Недавняя волна громких кибератак со стороны российских организованных преступных группировок поставила перед администрацией президента США Джо Байдена трудный вопрос: как США должны реагировать на компьютерные взломы не со стороны враждебных иностранных правительств, а со стороны криминальных негосударственных субъектов? В октябре прошлого года российские хакеры атаковали несколько больничных сетей США с помощью программ-вымогателей, нарушив доступ к электронным медицинским записям и заставив некоторых провайдеров собирать медицинские протоколы по памяти в разгар глобальной пандемии. Семь месяцев спустя, в мае 2021 года, хакеры практически перекрыли один из крупнейших топливопроводов в Соединенных Штатах, что привело к нехватке бензина на Восточном побережье и вынудило оператора топливо-логистической сети заплатить выкуп в размере 4,4 миллиона долларов за восстановление работы.
Эти и другие подобные атаки являются отрезвляющим напоминанием о том, что критическая инфраструктура США изобилует уязвимостями и что преступники по всему миру более чем способны ими воспользоваться. Атаки также вызвали растущий вал призывов к администрации Байдена не только укрепить киберзащиту США, но и перейти в кибернаступление — «нанести серьезную кибератаку по Путину», как выразился сенатор Джон Кеннеди, республиканец от Луизианы. Но взвешивая варианты своих действий после упомянутых выше атак, администрация сначала должна ответить на более простой вопрос: действительно ли Соединенные Штаты способны начать эффективные наступательные кибератаки против преступников, которые не поддерживаются государством?
Президент Байден, кажется, думает, что способны. Во время своей недавней встречи на высшем уровне с президентом России Владимиром Путиным он выступил со смелой, хотя и несколько преувеличенной угрозой, заявив, что Соединенные Штаты обладают «значительными киберпотенциалом», и пообещал «ответить встречными кибератаками», если российские хакеры попытаются разрушить критически важные объекты инфраструктуры США.
Но в прошлом Соединенные Штаты уже пытались осуществить наступательные кибератаки против негосударственных субъектов, и в большинстве случаев им это не удалось. В битве против Исламского государства* (также известного как ИГИЛ*) оно начало кибер-кампанию по уничтожению коммуникационной инфраструктуры террористической группы, но ряд серьезных проблем, а именно: сбои в сборе необходимых разведданных, разработке конкретного кибероружия и юридическом обосновании операций, создали препятствия на пути их реализации и привели к неутешительным результатам. С тех пор Соединенные Штаты мало продвинулись в решении этих проблем, что позволяет предположить, что у них и в дальнейшем возникнут проблемы с наказанием киберпреступников. Чтобы изменить ситуацию с организованными преступными группировками в России и других странах, Соединенные Штаты должны улучшить свои возможности по сбору разведданных о киберкриминале, серьезно активизировать исследования и разработки, необходимые для создания эффективного кибероружия, и создать прочную правовую основу для наступательных действий в киберпространстве.
США нужно переписать свою киберстратегию
Недавняя волна атак со стороны негосударственных субъектов с использованием программ-вымогателей опровергла общепринятые представления о природе киберугрозы для Соединенных Штатов. Эксперты по национальной безопасности США исторически сосредотачивались на подготовке к сценариям, подобным Армагеддону, в которых враждебные иностранные правительства нацеливаются на критическую американскую инфраструктуру и важнейшие сети. До недавнего времени киберпреступность и другие злонамеренные действия, осуществляемые независимыми хакерами, практически не вызывали озабоченности на самом высоком правительственном уровне в США. В результате наш аппарат национальной безопасности в настоящее время не приспособлен для защиты критически важной инфраструктуры страны от кибератак, совершаемых организованными преступными группировками.
Обычная в США методика реагирования на кибератаки, спонсируемые государством, к сожалению, не очень полезна в применении к организованной преступности. Типичные ответы на спонсируемые государством кибератаки — такие как открытое поименование стран-виновниц, предание их международному позору, требование обвинения и наказания виновных — не удержат российские организованные преступные группировки от проведения атак в будущем. Жесткие наступательные целевые кибер-атаки против потенциальных хакеров могут показаться привлекательной альтернативой, но, как показала киберкампания против ИГИЛ, их сложно осуществить.
В апреле 2016 года, когда Соединенные Штаты активизировали свою военную кампанию против ИГИЛ, министр обороны Эш Картер приказал Кибернетическому командованию США (CYBERCOM) уничтожить коммуникационные сети, которые ИГИЛ использовало для распространения пропаганды, вербовки новых сторонников и планирования нападений на территорию США. Как образно сказал тогда заместитель Картера Роберт Уорк, Соединенные Штаты начали «сбрасывать кибербомбы» на эту террористическую группу.
Кампания достигла определенных успехов. Например, операция «Светящаяся симфония», в ходе которой в сетях была стерта почти вся пропаганда в пользу ИГИЛ и внесены массовые технические ошибки во всю компьютерную инфраструктуру организации, считалась большим наступательным достижением. Но в целом кибер-кампания против ИГИЛ оказалась лишь частично эффективной, принося успехи, которые медленно материализовывались и быстро исчезали. В результате ударов CYBERCOM, например, одни пропагандистские страницы ИГИЛ были уничтожены только для того, чтобы те же материалы снова появились в другом месте в Интернете в течение нескольких дней или недель.
Постоянные проблемы с добычей разведданных, разработкой конкретных видов кибероружия и правовым обоснованием киберопераций стояли на пути эффективных наступательных действий против ИГИЛ — и продолжают препятствовать эффективному кибер-наступлению на другие негосударственных субъекты кибератак против Америки и сегодня. В большинстве наших наступательных киберопераций требуются месяцы, а иногда и годы, чтобы получить необходимую информацию: американскому киберкомандованию нужен долгосрочный доступ к сетям противника, чтобы знать, на что нацеливаться. Во время кампании против ИГИЛ все силы разведывательного сообщества США прошли подготовку по Исламскому государству. Но даже при этом использование террористической группой коммерчески доступных приложений для шифрования и специализированных беспроводных сетей помешало многим усилиям по сбору необходимых разведывательных данных.
Аппарат национальной безопасности США в настоящее время не настроен на защиту страны от независимых кибератак
Организованные преступные группировки, ответственные за недавние атаки программ-вымогателей в Соединенных Штатах, являются одной из самых сложных мишеней для сбора разведданных. Они состоят из хакеров, чрезвычайно опытных в работе в темном мире Dark Web — тщательно скрытой нише Интернета, где пользователи пользуются почти полной анонимностью. Эти хакеры сохраняют высочайшую дисциплину в поддержании своей операционной безопасности, потому что знают, что агенты разведки и правоохранительных органов США ищут даже самые незначительные взломы в своих системах.
Если администрация Байдена решит предпринять превентивные кибератаки против таких хакеров, задача сбора разведданных будет усугублена сопротивлением со стороны разведывательного сообщества, которое не захочет отказываться от потенциально ценных разведисточников ради какого-то сомнительного кибернаступления. Эти межведомственные трения стали основной причиной серьезных разногласий между военными и разведывательным сообществом на протяжении всей киберкампании против ИГИЛ, при этом ЦРУ выспренно заявляло, что кибероперации США навсегда уничтожат чрезвычайно ценные разведывательные источники в сетях ИГИЛ.
Так же сложна, как добыча разведданных, и задача разработки кибероружия для конкретных сетей — процесс, который также часто занимает месяцы. Кибермиссии не универсальны, и большинство наступательных киберпрограмм необходимо индивидуально разрабатывать для конкретной сети и программного обеспечения намеченной цели. Если кибероружие не «заточено» специально на свою цель, или применяется поспешно или небрежно, его использование может выявить глобальные недостатки в области нашей национальной кибербезопасности и лишь привести к дальнейшим крупномасштабным атакам программ-вымогателей. В настоящее время Соединенные Штаты не имеют возможности разрабатывать конкретные виды кибероружия так быстро и тщательно, как это требуется. Это проблема, которую можно было бы решить с помощью дополнительных ресурсов, но, и то, вероятно, совсем не быстро.
Последним препятствием для наступательных киберопераций против негосударственных субъектов является получение прочного юридического обоснования для них. Например, в процессе планирования и утверждения операций против ИГИЛ CYBERCOM получило четкий юридический «карт-бланш» на выполнение своих кибер-миссий в Афганистане, Ираке и Сирии, поскольку разрешение Конгресса на использование здесь военной силы и нормы международного права о самообороне частично совпадают и создают достаточное юридическое покрытие для кибер-операций Кибернетического командования. Однако и при этом ИГИЛ смогло перенести свои онлайн-операции в другие страны, включая Россию, где у США не было правовой инфраструктуры, оправдывающей кибероперации против ИГИЛ. В результате террористическая группа смогла продолжить свою криминальную онлайн-деятельность в странах, где у CYBERCOM были по закону связаны руки.
Получение официального разрешения на становящиеся публично известными наступательные кибер-операции остается сложной задачей, особенно в случае негосударственных субъектов, в том числе и таких, как российские организованные преступные группировки. Можно привести более веские доводы в пользу операций против иностранных правительств, отчасти потому, что Конгресс поддержал их после вмешательства России в президентские выборы в США в 2016 году. Но существует явная юридическая разница между хакерами, работающими на правительство России, и преступными группировками, просто действующими с территории России. Сам Байден отметил, что, похоже, «нет доказательств» того, что российское правительство было причастно к какой-либо из недавних атак с использованием программ-вымогателей против Соединенных Штатов, а это означает, что любое юридическое оправдание кибернаступления против Москвы будет в лучшем случае неубедительным.
Креативное наступление
Однако есть обнадеживающие признаки того, что Вашингтон хочет оставить в прошлом слабые результаты, достигнутые в кибер-кампании против ИГИЛ. Хотя три основных вызова для эффективного американского кибернаступления остаются существующими и по сей день, Соединенные Штаты значительно улучшили свои возможности кибервойны в последние годы. Под руководством генерала Пола Накасоне, которого президент Дональд Трамп назначил руководителем CYBERCOM и который остался в этой должности и при Байдене, Кибернетическое командование разработало и осуществило успешные наступательные кибероперации против военных и разведывательных организаций, например, в Иране и России. А администрация Байдена продемонстрировала готовность поддерживать «креативные» кибероперации — например, разрешив ФБР возглавить инновационную кибермиссию по обнаружению и отключению шпионских инструментов китайского происхождения, обнаруженных на тысячах компьютеров по всей территории Соединенных Штатов.
Используя этот импульс, администрация Байдена должна предпринять шаги для разработки более эффективных, быстрых и надежных способов нападения на негосударственных киберпреступников. Во-первых, разведывательное сообщество США должно нарастить объем добычи необходимой разведывательной информации о российских и китайских группах программ-вымогателей, обозначив их в качестве первоочередной задачи. (В настоящее время ежегодная оценка угроз Управлением директора национальной разведки США даже не включает определение «программы-вымогатели».) Во-вторых, учитывая чрезвычайно закрытый характер организованных преступных групп, правительство США должно разработать «креативные» наступательные инструменты, нацеленные на инфраструктуру киберпреступников без нанесения вреда мирным жителям. И в-третьих, если атаки программ-вымогателей на критически важную американскую инфраструктуру продолжатся, администрация Байдена должна заложить правовую основу для негласных наступательных операций против негосударственных субъектов, что потребует организации внутренней и международной поддержки таких действий.
Пока правительство США не добьется значительных успехов по каждому из этих вопросов, политикам придется признать, что кибернаступление, в конце концов — не лучший вариант для Америки, и что уроки киберсражения с ИГИЛ остались невыученными.
Эрик Розенбах — содиректор Белферского центра Гарвардской школы им. Кеннеди и бывший помощник министра обороны США.
Джульетт Кайем — старший преподаватель кафедры международной безопасности Белферского центра и директор факультета проектов внутренней безопасности США Гарвардской школы им. Кеннеди.
Лара Митра — научный сотрудник Белферского центра Гарвардской школы им. Кеннеди.
__________
* — террористическая организация, запрещена в РФ, прим. ред.