Недавняя волна громких кибератак, осуществлённых российскими организованными преступными группами, вынудила администрацию президента США Джо Байдена столкнуться лицом к лицу с трудным вопросом: как Соединённым Штатам реагировать на взломы, совершаемые не враждебными иностранными правительствами, а преступными негосударственными субъектами?
В октябре прошлого года российские хакеры атаковали несколько американских больниц с помощью программ-вымогателей, нарушив доступ к электронным медицинским картам, так что персоналу пришлось по памяти собирать буквально по крупицам медицинские протоколы в разгар глобальной пандемии. Семь месяцев спустя, в мае 2021 г., хакеры отключили один из крупнейших топливопроводов в США, что привело к нехватке топлива на Восточном побережье и вынудило оператора заплатить выкуп в размере 4,4 млн долларов для восстановления обслуживания местного населения.
Эти и подобные им атаки являются отрезвляющим напоминанием о том, что критически важная инфраструктура США крайне уязвима и что преступники во всём мире более чем способны использовать её слабые места. Эти атаки также породили нарастающий хор призывов к администрации Байдена не только укрепить киберзащиту США, но и перейти в кибернаступление – «нанести серьёзный киберудар по Путину», как выразился сенатор Джон Кеннеди, республиканец из Луизианы. Но пока администрация взвешивает варианты ответных действий после недавних атак, ей сначала нужно ответить на более фундаментальный вопрос: способны ли Соединённые Штаты на самом деле проводить эффективные наступательные кибератаки против преступников, не поддерживаемых государством?
Президент Байден, похоже, именно так и мыслит. На недавно прошедшем саммите с президентом России Владимиром Путиным он выступил со смелой, пусть и несколько утрированной угрозой, заявив, что Соединённые Штаты обладают «значительным кибернетическим потенциалом», и пообещав «ответить кибератакой», если российские хакеры ещё раз попытаются нарушить работу критически важной инфраструктуры в США.
В прошлом Соединённые Штаты уже пытались провести наступательные кибероперации против негосударственных субъектов, но, по большому счёту, они провалились. В битве с Исламским государством (также известным как ИГИЛ)[1] они начали киберкампанию по уничтожению коммуникационной инфраструктуры этой террористической группы, но ряд серьёзных проблем – в частности, со сбором разведданных, разработкой кибероружия и правовым обоснованием – помешали этим операциям и привели к разочаровывающим результатам. С тех пор Соединённые Штаты добились незначительного прогресса в этом направлении. Чтобы переломить ситуацию с организованными преступными сообществами в России и других странах, Соединённые Штаты должны улучшить свои возможности по сбору разведданных о киберпреступниках, инвестировать в исследования и разработки, необходимые для создания эффективного кибероружия, и создать прочную правовую основу для наступательных киберопераций.
Переосмысливание плана действий в киберпространстве
Недавний всплеск атак с использованием программ-вымогателей, совершаемых негосударственными субъектами, перевернул общепринятые представления о характере киберугроз для США. Эксперты по национальной безопасности США до этого были сосредоточены на подготовке к сценариям типа Армагеддона, в которых иностранные правительства атакуют критически важную инфраструктуру и важнейшие сети. До недавнего времени киберпреступность и другая вредоносная деятельность, осуществляемая независимыми хакерами, почти не вызывала озабоченности на высшем уровне управления страной. В результате система национальной безопасности США не приспособлена для защиты критически важной инфраструктуры страны от кибератак, совершаемых организованными преступными группами.
Обычная программа действий США в ответ на кибератаки, спонсируемые иностранными государствами, к сожалению, не очень полезна применительно к организованной преступности. Типичные меры реагирования на кибератаки, спонсируемые иностранным государством – люстрация, пристыживание, обвинения или санкции в отношении преступников – не удержат российские организованные преступные группы от повторения атак в будущем. Солидные наступательные кибероперации против потенциальных хакеров могут казаться привлекательной альтернативой, но, как показала киберкампания против ИГИЛ, их трудно осуществлять на практике.
В апреле 2016 г., когда США активизировали военную кампанию против ИГИЛ, министр обороны Эш Картер приказал Киберкомандованию США (CYBERCOM) уничтожить коммуникационные сети, используемые ИГИЛ для распространения пропаганды, вербовки новых последователей и планирования атак на американскую родину. Как выразился заместитель Картера Роберт Уорк, Соединённые Штаты начали «сбрасывать кибербомбы» на это террористическое сообщество.
Данная кампания оказалась довольно успешной. Например, крупным наступательным достижением считается кибероперация «Светящаяся симфония», в ходе которой была удалена пропаганда ИГИЛ, и вся компьютерная инфраструктура этой организации начала давать технические сбои. Однако киберкампания против ИГИЛ, хоть и принесла некоторые плоды, в целом оказалась не слишком эффективной. К сожалению, эти плоды медленно созревали и быстро исчезали. Киберкомандованию США удалось закрыть пропагандистские страницы ИГИЛ, но через несколько дней или недель эти же материалы снова всплывали в интернете.
Постоянные трудности со сбором разведданных, разработкой кибероружия и получением необходимых полномочий для проведения киберопераций мешали проведению действенных наступательных киберопераций против ИГИЛ и по-прежнему мешают проведению эффективных киберопераций против других негосударственных субъектов. В большинстве наступательных киберопераций на сбор необходимых разведданных уходят месяцы, а иногда и годы: военным необходим долгосрочный доступ к сетям противника, чтобы знать, на что нацеливаться. Во время кампании по борьбе с ИГИЛ вся мощь разведывательного сообщества США была направлена на эту организацию. Но даже тогда использование террористическим сообществом коммерчески доступных приложений шифрования и специализированных беспроводных сетей свело на нет усилия по сбору разведданных.
Организованные преступные группы, ответственные за недавние атаки с использованием программ-вымогателей в США, являются одними из самых сложных целей для сбора разведывательной информации. Они состоят из хакеров, которые необычайно умело работают в сумрачном и малопонятном мире даркнет, тёмной всемирной паутины – потаенной части интернета, где они могут оставаться практически полностью анонимными пользователями. Эти хакеры дисциплинированно следят за своей оперативной безопасностью, поскольку знают, что агенты американской разведки и правоохранительных органов ищут малейшие лазейки и трещины в их системах.
Если администрация Байдена попытается провести упреждающие кибератаки против такого рода хакеров, проблема сбора разведданных будет осложнена сопротивлением разведывательного сообщества, которое не захочет отказываться от потенциально ценных разведданных ради киберопераций. Эти трения оказывались основным предметом разногласий между военными и разведывательным сообществом на протяжении всей киберкампании по борьбе с ИГИЛ, причём ЦРУ голословно утверждало, будто кибероперации США навсегда уничтожат чрезвычайно ценную разведывательную информацию о сетях террористов.
Такой же архисложной задачей, как и сбор разведданных, является разработка кибероружия для атаки на конкретные сети – процесс, который может занять не один месяц. Кибермиссии не являются универсальными, и большая часть кибероружия индивидуально разрабатывается для сети и программного обеспечения предполагаемой цели. Если кибероружие не будет приспособлено к конкретной цели или будет развёрнуто поспешно или небрежно, его применение может обнажить глобальные изъяны в кибербезопасности и привести к новым масштабным атакам с использованием программ-вымогателей. В настоящее время Соединённые Штаты неспособны разрабатывать кибероружие так быстро или тщательно, как это подчас требуется. Данную проблему можно было бы решить за счёт выделения дополнительных ресурсов, но, скорее всего, это займёт время.
Последним препятствием для наступательных киберопераций против негосударственных субъектов является получение юридического обоснования. Например, в процессе планирования и утверждения операций против ИГИЛ, Киберкомандование получило конкретное разрешение на проведение киберопераций в Афганистане, Ираке и Сирии, поскольку санкции на применение военной силы в данном случае пересекались с международным правом на самооборону, обеспечивая достаточное правовое основание. Однако ИГИЛ удалось перенести свои онлайн-операции в другие страны, включая Россию, где у США не было правовой инфраструктуры для обоснования киберопераций против ИГИЛ. В итоге это террористическое сообщество продолжало онлайн операции в тех странах, где у Киберкомандования были связаны руки в правовом смысле.
Получение юридических санкций на проведение публично раскрываемых наступательных военных операций остаётся сложной задачей, особенно в случае с негосударственными субъектами, такими как российские организованные преступные группы. Более убедительные аргументы можно привести в пользу операций против иностранных правительств – отчасти потому, что Конгресс стал благосклоннее относиться к ним после вмешательства России в президентские выборы в США 2016 года. Но существует чёткое правовое различие между хакерами, работающими на российское правительство, и преступными группами, просто действующими с территории России. Сам Байден отметил, что, похоже, «нет никаких доказательств» того, что российское правительство причастно к каким-либо из недавних атак на США с использованием программ-вымогателей. Это означает, что любое правовое обоснование киберопераций против Москвы было бы в лучшем случае шатким и зыбким.
Творческое наступление
Однако есть обнадёживающие признаки того, что Вашингтон хочет оставить в прошлом слабые результаты киберкампании против ИГИЛ. Хотя три главных вызова, препятствующие эффективному кибернаступлению, остаются, Соединённые Штаты за последние годы значительно улучшили свои возможности ведения кибервойн. Под руководством генерала Пола Накасоне, который был назначен на пост главы Киберкомандования Дональдом Трампом и сохранил этот пост при Байдене, Киберкомандование разработало и провело успешные наступательные кибероперации – например, против военных и разведывательных организаций Ирана и России. Администрация Байдена продемонстрировала готовность поддерживать творческие кибероперации – например, уполномочила ФБР возглавить инновационную кибермиссию по обнаружению и отключению инструментов шпионажа китайского происхождения, обнаруженных на тысячах компьютеров по всей территории США.
Опираясь на эту обнадёживающую динамику, администрации Байдена следует предпринять шаги по разработке более эффективных, быстрых и надёжных вариантов наступления на негосударственных киберпреступников.
Во-первых, разведывательное сообщество США должно активизировать сбор необходимых разведданных о российских и китайских группах, использующих программы-вымогатели, включив их в число приоритетных целей. (В настоящее время аппарат директора национальной разведки даже не упоминает термин “ransomware” или программы-вымогатели в ежегодных докладах с оценкой имеющихся угроз).
Во-вторых, учитывая вёрткий и теневой характер организованных преступных групп, правительство США должно разработать креативные наступательные инструменты, наносящие удары по инфраструктуре киберпреступников, но при этом не затрагивающие гражданское население.
В-третьих, если атаки на критически важную инфраструктуру с целью получения выкупа продолжатся, администрации Байдена нужно создать правовые основы для открытых и явных наступательных действий против негосударственных субъектов, что потребует обеспечения внутренней и международной поддержки таких действий.
Пока правительство США не добьётся значительного прогресса в решении каждого из этих вопросов, политикам придётся признать, что наступательный кибервариант на данный момент нежизнеспособен и что уроки кибербитвы против ИГИЛ не были усвоены.
Foreign Affairs
[1] Запрещено в России.