Оборонительная триада

Стратегия оборонительной триады отличается от того, что делали Клинтон, Буш и теперь Обама. Клинтон в Национальном плане и Буш в Национальной стратегии полагали, что важнейшие инфраструктуры должны сами себя защищать от кибератаки. Были названы 18 инфраструктур, начиная от электроэнергетики и банковской системы и заканчивая продовольственным обеспечением и розничными продажами. Как уже отмечалось, все три президента, пытаясь сократить уязвимые места нашего киберпространства, «воздерживались от регулирования» и в итоге не многого добились. Буш в последний год своего восьмилетнего пребывания в должности президента одобрил подход, в котором в значительной степени игнорируются частные инфраструктуры. Он сконцентрировался на защите государственных систем и создании военного Киберкомандования. Обама реализовывает план Буша практически без изменений.

Федеральное регулирование — это главный инструмент обеспечения безопасности. Оно должно, по крайней мере на первоначальном этапе, сконцентрировать оборонительные усилия только на трех секторах.

Первое — это магистраль. Как отмечалось в третьей главе, существуют сотни интернет-провайдеров, но только пять крупнейших обеспечивают так называемую магистраль Интернета. В их число входят AT& T, Verizon, Level 3, Qwest и Sprint, непосредственно связанные с большинством других интернет-провайдеров страны. Эти компании владеют магистралями, оптоволоконными кабелями, которые оплетают всю страну, проникают в каждый уголок и соединяются с проложенными по морскому дну кабелями, которые связывают Америку со всем остальным миром. Более 90 % интернет-трафика США проходит по этим магистралям, и попасть в любое место страны, минуя их, практически невозможно. Таким образом, если вы защищаете магистральных интернет-провайдеров, вы заботитесь обо всем остальном киберпространстве.

Чтобы атаковать частные и государственные сети, вы должны связаться с ними по Интернету, пройдя на определенном этапе и по магистрали. Вы можете перехватить атаку на входе в магистраль и остановить ее до того, как она попала в сеть. Если это в ваших силах, вам не придется беспокоиться о том, как обезопасить десятки тысяч потенциальных мишеней кибератаки. Представьте: вы знаете, что кто-то из Нью-Джерси собирается подогнать заминированный грузовик к какому-то зданию на Манхэттене. У вас есть выбор: обеспечить оборону каждого важного здания на острове (определив, какие считаются важными) или проверять все грузовики при въезде на любой из 14 мостов и в каждый из четырех туннелей, ведущих на остров.

Проверка всего интернет-трафика до его попадания в магистраль поднимает две важные проблемы — техническую и этическую. Техническая проблема заключается в следующем: трафика много, и никто не хочет, чтобы скорость передачи падала, пока вы ищете вредоносное ПО или атакующие программы. Есть и этическая проблема — никто не хочет, чтобы его электронную почту читали или отслеживали историю посещения веб-страниц.

Техническую проблему позволяют решить уже имеющиеся технологии. Кажется, что по мере увеличения скорости все сложнее сканировать трафик без задержки, если технологии сканирования недостаточно совершенны. Однако несколько компаний продемонстрировали возможность сочетать аппаратное и программное обеспечение, способное сканировать потоки данных в Интернете — маленькие пакеты из единиц и нулей, которые образуют электронные письма или веб-страницы. Сканирование проходит так быстро, что практически не задерживает перемещение пакетов по оптоволоконной линии. При этом проверяются не только строки «куда» и «откуда» (так называемые заголовки), но и данные, в которых может находиться вредоносное ПО. Таким образом, мы можем без задержки проводить глубокое инспектирование пакетов, и технический барьер уже преодолен.

Решить этическую проблему тоже реально. Мы не хотим, чтобы правительство и интернет-провайдеры читали наши письма. Систему глубокого инспектирования пакетов, предлагаемую здесь, можно полностью автоматизировать. Она будет искать не ключевые слова, а определенные паттерны, соответствующие вредоносным программам. Это поиск сигнатур. Если система обнаружит атаку, она может просто отправить пакеты в «черную дыру» киберпространства, уничтожить или послать на карантин для последующего анализа.

Чтобы американцы не опасались, что за ними будет шпионить «Большой брат», глубокое инспектирование пакетов должны проводить интернет-провайдеры, а не государство. Более того, необходим жесткий контроль со стороны Комитета по защите частных и гражданских свобод, дабы ни интернет-провайдеры, ни власти не могли незаконно шпионить за нами.

Идея глубокого инспектирования пакетов не создает риска того, что власти начнут следить за нами, — этот риск уже существует. Как мы видели на примере незаконного перехвата сообщений в администрации Буша, если сдерживание и противовес ослабевают, власти получают возможность проводить незаконную слежку за гражданами. Это беспокоит многих, и беспокойство нужно предотвратить с помощью механизмов реального контроля и жесткого наказания тех, кто преступил закон. Наша вера в право на неприкосновенность частной жизни и гражданские свободы вполне совместима с мерами, которые требуются для защиты нашего киберпространства. Вооружая полицию, мы увеличиваем вероятность того, что некоторые полицейские в редких случаях сумеют использовать оружие неправомерно, но мы понимаем, что нам нужна вооруженная полиция, которая защищает нас, и проводим серьезную работу для предотвращения неправомерных действий со стороны ее сотрудников. Точно так же мы можем установить системы глубокого инспектирования пакетов на магистралях крупнейших интернет-провайдеров, осознавая, что эти системы нужны для нашей же безопасности, и принимая меры против злоупотребления ими.

Как установить такие системы? Системы глубокого инспектирования пакетов должны располагаться там, где оптоволоконные кабели поднимаются со дна океана и оказываются на территории Соединенных Штатов, в точках пиринга, где магистральные интернет-провайдеры связываются друг с другом и с более мелкими сетями, и на других узлах магистральных интернет-провайдеров. Платить за эти системы, наверное, придется федеральным властям, возможно, Министерству национальной безопасности, даже если работой будут руководить интернет-провайдеры и компании, занимающиеся системной интеграцией. Поставщиками сигнатур вредоносного ПО (которые должны разыскивать «черные ящики»-сканеры) станут такие компании, как Symantec и McAfee, которые занимаются компьютерной безопасностью. Интернет-провайдеры и правительственные организации также могут предоставлять сигнатуры.

Системы контроля типа «черного ящика» должны быть связаны друг с другом в закрытую сеть, так называемую внеполосную систему связи (вне Интернета), чтобы их данные можно было быстро и надежно обновлять, даже если возникли какие-то затруднения в Интернете. Представьте, что в киберпространство попадает новая вредоносная программа, с которой никто еще не сталкивался. Этот мэлвер начинает атаковать сайты. Между тем система глубокого инспектирования пакетов связана с компаниями, занимающимися интернет-безопасностью, исследовательскими центрами и правительственными организациями, которые занимаются поиском атак «нулевого дня». В течение нескольких минут, пока вредоносная программа видна, ее сигнатура передается на сканеры, которые начинают ее блокировать и сдерживают атаку.

Предшественник подобной системы уже существует. Крупнейшие телекоммуникационные компании Verizon и AT& T могут на некоторых участках отслеживать сигнатуры, которые прежде только идентифицировали, но не стремятся перенаправлять вредоносный трафик в «черную дыру» (то есть уничтожать), поскольку клиенты, обслуживание которых при этом будет прервано, могут подать в суд. Пожалуй, провайдеры выиграли бы такую тяжбу, поскольку в соглашении об уровне сервиса с клиентами обычно говорится, что они имеют право отказать в обслуживании, если деятельность клиента незаконна или наносит вред сети. И тем не менее в силу обычной юридической осторожности компании делают для защиты киберпространства меньше, чем могли бы. Вероятно, необходимы новые законы и регламенты для прояснения этого сложного вопроса.

Система «Эйнштейн» Министерства национальной безопасности, которую мы обсуждали в четвертой главе, установлена на некоторых участках сети, где правительственные учреждения соединяются с магистральными интернет-провайдерами. «Эйнштейн» контролирует только правительственные сети. У Министерства обороны имеется аналогичная система, использующаяся в 16 точках, где несекретная внутренняя сеть МО связана с общедоступным Интернетом.

Более совершенная система, с более высоким быстродействием, большей памятью, обрабатывающей способностью и с возможностью внеполосного соединения, может помочь минимизировать или пресечь масштабную кибератаку, если такую систему установить для защиты не только правительства, но и всей магистрали, от которой зависят все сети.

Защитив таким образом магистраль, мы сможем остановить большинство атак, направленных на системы госуправления и частного сектора. Независимая Федеральная комиссия по связи обладает полномочиями вводить правила, обязывающие магистральных интернет-провайдеров устанавливать такую систему защиты. Затраты крупные интернет-провайдеры могут переложить на пользователей и провайдеров меньшего масштаба, с которыми они сотрудничают. Или же конгресс должен выделить фонды для полного или частичного покрытия расходов. Пока власти только начинают двигаться в этом направлении, и то лишь для того, чтобы защитить себя, а не сети частного сектора, от которых зависит наша экономика, правительство и национальная безопасность.

От интернет-провайдеров следует потребовать, чтобы они прилагали большие усилия для сохранения чистоты кибернетической экосистемы. Эд Аморосо, глава безопасности компании AT& T, рассказывал мне, что их центр безопасности видит, когда компьютеры клиентов становятся частью ботяета, рассылающего DDoS-атаки и спам. Они знают, какие абоненты заражены, но не осмеливаются информировать их (а тем более отрубать доступ) из опасения, что пользователи перейдут к другому провайдеру или попытаются преследовать их в судебном порядке за вмешательство в личную жизнь. Это уравнение нужно перевернуть с головы на ноги. Интернет-провайдеров необходимо обязать информировать клиентов сети, когда те становятся частью ботнета. Интернет-провайдеры должны отключать доступ, если клиенты не реагируют на подобные предупреждения. От них следует потребовать предоставления бесплатных антивирусных программ для абонентов, как многие уже делают, чтобы повысить пропускную способность сети. Абонентов, в свою очередь, надо обязать использовать антивирусное ПО (предоставленное провайдером или любое другое на их выбор). Мы ведь не позволяем производителям автомобилей выпускать машины без ремней безопасности. Такая же логика нужна и с Интернетом, поскольку пренебрежение компьютерной безопасностью затрагивает проблему национальной безопасности.

Помимо глубокого инспектирования всех пакетов трафика с целью обнаружения вредоносного ПО и блокирования пакетов, которые запускали распознанные атаки, следует предпринять ряд дополнительных шагов для укрепления системы. Во-первых, затратив относительно немного времени и денег, можно разработать программное обеспечение для идентификации трансформированного мэлвера. Это позволит обнаруживать вариации известных сигнатур, которые могут использовать хакеры, чтобы проскочить глубокое инспектирование пакетов. Во-вторых, помимо магистральных интернет-провайдеров к поиску вредоносного ПО должны подключиться власти и крупные коммерческие структуры (например, банки), также заключив соглашения с центрами обработки и размещения данных. В нескольких крупных хостинговых центрах обработки данных, разбросанных по всей стране, сходятся оптоволоконные кабели крупнейших интернет-провайдеров и осуществляется коммутация. Здесь же находятся серверы некоторых крупных организаций, стоящие блестящими мерцающими рядами за ограждениями или скрытые в строго охраняемых помещениях. Операторы этих центров могут выявлять известное вредоносное ПО — это будет второй уровень защиты. Более того, операторы центров обработки данных или сотрудники фирм по обеспечению компьютерной безопасности могут просматривать данные. Центры имеют возможность предоставлять регулируемые услуги по обеспечению безопасности и отслеживать аномальную активность, причиной которой иногда являются необнаруженные вредоносные программы. В отличие от попыток блокировать мэлвер на входе регулируемые услуги позволяют отслеживать подозрительное поведение и аномальную активность пакетов данных. Тем самым увеличивается вероятность обнаружения более сложных двухэтапных атак и программ «нулевого дня». Эти вредоносные программы можно добавлять в список программ для блокировки. Поиски разумно проводить по тем адресам базы данных, куда проник новый мэлвер, тем самым позволяя системе останавливать крупномасштабную эксфильтрацию данных.

Платя интернет-провайдерам и поставщикам услуг по обеспечению безопасности за проверку данных, власти будут удалены от процесса, чтобы гарантировать прайвеси и поощрять конкурентную борьбу. Помимо оплаты власти должны предоставлять информацию о вредоносном ПО, мотивировать компании обнаруживать атаки, создать механизм, позволяющий гражданам быть уверенными, что их частная информация и гражданские свободы надежно защищены. В отличие от единственной линии защиты, применяемой властями (например, системы «Эйнштейн», созданной Министерством национальной безопасности для защиты гражданских федеральных ведомств), это будет многоуровневая система, работу которой обеспечивают несколько провайдеров, что гарантирует инновации и здоровую конкуренцию среди IT-компаний частного сектора. Если правительству станет известно о надвигающейся или начатой кибервойне, ряд федеральных сетевых операционных центров сможет взаимодействовать с частными IT-защитниками и сетевыми операционными центрами ключевых частных организаций и координировать оборону. Для этого властям придется создать специальную коммуникационную сеть, объединяющую сетевые операционные центры, — строго охраняемую, полностью изолированную и отделенную от Интернета (тот факт, что такая новая сеть понадобится, кое-что говорит об Интернете).

Второй элемент оборонительной триады — безопасность электросетей. Спросите себя, как электрораспределительная сеть может быть связана с киберпространством, — так проще всего понять эту идею. Без электричества многие вещи, от которых мы зависим, не работают вообще или работают недолго. Самое простое, что может сделать хакер, чтобы нанести серьезный удар по Соединенным Штатам, — отключить западную или восточную электросети, которые обеспечивают электроэнергией США и Канаду (в Техасе есть собственная сеть). Дублирующие энергетические системы территориально ограничены и печально знамениты тем, что не включаются, когда больше всего нужны. (Так произошло у меня дома буквально вчера, когда молния ударила по местной электростанции и свет в нашем городке отключился. Мой автоматический пусковой генератор просто не сработал.) Можно ли защитить крупнейшие североамериканские системы, состоящие из сотен компаний по производству и транспортировке электроэнергии?

Да, но не без дополнительного федерального регулирования. Первостепенной задачей такого регулирования должно стать отсоединение управляющей сети энергетических компаний от Интернета, а затем введение обязательной аутентификации для доступа в сеть. Это было бы не так дорого, но попробуйте предложить такую идею компаниям-производителям электроэнергии. Если их спросить, какие активы наиболее важны и требуют особых мер кибербезопасности, они ответят, что 95 % их ресурсов не требуют никакого регулирования. Один специалист по кибербезопасности, сотрудничающий с крупнейшими аудиторскими компаниями, рассказал, что задавал руководству каждой из них один и тот же вопрос: «Могли ли вы во время работы с электроэнергетическими компаниями получить доступ к элементам управления электрораспределительной сети через Интернет?» Все шесть компаний ответили утвердительно. Как много времени на это потребовалось? Не более часа. За этот час они успевали взломать веб-сайт компании, проникнуть в закрытую корпоративную сеть, а затем добраться до систем управления. Некоторые аудиторские фирмы сокращают это время, проникая в телефонную сеть, работающую по интернет-протоколам (телефония на базе IP). Телефоны такой сети обычно связаны с Интернетом. Если они располагаются в диспетчерских, то наверняка связаны и с сетью, которая управляет энергетической системой. Удобно, правда? Более того, кое-где команды компонентам электросети посылаются в незашифрованном виде по радиоканалу. Просто сядьте неподалеку, настройтесь на ту же частоту, и, если ваш сигнал сильнее, отдавайте команды (правда, нужно знать, какое для этого используется программное обеспечение). Федеральная комиссия по управлению энергетикой (FERC) грозилась, что с 2010 года начнет наказывать энергетические компании, киберсистемы которых небезопасны. Но только никто не сказал, как комиссия будет вычислять нарушителей, ведь в FERC нет персонала, способного проводить регулярные инспекции. Однако Министерство энергетики США наняло двух экспертов по кибербезопасности, чтобы те определили, достаточно ли защищены 3, 4 миллиарда долларов, выделенные на программу «Умная сеть». «Умная сеть» — идея администрации Обамы сделать электросеть более интегрированной и оцифрованной. Электроэнергетические компании могут претендовать на часть этих денег, если согласны с предложениями Министерства энергетики. В этих предложениях в том числе есть раздел, посвященный кибербезопасности. Однако Министерство энергетики отказывается сообщать, о чем идет речь в этом разделе и кто эти эксперты. Общедоступных стандартов не существует. Если бы они были, налогоплательщики вряд ли согласились бы дать какую-либо часть этих 3, 4 миллиона компаниям, не обеспечивающим безопасность своих систем. Но не ждите, что Министерство энергетики введет такие стандарты, ведь это бы означало воспользоваться этой уникальной федеральной подарочной программой и мотивировать людей работать над безопасностью. Такой намек на регулирование очень напоминает социализм, а это не по-американски. Итак, скоро у нас будет еще более «умная» сеть… и еще менее защищенная. Но как же сделать ее умной и защищенной?

Первым шагом в этом направлении могло бы стать принятие и введение серьезных регламентов для энергетических компаний, согласно которым неавторизированный доступ к сети управления энергосистемой стал бы практически невозможен. Для этого необходимо закрыть все входы в систему управления через Интернет. Кроме того, в точки, где системы управления соединяются с внутренней сетью энергетических компаний, необходимо установить модули глубокого инспектирования пакетов, которые я предлагал разместить на интернет-магистралях. Затем, чтобы еще больше усложнить задачу хакерам, можно потребовать, чтобы командные сигналы, которые поступают на генераторы, трансформаторы и другие ключевые компоненты энергосистемы, были зашифрованы и аутентифицированы. Шифровка сигналов означает, что даже если кто-то проникнет в сеть и попытается дать какую-либо инструкцию генератору, без секретного кода у него ничего не получится. Аутентификация команд подразумевает, что генератор или трансформатор проверяет сигнал с помощью процедуры установления подлинности с целью убедиться в том, что полученный сигнал исходит из надежного источника. Кроме того, на случай захвата части сети в ключевых секциях должна существовать система вспомогательной связи для отправления командных сигналов — это даст возможность при необходимости восстановить питание.

Многие недооценивают опасность атаки на энергосистему. Как сказал мне один чиновник, «отключение электричества происходит часто, но через несколько часов все восстанавливается». Однако так может быть не всегда. Электроснабжение восстанавливается через несколько часов, если оно отключилось вследствие грозы. Но если блэкаут — результат умышленных действий, он может продлиться намного дольше. Согласно так называемому сценарию многократного противостояния, кибератаки разрушают энергосистему, и она выходит из строя на месяцы. Если кто-нибудь разрушит генераторы, как во время проведения учений, для их замены потребуется полгода, поскольку каждый генератор производится по специальному проекту. А если атака произойдет в нескольких направлениях одновременно, а затем повторится после перехода на резервное энергоснабжение, наша экономика может разрушиться, поскольку прекратится поставка продуктов питания и других потребительских товаров, выйдут из строя фабрики, а финансовые рынки вынуждены будут закрыться.

Действительно ли нам необходимо усовершенствованное регулирование? Должны ли энергетические компании больше тратить на защиту своих сетей? Реальна ли эта потребность? Давайте спросим главу американского киберкомандования, генерала Кейта Александера, чьи кибервоины способны разрушить энергосистему любой страны. Считает ли он, зная, какой урон можем нанести мы, что нам нужно лучше защищать собственные электросети? Именно об этом его спросили в 2009 году на заседании Конгресса. Он ответил: «Энергетическим компаниям придется изменить конфигурацию своих сетей… Модернизировать сети, чтобы обеспечить их безопасность. Для этого потребуются немалые средства… А нам нужно поработать с их управляющими комитетами, договориться о повышении тарифов, чтобы они смогли действительно обезопасить сети… Как правительство, заинтересованное том, чтобы наши электросети были надежными, может убедиться в том, что эта надежность обеспечивается?» Немного сумбурно, но генерал Александер, очевидно, имел в виду, что энергетические компании должны принять меры, чтобы наши электросети были безопасными и надежными, а для этого, возможно, потребуются немалые затраты, и в осуществлении этих планов им помогут регулирующие организации. Он прав.

Третьим элементом оборонительной триады является само Министерство обороны. Маловероятно, что противник в рамках крупномасштабной кибератаки не попытается подорвать работу этого министерства. Почему? Если противник нападет на Соединенные Штаты, разрушая частный сектор — энергосистему, трубопроводы, транспортную сеть и банковскую систему, вряд ли это начнется как гром среди ясного неба. Такая кибератака может произойти только в случае обострения отношений между США и атакующей страной. В такой ситуации противник будет опасаться, что вооруженные силы США перейдут к традиционным наступательным военным действиям. Более того, планируя крупную кибератаку, противник должен понимать, что США нанесет ответный военный удар. А кибератака на вооруженные силы США наверняка будет сконцентрирована на сетях Министерства обороны.

Упростим ситуацию. Предположим, что существует три главные сети Министерства обороны. Первая, NIPR-NET, — это несекретная внутренняя сеть, с адресами. mil. NIPRNET связана с Интернетом в 16 узлах. По NIPRNET передаются несекретные данные, но несекретные не значит неважные. Большая часть информации по материально-техническому обеспечению (допустим, едой) циркулирует именно в NIPRNET. Большинство военных подразделений США не смогут продержаться без поддержки частных компаний, и почти все коммуникации происходят в NIPRNET.

Вторая сеть называется SIPRNET и используется для передачи секретной информации. Многие военные приказы рассылаются по SIPRNET. Считается, что существует определенный «зазор» между секретной и несекретной сетями. Пользователи засекреченной сети скачивают данные из Интернета и загружают их в SIPRNET, а вместе с ними сюда могут проникать вредоносные программы. Специалисты по информационной безопасности Пентагона называют это проблемой «доставки ножками».

В ноябре 2008 года шпионская программа российского происхождения начала отыскивать в киберпространстве адреса. mil открытой сети NIPRNET. Когда программа проникла в компьютеры NIPRNET, она начала искать внешние накопители и загружаться на них. Затем началась «доставка ножками». Некоторые из накопителей пользователи вставили в компьютеры засекреченной сети SIPRNET. Что было дальше, можете представить. Поскольку не подразумевается, что засекреченная сеть может связываться с Интернетом, в ней не предполагается наличие вирусов. Поэтому на большинстве компьютеров этой сети не были установлены ни антивирусная защита, ни брандмауэры, ни любые подобные программные средства защиты данных. Короче говоря, компьютеры самой важной сети Министерства обороны защищены меньше, чем, возможно, ваш домашний компьютер.

За несколько часов шпионская программа заразила тысячи засекреченных компьютеров вооруженных сил США в Афганистане, Ираке, Катаре и прочих местах, где базируются подразделения Объединенного центрального командования. Спустя несколько часов высокопоставленный американский офицер адмирал Майк Маллен, председатель Объединенного комитета начальников штабов, понял, как уязвимы его войска. По рассказу одного высокопоставленного источника в Пентагоне, Маллен, услышав доклад специалистов, закричал: «Вы хотите вше сказать, что я не могу полагаться на нашу рабочую сеть?» Сетевые эксперты из Объединенного штаба подтвердили вывод адмирала. Они не были удивлены. А разве адмирал об этом раньше не знал? Шокированный невероятной слабостью, которую майоры и капитаны воспринимали как должное, но скрывали от него, Маллен перевел взгляд на старшего офицера. «Где Джей-3? — спросил он, требуя начальника по военным операциям. — Он об этом знает?» Вскоре Маллен и его начальник, министр обороны Роберт Гейтс, докладывали о своем открытии президенту Бушу. Вероятно, SIPRNET взломали. Сетецентричное преимущество, которым так гордились американские вооруженные силы, может оказаться ахиллесовой пятой. Пожалуй, Маллену не стоило так удивляться. По всему миру расположено около 100 тысяч терминалов SIPRNET. Если у вас получится остаться с одним из них наедине всего на несколько минут, вы сумеете загрузить туда вредоносное ПО или установить связь с Интернетом. Один мой друг рассказывал, что до одного терминала SIPRNET на Балканах могли спокойно добираться российские «миротворцы», оставаясь незамеченными. Точно как во время Второй мировой войны, когда союзникам нужен был только один экземпляр германской кодирующей машины «Энигма», чтобы прочитать все шифровки нацистов, так и сейчас достаточно одного терминала SIPRNET, чтобы установить программу, которая нарушит работу всей сети. Несколько специалистов, занимающихся проблемами безопасности SIPRNET, подтвердили мой вывод. Как сказал один из них, «приходится допускать, что она может не работать, когда нам это необходимо». Он объяснил, что, если во время кризиса противник выведет из строя эту сеть или, что еще хуже, отдаст фальшивые приказы, «американские вооруженные силы окажутся в очень невыгодном положении». И это мягко сказано.

Третья сеть Министерства обороны — это совершенно секретная режимная сеть JWICS. Эта более закрытая сеть служит для обмена сверхсекретной информацией. Ее терминалы располагаются в специальных секретных режимных помещениях. Доступ к ним еще более ограничен, но информация, передающаяся по сети, должна пройти по оптоволоконным кабелям, через маршрутизаторы и серверы, как и в любой другой сети. Кто-нибудь может атаковать маршрутизаторы, и связь нарушится. Аппаратное обеспечение, используемое в компьютерах, серверах, маршрутизаторах, коммутаторах, может быть взломано на этапе производства или позднее. Поэтому нельзя сказать, что эта сеть безопасна.

Согласно плану CNCI, Министерство обороны приступает к реализации программы по модернизации систем безопасности всех трех типов сетей. Некоторые аспекты этой программы секретны, многие дорогостоящи, на осуществление иных потребуется много времени. Один из вариантов — использование лазеров с высокой пропускной способностью для передачи сообщений через спутники. Если допустить, что спутники защищены от взлома, такая система способна уменьшить количество уязвимых мест, которые имеются в оптоволоконных кабелях и маршрутизаторах, разбросанных по всему миру. Однако есть несколько важных и не столь разорительных для бюджета конструктивных принципов использования доступных технологий, которые следовало бы включить в программу Министерства обороны:

— помимо защиты самой сети, нужно защищать конечные точки; устанавливать брандмауэры, анти-вирусные программы и программы предотвращения вторжений на все компьютеры сетей Министерства обороны, независимо от того, связаны они с Интернетом или нет;

— требовать от пользователей всех сетей Министерства обороны подтверждать свою личность при регистрации в сети как минимум по двум признакам аутентификации;

— сегментировать сети в подсети и установить для пользователей, желающих выйти за пределы своей подсети, ограниченный «принцип необходимого знания»; [14]

— не ограничиваться существующей практикой группового шифрования, согласно которой шифруется весь трафик, идущий по магистральному оптоволоконному кабелю, и шифровать все файлы на компьютерах, включая информацию, находящуюся на серверах хранения данных;

— отслеживать все сети на предмет новых несанкционированных соединений, автоматически отключая неизвестные устройства.

Даже если сети Минобороны защищены, всегда есть риск того, что программные и/или аппаратные средства, обеспечивающие работу систем вооружения, могут быть взломаны. Мы знаем, что проектная документация нового истребителя F-35 была выкрадена в результате взлома сети военного подрядчика. А что, если хакер дополнил проекты невидимой программой, которая при поступлении определенной команды, переданной с любого истребителя противника, вызовет сбой в системе, когда самолет будет находиться в воздухе? Подобные логические бомбы могут быть спрятаны среди миллионов строк кода F-35, в любой из множества встроенных программ или в компьютерной аппаратуре истребителя. Как сказал мне один пилот: «Современный самолет, будь то „F-22 раптор“ или „боинг 787“, — это просто набор программ, который, как ни странно, летает по воздуху. Напутайте что-нибудь в этих программам, и он перестанет летать». Я считаю, что аэробус Air France, который потерпел крушение в Южной Атлантике, разбился потому, что его компьютер принял неверное решение.

Компьютерные микросхемы, которые используются в американском вооружении, так же как и некоторые компьютеры или компоненты, производятся в других странах. Самая вездесущая операционная система в Министерстве обороны — Microsoft Windows — разрабатывается по всему миру и славится своей уязвимостью. Проблемы с каналами поставок не так-то легко и быстро разрешить. Этой сфере в том числе уделялось особое внимание в плане Буша 2008 года. Сейчас в США строятся новые предприятия по производству микросхем. Некоторые компании частного сектора создают программы, проверяющие другие программы на наличие багов. Помимо срочного укрепления безопасности сетей Пентагон должен также разработать специальную программу по стандартизации, контролю и исследованию, чтобы гарантировать, что программное и аппаратное обеспечение, используемое в ключевых системах вооружения, командном управлении и логистике, не имеет лазеек и логических бомб.

В этом и заключается стратегия оборонительной триады. Если бы администрация Обамы и конгресс согласились укрепить интернет-магистраль, разделить и обезопасить контроль над энергосистемой и добиться повышения безопасности IT-систем Министерства обороны, мы заставили бы потенциальных нападающих засомневаться в том, насколько успешной может оказаться их масштабная кибератака против нас. И даже если бы они решились на атаку, оборонительная триада смягчила бы ее последствия. На данном этапе сложно сказать, какие затраты потребуются на эти программы, но сам процесс их реализации займет около пяти лет. И на протяжении этого срока мы сумеем извлечь пользу, поскольку противникам все сложнее будет осмелиться развязать кибервойну против нас. До тех пор, пока мы не начнем осуществлять этот план или какую-либо другую подобную стратегию, охватывающую и частный сектор, кибервойна для США будет нежелательным развитием событий.

Если мы примем оборонительную триаду, то получим возможность делать заявления, которые помогут нам сдерживать противников от попыток кибератак. Иногда обычные слова, которые не стоят денег, могут обеспечить безопасность, если они обоснованы. Вершина триады — декларируемая стратегия, объявляемая тем странам, которые раздумывают о вторжении в наше киберпространство. Декларируемая стратегия — это официальное объявление стратегии и планов властей. Сейчас у нас нет официальной стратегии, объявляющей, как мы намерены реагировать на кибератаку и относиться к ней. Наши противники могут счесть, что реакция США на кибератаку будет минимальной или непрогнозируемой.

Мы не хотим оказаться в ситуации, в которую попал Джон Кеннеди после того, как обнаружил, что на Кубе размещены ядерные ракеты. Он заявлял, что любая такая ракета, направленная с Кубы кем бы то ни было (СССР или Кубой) на «любую страну в этом полушарии, будет рассматриваться как нападение Советского Союза на Соединенные Штаты и потребует от нас полномасштабного реагирования». Эти слова пугали, когда я услышал их в 20 лет, пугают они и сейчас. Бели бы США заявили об этом до того, как ракеты были дислоцированы на Кубе, Кремль, возможно, их бы там и не стал размещать.

Публичное заявление о наших действиях в случае кибератаки тем не менее не должно ограничивать будущие решения. В словах должна быть некоторая «конструктивная неопределенность». Если кибератака произойдет, мы не будем наверняка знать, кто ее инициировал, и этот факт необходимо учитывать в декларируемой стратегии. Представьте, что Барак Обама обращается к выпускному классу одной из четырех американских военных академий. Он обводит взглядом новоиспеченных офицеров и их родителей, а затем говорит: «Позвольте мне обратиться к любой стране, которая задумывает использовать против нас кибероружие. Соединенные Штаты к любой кибератаке, которая разрушит или нанесет урон нашим вооруженным силам, нашему правительству, нашим важнейшим инфраструктурам, отнесется так же, как к наступательной, направленной на те же цели и имеющей такие же последствия. Мы будем считать это враждебным актом на нашей территории. В ответ на подобную агрессию в нашем киберпространстве я, как главнокомандующий, облачу страну в доспехи могущества и не стану ограничивать нас в масштабах и видах ответных действий». Доспехи могущества — выражение из президентского лексикона. Оно означает, что он может пустить в ход дипломатическое, экономическое, кибернетическое или наступательное оружие (которое будет соответствовать ситуации), принимая во внимание атакованный объект и последствия.

Специалисты по международному праву будут спорить о словах «не стану ограничивать», замечая, что ответные действия, согласно международному законодательству, должны быть соизмеримыми с атакой.

Однако заявление о том, что отклик может быть несоизмерим, — это дополнительное средство устрашения. В ядерной стратегии эта идея — мобилизация всех сил в ответ на атаку меньшего масштаба, а затем предложение прекратить военные действия — называлась эскалацией превосходства. Она посылает сигнал, что вы не желаете вовлекаться в затяжной вялотекущий конфликт. Президент должен иметь такую альтернативу независимо от того, воспользуется он ею или нет.

А что, если (скорее всего, так и будет), возникнет проблема атрибуции и противник спрячется за «юбками» гражданских «хактивистов» или станет утверждать, что атака просто транзитом прошла через его страну, а не началась в ней? Предвидя такое заявление, Обама делает паузу в выступлении, а затем добавляет: «Нас не введут в заблуждение утверждения, что атака была делом рук гражданских „хактивистов“ и ее источник установить нелегко. Мы способны определить авторство. Более того, мы сохраняем за собой право рассматривать отказ своевременно прекратить атаку, исходящую из страны, как подтверждение того, что правительство этой страны участвует в атаке. Мы также будем считать отсутствие серьезного сотрудничества в расследовании атак равноценным участию в атаке».

Доктрина Обамы должна быть доктриной киберравнозначности, согласно которой кибератаки будут оценивать по их последствиям, а не средствам. Они будут приравниваться к наступательным действиям и, возможно, повлекут за собой ответные действия — наступательные или другие. Вывод заключается в том, что государства несут национальную ответственность за киберпространство и обязаны оказывать помощь, то есть в их задачи входит задача предотвращать враждебные действия, исходящие с расположенных в их стране серверов, выслеживать, изолировать и привлекать к судебной ответственности тех, кто использует их киберпространство для разрушения и повреждения систем других стран. Америка тоже будет связана этими обязательствами, и ей придется отключать ботнеты, атакующие, допустим, Грузию из Бруклина. Если бы магистральные интернет-провайдеры сканировали свои сети, обязанность содействовия было бы очень легко исполнять.

Исходя из этой доктрины, Соединенные Штаты должны будут заявить о том, что любую кибератаку, приведшую к разрушению или нарушению деятельности систем, мы не будем считать более допустимой по сравнению с наступательными боевыми действиями просто потому, что она не сопровождалась ослепительными взрывами и горами трупов. Если президент примет какую-либо программу, подобную оборонительной триаде, у США появится надежная кибероборонная стратегия.

Итак, когда мы выработаем разумную концепцию обороны, сможем ли мы тогда перейти в нападение, используя новых кибервоинов для достижения военного превосходства в киберпространстве во славу Соединенных Штатов Америки?