуацию и определит наверняка, подвергаемся ли мы нападению.

В кибервойне атака может начаться случайно, если кто-нибудь использует непроверенную программу и вместо того, чтобы добавить код, копирующий данные, использует код, который их удаляет. Кроме того, существует вероятность случайного запуска логической бомбы в результате действий оператора сети или какого-нибудь хакера, обнаружившего ее. Подобные шансы невысоки, но Киберкомандование и все те, кто участвует во взломах сетей других стран, обязаны придерживаться строгих правил, гарантирующих, что ошибок не будет. Риск случайной войны особенно увеличивается, если мы неправильно определяем, кто начал кибератаку против нас, и принимаем меры против неповинной страны.

8. Атрибуция

В учениях «Южно-Китайское море» ни одна из сторон не сомневалась в том, кто атаковал ее. Был политический аспект, росло напряжение вокруг морских нефтяных месторождений. Но что, если атаку совершил не Китай, а Вьетнам? По нашему сценарию Вьетнам является союзником Соединенных Штатов. Так с какой же стати ему нас атаковать? Да хотя бы для того, чтобы втянуть США в конфликт, заставить Вашингтон выступить против Китая. А что для этого может быть лучше, чем убедить Вашингтон в том, что Китай ведет кибервойну против Америки? А когда Китай начнет отрицать свое участие, США наверняка спишут это на попытку Китая оправдаться. (Если вы хотите рассмотреть подобный сценарий и готовы простить меня за некоторую саморекламу, прочитайте мой роман Breakpoint («Точка излома»), в котором затрагивается проблема кибервоенной атрибуции.)

Киберэкспертам на конференции Black Hat 2009 года задали вопрос: считают ли они проблему атрибуции столь существенной, как некоторые полагают, сложно ли выяснить, кто вас атаковал, и так ли важно, кто это сделал? Все до единого ответили, что проблема атрибуции не является такой уж важной. Нет, они не утверждают, что определить взломщика легко, просто данный вопрос их не тревожит. В большинстве своем эксперты являются сотрудниками корпораций, и после кибератаки первоочередной задачей для них будет восстановление системы и предотвращение подобных атак в дальнейшем. Опыт общения с ФБР убедил их в том, что вряд ли стоит даже сообщать правоохранительным органам о фактах взлома.

Для сотрудников ФБР, однако же, куда важнее знать, кто атаковал. Об этом может спросить президент. Возможно, понадобится послать взломщикам дипломатическую ноту протеста, как сделал секретарь Клинтон после новостей о попытках проникновения в Google из континентального Китая. Может быть, вы захотите нанести ответный удар, чтобы атаку прекратили. Один из способов найти взломщика — использовать отслеживающие программы, но есть вероятность, что вы дойдете лишь до какого-то промежуточного сервера. На этом этапе есть основания подать дипломатическую ноту с требованиями, чтобы правоприменяющий орган страны в рамках международного сотрудничества по расследованию преступлений получил ордер, осмотрел сервер и извлек записи. На это потребуется не один день, и нужные записи за это время сумеют уничтожить. Либо же виновная сторона откажется помочь вам. Когда следы прерываются, вы можете совершить «ответный взлом», проникнув на сервер и проверив данные. Разумеется, это будет незаконно, если только вы не офицер разведки. Но и проникновение на чужой сервер может не сработать, если взломщик скрыл свое нахождение. Во многих случаях вам придется находиться в режиме онлайн, наблюдая за тем, как атакующие пакеты проходят через серверы. Но, проследив путь через десяток серверов в разных странах, вряд ли вы обнаружите, что атака берет начало из места под названием «Российское агентство кибервоенного наступления». Даже если российское правительство организовало атаку, в целях безопасности оно наверняка будет действовать с сервера другого государства и, если это операция по сбору разведданных, вся полученная информация будет храниться в третьей стране. Далеко не всегда удается выяснить, кто атаковал вас, если только вы не находитесь в сети, которую использует взломщик, и не наблюдаете за процессом (что тоже не всегда возможно). Есть вероятность, что спецслужбы сумеют определить, на какой «языковой» клавиатуре писался код — арабской, кириллической или корейской, но они вряд ли вычислят самого хакера. Если даже выяснится, что атака шла из России, как было в случае с Эстонией и Грузией, власти страны, скорее всего, переложат вину на гражданских «хактивистов» и ничего им не сделают.

Сложность атрибуции может означать, что для определения взломщиков стране порой необходимо полагаться на традиционные методы разведки — шпионаж или полицейские методы. Обычная разведка, в отличие от компьютерной, не действует со скоростью, приближающейся к скорости света. Быстрое реагирование не всегда возможно. В стратегии ядерной войны атрибуция не считалась важной проблемой, поскольку мы всегда могли сказать, откуда запущены ракеты или бомбардировщики. Кибератака похожа на взрыв бомбы. Если мы наблюдаем за развитием атаки, видя киберэквивалент стартовой шахты или авиабазы, мы сумеем определить происхождение атаки с большой степенью достоверности. Но если атака начинается на серверах в США, пройдет какое-то время до того момента, как президент скажет: мы знаем, кто атаковал нас. Насколько уверенными мы должны быть, прежде чем нанести ответный удар? Ответ, вероятно, будет зависеть от реальной ситуации в мире.

9. Кризис неустойчивости

Ныне покойный Билл Кауфман однажды попросил меня написать доклад на тему «Предупредительный сигнал». Стратегическое командование ВВС считало: как только мы поймем, что Советский Союз готов совершить на нас ядерное нападение, мы должны направить на него как можно больше бомбардировщиков и запустить ракеты наземного базирования. Поскольку точность наведения советских ракет росла, они могли уничтожить даже те наши ракеты, которые хранятся в укрепленных подземных стартовых шахтах. Как и все прочее в доктрине ядерной стратегии, задача «запуска в случае их приближения» усложнилась. А что, если мы или наши средства обнаружения ошибаются? А если они атакуют, но малыми силами, направленными всего лишь на несколько целей? Нужно ли нам ответить всей своей мощью? По этой причине ВВС разработали стратегию «запуск при атаке», то есть приняли решение ждать, пока картина прояснится, пока боеголовки противника не взорвутся где-нибудь на нашей территории. Переход к стратегии предупреждения всегда считался делом опасным, поскольку обострял нестабильность и взрывоопасность ситуации во время усиления напряженности. Если не принять правильное решение быстро, вы проиграете, но если принять решение быстро, оно может оказаться неправильным. В исследовании, которое я провел по заданию Кауфмана, я смог прийти к заключению о том, что у нас достаточно ракет на «море» и эти ракеты достаточно точны, так что мы можем пережить нападение, а затем принять рациональное решение, прежде чем развернуть ответные действия.

Подобная проблема существует и в кибервойне. Считается, что Соединенные Штаты способны узнать о приближении атаки, быстро пресечь ее и лишить противника возможности нападать снова. Такое предположение не всегда необоснованно. Если предположить, что стратегия США заключается в предвидении надвигающейся атаки и переходе к действиям, то действовать нужно быстро и не размышляя о том, кто враг и куда он собирается нанести удар. Промедление, скорее всего, выльется в два неблагоприятных для нас события:

— нападающая страна, вероятнее всего, поднимет мосты, то есть сразу же после запуска большой атаки Китай сможет отсоединиться от всего остального Интернета;

— нападающая страна может совершить атаку на сеть Интернет и телефонную инфраструктуру Соединенных Штатов, в связи с чем Америке сложно будет предпринимать ответные меры в киберпространстве.

Таким образом, первый удар может обеспечить преимущество нападающему и ведет к кризису нестабильности, молниеносности и не дает времени на размышления. А теперь вспомните наш разговор о неопределенности намерений, о том, какого типа цели выбирает одна сторона в период подготовки поля боя. Если страна уверена, что противник разместил в ее инфраструктуре (включая компьютерные и энергетические сети) разрушительные программы и логические бомбы, то эти соображения, в сочетании с преимуществами первого удара, могут во времена усиления напряженности заставить тех, кто принимает решение, нажать на заветную клавишу зудящим пальцем.

10. Асимметрия обороны

В наших учениях победила китайская команда, которая заставила американцев отвести войска и пойти на переговоры, чтобы сохранить лицо. Главная причина их победы заключалась в том, что им удалось преодолеть оборону Соединенных Штатов и довольно эффективно воспользоваться собственной. США ждали атаки из-за океана, а китайцы использовали американские серверы, которыми, возможно, управляли китайские «студенты», сидя где-нибудь в кафе. Американцы искали сигнатуры известных атак, а китайцы использовали программы «нулевого дня». И самое главное, у США не было механизма обороны гражданской инфраструктуры, в которую входят финансовая индустрия, энергетическая сеть и система железных дорог.

Китай, с другой стороны, имел в своем распоряжении не только систему, с помощью которой можно было управлять всей инфраструктурой страны, но и план обороны.

Когда стало ясно, что надвигается кибервойна, китайские энергетические системы и железные дороги перешли на несетевую систему управления. Когда китайцы лишились спутниковой связи, они за час ввели в эксплуатацию резервную радиосеть. Короче говоря, Китай не выкинул старые системы, а разработал план их дальнейшего использования.

* * *

Уроки, которые мы извлекли, помогли нам определить проблемы и возможные варианты их решения, и мы приблизились к определению своей военной стратегии. Однако есть еще один отсутствующий элемент. Мы почти не обсудили международные законы войны и другие договоренности. Какие международные законы касаются кибервойны и какие дополнительные многосторонние соглашения были бы в наших интересах?


Примечания:



1

Брукингский институт — научно-исследовательская организация, существующая за счет грантов и пожертвований. Основан в 1927 году в результате слияния Института исследования государственного управления, Института экономики и Школы государственного управления при Вашингтонском университете; носит имя одного из основных учредителей Р. Б. Брукингса. — Примеч. ред.



15

Raytheon Company — авиастроительная компания, разрабатывающая и внедряющая различные технологии в оборонной области.








Главная | Контакты | Прислать материал | Добавить в избранное | Сообщить об ошибке