Министерство юстиции США обнародовало громкие обвинения против российских чиновников, обвинив их в сотрудничестве с российскими преступниками-хакерами во время атаки на Yahoo в 2014 году. По их версии получается, что иностранное правительство злоупотребило доверием для взлома американской компании с целью шпионажа. Но не лицемерно ли обвинять россиян в подобной деятельности сегодня, в эпоху разоблачений Wikileaks, рассекреченной Сноуденом информации и недавней утечки документов ЦРУ о его собственных электронных атаках?
До 2013 года большинство людей в технологическом секторе понимали, что США и правительства других крупных стран так или иначе занимались кибершпионажем, а разоблачения Сноудена в том году лишь выявили, насколько обширными были эти мероприятия, и что многие из попыток шпионажа включали преднамеренное и целенаправленное ослабление киберзащиты американских компаний и продаваемой ими продукции. То, что американские бюджетные средства, в том числе налоги, уплачиваемые самими компаниями и их сотрудниками, были бы обращены против них для выплат отечественным и зарубежным компаниям и хакерам с целью подрыва американской корпоративной безопасности, вплоть до ответвления оптоволоконных кабелей, соединяющих их центры обработки данных, и выплат иностранным хакерским организациям за разработку соответствующих вредоносных средств для своих программ, было тревожным сигналом для отрасли информационных технологий в той же степени, в которой их собственное правительство стало бы причинять вред американским компаниям.
В расчет здесь, конечно, не берется использование писем-требований касательно национальной безопасности и Суд США по делам о надзоре за иностранными разведками для принуждения американских компаний передавать разведывательному сообществу данные пользователей или против воли обеспечивать прослушивание телефонных разговоров и другие услуги — правовые средства, недоступные против американских компаний для России и большинства других стран. Учитывая, что многие из крупнейших интернет-компаний, включая основные соцсети, физически базируются в Соединенных Штатах и, следовательно, подчиняются законам США, американское правительство занимает уникальное положение в рамках глобальной слежки благодаря своей способности подвергать эти компании действию различных юридических процессов или физических компромиссов.
Последний опубликованный Wikileaks пакет документов под названием «Vault 7» («Сейф № 7») открывает еще больше подробностей того, насколько правительство США снабжено различными эксплойтами, в том числе «нулевого дня» (в некоторых случаях потенциально стимулируя их создание), а также его инвестиций в планировании атак на программы и сервисы американских компаний для ослабления их безопасности.
В сочетании с разоблачениями Сноудена они предлагают вниманию общественности реалистичный портрет собственных хакерских операций Америки, якобы проникающих во множество зарубежных компаний для ее собственных нужд в сфере разведки, путем либо отслеживания их сетей, либо использования своих возможностей доступа для внедрения вредоносного кода в их программы.
Как я писал в прошлом месяце, последняя версия знаменитого «Таллиннского руководства по применению юридических норм международного права к военным действиям в киберпространстве» отражает именно этот переход от кибервойны между странами к атакам государства на частный сектор промышленности, в результате которых ресурсы всей нации будут использованы для нападений на частные корпорации, вынужденные тратить огромные деньги на собственную безопасность и сохранение персонала, оборудования и производительности, чтобы защищать свои системы и выдерживать DDoS и другие атаки.
Самое, пожалуй, главное — это то, что обвинения Министерства юстиции подчеркивают, как много частных компаний контролируют «кровеносную систему» нашей цифровой жизни. Россия не планировала атаку на Yahoo только потому, что хотела нанести экономический ущерб американской компании — это случилось из-за имеющейся у последней посредством частных учетных записей электронной почты Yahoo информации о лицах и организациях, представляющих интерес для российских спецслужб.
Что бы мы ни делали — размещали посты в соцсетях, проверяли электронную почту, искали или просматривали веб-страницы, говорили по телефону или даже искали попутчиков — это чаще всего проходит через сети и программы частных компаний. Что и привлекает к этим компаниям внимание как киберпреступников, так и иностранных и отечественных спецслужб, перенося поля виртуальных сражений из государственных сетей в сети частных компаний, которые должны нести экономическое бремя обеспечения безопасности своих систем даже против собственных правительств.
Действительно, в подтверждение того, что частные компании оказались на распутье из-за развивающейся киберперспективы, Microsoft в прошлом месяце предложила создать так называемую «Цифровую женевскую конвенцию», которая, подобно своему военному эквиваленту, предложила бы защиту негосударственным субъектам, оказавшимся в гуще киберсражений. Однако, учитывая, что кибер-деятельность все чаще представляет собой смесь государственных и частных субъектов (как демонстрируют необоснованные утверждения в отношении России), неясно, какое влияние оказал бы такой закон, а США, с учетом своей ставки на кибероперации, вряд ли когда-либо такого рода документ подпишет.
Значит ли это, что российское правительство не должно нести ответственность за взлом американской компании? Ни в коем случае. Лицемерие ли со стороны правительства США обвинять россияне в таких же хакерских атаках, какими занимается само? Об этом не говорят. В конце концов, именно интернет-компании несут потери и основную тяжесть новых цифровых боев современности.