В самый худший для США момент, когда страна крайне уязвима — идет передача президентской власти, продолжается губительный кризис из-за пандемии — чуждое нам государство взломало сети федерального правительства и многих американских корпораций.
На прошлой неделе фирма кибербезопасности «Файр Ай» (FireEye) сделала заявление, что против нее осуществлена хакерская атака, и что опасности подверглись ее клиенты, среди которых правительство США. На этой неделе мы узнали, что хакерскому нападению также подверглась акционерная компания открытого типа «Солар Виндс» (Solar Winds), поставляющая программное обеспечение десяткам тысяч государственных и корпоративных клиентов.
Злоумышленники получили доступ к программному обеспечению «Солар Виндс» до того, как оно было обновлено на компьютерах клиентов. После этого ничего не подозревающие пользователи загрузили зараженное обновление, в котором была тайная лазейка, позволившая хакерам-взломщикам проникнуть в компьютерную сеть жертвы.
Это называется атака на цепочку поставок, означающая проникновение в сеть объекта нападения благодаря доступу к поставщику. Такая атака требует значительных ресурсов, и иногда на ее осуществление уходят годы. Ее почти всегда осуществляет государство. Собранные улики указывают на то, что взлом «Солар Виндс» осуществило российское разведывательное ведомство СВР (Служба внешней разведки — прим. ред.), чьи методы работы являются одними из самых передовых в мире.
Согласно заявлению «Солар Виндс», поданному в Комиссию по ценным бумагам и биржам, вредоносный код был внедрен в программное обеспечение компании в марте и находился там до июня. Вредоносное обновление могли загрузить 18 000 организаций, в том числе, несекретные сети федерального правительства и более 425 компаний из списка Fortune 500.
Масштабы продолжающейся атаки трудно переоценить.
Русские от шести до девяти месяцев имели доступ ко многим важным и секретным сетям. СВР наверняка воспользовалась этим доступом для получения административного контроля над сетями, которые она считает приоритетными объектами разработки. Что касается этих объектов, то хакеры уже давно прошли точку входа, замели свои следы и получили, как говорят специалисты, «устойчивый доступ». Это значит, что они имеют возможность проникать в сети и управлять ими таким образом, что их трудно выявить и удалить.
У русских не было времени, чтобы установить полный контроль над каждой взломанной сетью, но они наверняка установили его над сотнями сетей.
Понадобятся годы, чтобы наверняка узнать, какими сетями русские управляют, а в какие они просто проникли.
Логический вывод заключается в следующем. Мы должны исходить из того, что Россия контролирует все взломанные ей сети, и действовать соответственно. Однако непонятно, что русские намерены делать дальше. Полученный ими доступ можно использовать отнюдь не только в шпионских целях.
Реальный и кажущийся контроль над таким большим количеством важных сетей легко можно использовать для подрыва общественного и потребительского доверия к данным, к письменной форме общения и к услугам. В подконтрольных им сетях русские могут уничтожать или изменять данные, а также выдавать себя за других людей. Если они смогут оказывать пагубное влияние и заниматься дезинформацией (а это характерные черты российского поведения), внутренняя и геополитическая напряженность легко может усилиться.
Что же делать?
13 декабря Агентство кибернетической и инфраструктурной безопасности, являющееся подразделением Министерства внутренней безопасности (оно само стало жертвой хакерского нападения) издало чрезвычайную директиву, в которой предложило гражданским федеральным ведомствам удалить из своих сетей программы «Солар Виндс».
Цель удаления — остановить дальнейшие утечки. К сожалению, этой меры явно недостаточно, и она очень сильно запоздала. Ущерб уже нанесен, а компьютерные сети уже взломаны.
Кроме того, выполнение указания Агентства кибернетической безопасности практически невыполнимо. В 2017 году федеральное правительство распорядилось удалить из своих сетей программное обеспечение российской компании «Лаборатория Касперского», посчитав его слишком опасным. На это ушло больше года. Даже если мы удвоим темпы работы с программами «Солар Виндс», и даже если пока еще не поздно заниматься удалением, ситуация будет ужасной еще довольно длительное время.
Одна только ликвидация последствий и восстановление потребуют колоссальных усилий. Нужно будет раздельно заменить целые группы компьютеров, сетевого аппаратного обеспечения и серверов в обширных государственных и корпоративных сетях. Но важнейшие сети страны должны будут каким-то образом продолжать свою работу, хотя мы не знаем, в какой степени русские в них проникли и в какой мере русские нами через эти сети управляют. Надо будет обязательно все переделать и с нуля построить новые сети, причем изолированно от взломанных сетей.
В этих сетях должны начать работу охотники за киберугрозами, действующие более незаметно, чем русские. Они должны осуществить поиск скрытых и устойчивых средств управления доступом. Эти профессионалы из сферы информационной безопасности активно ищут, изолируют и удаляют самые хитрые вредоносные коды, обходящие автоматизированные устройства защиты. Это сложная работа, так как русские уже внутри наших систем. И оттуда, изнутри, они будут следить изнутри за каждым шагом.
Закон о бюджетных ассигнованиях на национальную оборону, который каждый год дает Министерству обороны и прочим ведомствам полномочия на осуществление своей работы, в этом году попал в западню межпартийных препирательств. Наряду с другими важными положениями, этот закон дает Министерству внутренней безопасности полномочия на осуществление сетевой охоты в федеральных сетях. Это исключительно важный законодательный акт, а конгрессу придется предпринять еще немало действий, чтобы решить эту проблему.
Сетевые операторы тоже должны немедленно принять меры и более тщательно проверять свой интернет-трафик, выявляя и нейтрализуя необъяснимые аномалии и очевидные дистанционные команды хакеров до того, как этот трафик попадает к ним в сети или уходит из них.
Залатать дыры недостаточно. Действовать надо намного шире. Хотя все указывает на то, что это сделало российское государство, США, а в идеале и их союзники должны публично и официально объявить виновных в этих атаках. Если это Россия, президент Трамп обязан будет четко указать Владимиру Путину на недопустимость таких действий. Американские военные и разведывательное сообщество должны перейти в состояние повышенной боевой готовности. Нужно задействовать все составляющие государственной власти.
Мы должны сохранить за собой право на самостоятельную самооборону, однако союзники тоже должны сплотиться. Коалиции в такой ситуации особенно важны, чтобы наказать Россию и успешно выйти из кризиса, избежав бесконтрольной эскалации.
Президент Трамп близок к уходу. Он уйдет, а после него останется федеральное правительство и большое количество крупных отраслей, чьи сети взломаны российским государством. Он обязан использовать все возможные рычаги, чтобы защитить Соединенные Штаты и сурово наказать русских.
Избранный президент Джо Байден уже сейчас должен приступить к планированию мер по преодолению кризиса. Ему следует исходить из того, что русские читают всю переписку по этому вопросу, и что любые государственные данные и все почтовые сообщения могут быть сфальсифицированы.
В данный момент две команды обязаны найти возможности для сотрудничества.
Президенту Трампу следует забыть про свои обиды и недовольства, связанные с выборами, и управлять страной до конца президентского срока. Ситуация требует единства, целеустремленности и дисциплины. Ни одно суверенное государство не может мириться со столь наглым и масштабным вторжением.
Мы больны, растеряны, а теперь еще и подверглись кибератаке. В такой обстановке уверенное руководство приобретает исключительное значение.
