Прошло всего несколько дней после того, как стало известно о масштабном компьютерном взломе, и возникает сильный соблазн сказать, что мы смотрели не в ту сторону и прозевали магический трюк. Пока мы в последние месяцы напряженно следили за русскими в ожидании вмешательства в наши выборы, они тайком проникали в государственные и коммерческие компьютерные сети, чтобы копаться в переписке и воровать документы.
Но это слишком примитивный вывод, и не такой урок надо извлекать из самого крупного, как кажется, взлома сетей федерального правительства. Здесь масштабы даже шире, чем у китайской киберкражи частных данных в 2015 году, когда было взломано Управление кадров правительства США.
Более сложный и более тревожный вывод заключается в том, что с нынешней структурой ни федеральное правительство, ни даже самые передовые корпорации не в состоянии дать отпор умело организованным кибератакам из-за рубежа.
Это плохая новость. Но есть и хорошая. Мы можем остановить кибернетические происки других государств, но для этого нужные более смелые и дерзкие действия, чем те, что есть у нас в запасе.
О подробностях атаки рассказано очень много, но есть как минимум два аспекта, которые стоит подчеркнуть особо. Во-первых, самое очевидное. Масштабы, размах и секретность кибератаки говорят о высоком уровне и компетентности ее организаторов, а также о ее всестороннем характере. Такое может сделать только шпионское ведомство другой страны, и скорее всего, это российская Служба внешней разведки СВР. Во-вторых, это была необычная атака. Вредоносные коды для взлома были внедрены в компьютерные сети через обычные обновления, которые системами защиты были ошибочно приняты за подлинные. Хакеров не могли обнаружить в течение нескольких месяцев, и все это время они спокойно и неторопливо изучали все, что имеется в этих сетях. Входя во взломанные сети через компьютеры, находящиеся в США, а не в России или где-то еще, атакующие действовали осторожно, не оставляя почти никаких следов и делая так, чтобы их немногочисленные цифровые отпечатки пальцев казались совершенно безобидными.
В результате ни наше федеральное правительство, ни частный сектор не смогли обнаружить, а уж тем более отразить эту атаку. Конечно, нам надо тщательно изучить масштабы осуществленной кибератаки и понять, почему мы ее не заметили. Но мы также должны сосредоточиться на более важных и более трудных вопросах: скажем, хватает ли нам ресурсов, и адекватна ли наша структура, чтобы бороться с кибернетической гонкой вооружений в будущем? Ограничившись предложениями, которые имели хорошие шансы быть принятыми, созданная конгрессом для разработки общенациональной стратегии кибербезопасности комиссия недавно порекомендовала укрепить действующие государственные структуры за счет большей централизации руководства и скромного расширения полномочий. Среди ключевых рекомендаций, которые вот-вот станут законом, есть предложение учредить в Белом доме должность директора по национальной кибербезопасности и предоставить Агентству по кибербезопасности и безопасности инфраструктуры из состава Министерства внутренней безопасности дополнительные полномочия, что позволит ему следить за уязвимостями в киберпространстве и за взломами систем в частном секторе. Это важные и похвальные идеи, но колоссальные масштабы хакерского взлома недвусмысленно говорят о том, что этих рекомендаций недостаточно.
Глупо думать, будто мы сможем выявить и остановить все будущие атаки. Тем не менее, правительство может предпринять более смелые и решительные шаги, которые существенно помогут защитить его важную информацию и системы, а также пойдут на пользу частному сектору.
Гражданским ведомствам нужны более передовые и совершенные системы кибербезопасности.
Хакеры незаметно взламывали электронную почту в важнейших гражданских министерствах и ведомствах, в том числе, в Министерстве финансов, торговли, сельского хозяйства, энергетики и внутренней безопасности, а также в Национальных институтах здравоохранения. Эти и другие ведомства защищены государственной системой кибербезопасности под названием «Эйнштейн» (Einstein), цель которой состоит в поиске известных компьютерных вирусов и вредоносных интернет-адресов.
Но эта система, управление которой осуществляет Агентство по кибербезопасности и безопасности инфраструктуры, не предназначена для поимки программных обновлений, которые маскируются под подлинные и правильные. Если у обновления есть идентификационные данные, говорящие о том, что его поставил настоящий продавец ПО, «Эйнштейн» поиски прекращает. Эта система не в состоянии проникнуть внутрь самого обновления и подтвердить, что там нет вредоносных кодов. Более того, «Эйнштейн» не может анализировать и разрывать интернет-соединения, которыми могут воспользоваться внедренные вредоносные коды для связи с сервером управления в США. Существуют системы и процедуры, которые могут это делать, хотя и не в полном объеме, но государство их не покупает и не внедряет. Русские определенно знают об этом.
Эксперты из разведывательного сообщества и других организаций уже много лет бьют тревогу, говоря о незащищенности гражданских ведомств. Предпринимаются определенные усилия для исправления ситуации, но в отсутствие центрального органа, который мог бы подталкивать исполнительную власть, делая это активно, последовательно и настойчиво, а также при слабом надзоре конгресса и при нехватке финансирования этих усилий явно недостаточно. Мы себе на беду не хотим признать, что наши противники в киберпространстве ни в чем нам не уступают. Мы мало думаем о киберзащите, так как уверены, что по военному и экономическому потенциалу превосходим всех. Но у этого потенциала есть цифровые уязвимости, а посему такая исходная посылка уже не соответствует действительности.
Нам надо ликвидировать разобщенность систем кибербезопасности.
Даже если бы Агентство по кибербезопасности и безопасности инфраструктуры вместе с партнерами в лице ФБР и АНБ не сосредоточились на защите наших недавних выборов (это было правильно), они все равно не сумели бы предотвратить хакерский взлом. Комиссия по террористическим атакам против Соединенных Штатов (Комиссия 11 сентября) критиковала правительство за барьеры в разведке, которые мешают обмену информацией. Но этот хакерский взлом продемонстрировал не менее серьезную нехватку ресурсов и структурные недостатки, мешающие налаживанию связей между государственным и частным сектором в сфере кибербезопасности.
Эксперты предупреждали о пробелах в системе «Эйнштейн». А средства массовой информации сообщали о том, что органы федеральной власти знали о подозрительных киберсигналах, исходящих из государственных систем. И уж, конечно, нам было известно о российских попытках прощупать в прошлом году наши системы. Наше разведывательное сообщество предположительно следит за деятельностью российских и прочих злоумышленников, стараясь понять их намерения и цели. Однако у нас отсутствует единый центр, куда могли бы стекаться все эти намеки, наводки и аналитические выводы, позволяющие нам предпринимать эффективные действия.
Нам надо принять меры и определить, где внутри нашей страны действуют враги США.
Россия, Китай и прочие страны со знанием дела эксплуатируют два важных упущения в нашей архитектуре кибербезопасности. Они приобретают либо привлекают на свою сторону компьютеры и облачные сервисы в нашей стране, используя их в качестве платформы для проведения злонамеренных киберопераций. Они понимают, что наши спецслужбы сосредоточились на киберактивности за пределами США, и что им в целом не разрешается следить за кознями иностранцев, которые осуществляются с территории нашей страны. Более того, частный сектор, являющийся важной составляющей нашей национальной безопасности, вынужден в основном самостоятельно отражать зарубежные кибератаки, хотя такая ситуация несовместима с обязательством федерального правительства обеспечивать «коллективную оборону» в соответствии с конституцией.
Для устранения этих пробелов необходимо решить ряд невероятно сложных правовых и политических вопросов, касающихся рамок деятельности государства по защите всех нас от зарубежных кибернетических происков. Но мы по понятным причинам проявляем колебания при решении этих вопросов, позволяя противнику и дальше использовать такую ситуацию в своих интересах. Мы должны начать дискуссию и подумать о том, как наша внешняя разведка может взаимодействовать с ФБР и Агентством по кибербезопасности и безопасности инфраструктуры, но таким образом, чтобы это в полной мере соответствовало нашим ценностям и нашей конституции. Так они смогут остановить зарубежную враждебную деятельность в киберпространстве, осуществляемую в нашем внутреннем сегменте интернета.
Чтобы предотвратить этот хакерский взлом, нам пришлось бы собрать и проанализировать информацию из разных разведывательных источников о российских намерениях и деятельности, увязать ее с подсказками и намеками пострадавших ведомств и Министерства внутренней безопасности о подозрительных интернет-соединениях государственных систем, а затем следить за такими интернет-соединениями. Сообщения СМИ указывают на то, что русские использовали внутренний интернет-домен, арендованный у авторитетного и популярного регистратора доменных имен Go Daddy, чтобы управлять вредоносным кодом, внедренным в государственные сети. Обычно необходима санкция на обыск или какое-то другое юридическое разрешение, чтобы ФБР могла полностью просмотреть трафик соединений с подозрительным вредоносным интернет-сайтом. На это уходит несколько дней. В рамках существующей структуры все вышеуказанные шаги невозможно было предпринять достаточно оперативно, чтобы выявить атаку. В будущем нам следует как минимум усовершенствовать структуру, чтобы не допустить распространения таких атак.
Единого структурного или правового решения проблемы зарубежных кибератак не существует. Здесь помогут более действенные санкции против зарубежных противников, а также более эффективные международные усилия, направленные против таких кибератак и на привлечение к ответственности киберпреступников. Работая с государствами-единомышленниками, мы должны усиливать наказание за кибершпионаж и нанесение ущерба в киберпространстве.
Однако вышеизложенные меры нужны и для того, чтобы укрепить оборону федерального правительства и получить более действенные средства борьбы с зарубежными киберпреступниками. Эти меры, а также более активный обмен секретной информацией о методах работы таких злоумышленников с частными компаниями будет во многом содействовать устранению уязвимостей частного сектора, и тогда государству будет легче выполнять свои обязанности. Недавняя изощренная атака в очередной раз продемонстрировала незащищенность частного сектора, потому что ее не заметила даже фирма по обеспечению кибербезопасности «Файр Ай» (FireEye), которая сама могла стать жертвой этого нападения. Взломщики нагло украли некоторые ее киберинструменты, при помощи которых эта фирма проверяла сетевую безопасность своих клиентов.
Пока нет признаков того, что противник обернул это оружие против нас. Более того, мы не знаем, и можем никогда не узнать, что именно искали и нашли злоумышленники в государственных сетях. Следовательно, непонятно, могут ли США рассматривать этот хакерский взлом как шпионаж, которым занимаемся и мы, и все прочие страны, и который не вызывает мер возмездия, выходящих за рамки спецслужб. А может, был какой-то пока не обнаруженный ущерб или кража? Или эти действия были сродни «кибервойне», что требует более жестких и масштабных мер возмездия?
Весь масштаб ущерба, нанесенного нашей стране, пока не установлен. Но мы узнали уже достаточно, чтобы свести к минимуму ущерб от будущих кибератак против нашей страны. Иногда требуется кризис, чтобы пойти на смелые и решительные действия. Благодаря России мы только что получили такой кризис.