Третья мировая война. Какой она будет
Шрифт:
В 2009 году организатор конференции Джефф Мосс порвал с многолетней традицией, запланировав в рамках Black Hat одну встречу, доступную не для всех участников. Мосс, который, кстати, на протяжении всей конференции одевался только в черное, ограничил количество гостей на этом собрании 30 вместо обычных 500–800 человек, которые посещают каждую из шести одновременных сессий, что проходят не менее пяти раз в день. На закрытом заседании присутствовали только «старики», те, кто знал, где скрыты виртуальные «тела» в киберпространстве, — бывшие правительственные чиновники, действующие бюрократы, начальники служб безопасности крупнейших корпораций, ученые и старшие должностные лица IT-компаний. Мосс задал им вопрос: «Каких действий мы хотим от Обамы, чтобы защитить киберпространство?» В каком-то странном порыве администрация Обамы назначила Мосса членом консультативного совета по вопросам национальной безопасности, поэтому появился шанс, что он сумеет донести до Белого дома выработанное общими усилиями мнение, если, конечно, его удастся сейчас выработать. Ко всеобщему удивлению, группа достигла согласия по нескольким вопросам — и резкого разногласия
Во-первых, все одобрили идею возвращения к временам, когда федеральное правительство спонсировало исследования и разработки в области кибербезопасности. Этим занималось Агентство перспективных исследований, которое финансировало создание Интернета, но при Буше сфера интернет-безопасности была, по существу, заброшена в пользу сетецентричных приемов ведения войны, без всякого внимания к тому факту, что подобные приемы осуществимы только в условиях безопасного киберпространства.
Во-вторых, незначительное большинство высказалось в пользу разумного регулирования некоторых аспектов кибербезопасности, к примеру принятия федеральных нормативов для операторов интернет-магистралей. Удачной была идея, что правительственные регулятивные органы должны только определять цели, а не контролировать каждый шаг, диктуя средства их достижения. Большинство, однако же, считало, что влиятельные заинтересованные группы в Вашингтоне убедят конгресс заблокировать любые шаги, направленные на регулирование в данной сфере.
В-третьих, было отмечено, что беспокоиться о том, кто провел кибератаку, думать о проблеме атрибуции бесполезно: лучше сконцентрироваться на устойчивости к внешним воздействиям — концепции, которая допускает возможность вредоносной и даже разрушительной атаки и поддерживает идею заблаговременного планирования действий, направленных на восстановление после таких разрушений.
В-четвертых, все единодушно сошлись на том, что не должно быть возможности соединения между локальными сетями и Интернетом. Идея отделения критической инфраструктуры от доступного Интернета оказалась вполне очевидной для этих опытных специалистов в сфере кибербезопасности. Идеи администрации Обамы об «умной» электросети резко критиковали и несколько сотен других специалистов по кибербезопасности, именно потому, что вследствие реализации этих планов энергетические сети, без которых не обходится ни одна другая инфраструктура, станут еще уязвимее перед угрозой неавторизированного вторжения анонимных хакеров, бродящих по Интернету.
Последний пункт, по которому сошлись «мудрейшие мужи» (в числе которых было трое женщин), заключался в следующем — ничто не сможет избавить нас от бед киберпространства до тех пор, пока кто-нибудь не возьмет на себя руководство, которого сейчас так не хватает. В этом наблюдении присутствующие руководители лучших специалистов по кибербезопасности в стране не видели никакой иронии. Они ждали руководства со стороны администрации Обамы. На тот момент Белый дом уже предлагал 30 экспертам возглавить работу по кибербезопасности в администрации президента. Поиски продолжались в Вашингтоне, в то время как здесь, в холле внизу, продолжалась демонстрация того, как нужно взламывать системы. Пока мы, «идейные лидеры», выходили из зала «Помпеи» в некотором унынии и в надежде на руководство, из зала «Везувий» то и дело раздавались возгласы одобрения — кто-то из хакеров «ломал» очередной iPhone. Мы не бросились туда, чтобы посмотреть, какое приложение взломали, а вместо этого направились к столам для блэкджека, где было меньше шансов проиграть, чем у американских компаний и правительственных организаций, мечтавших о безопасном киберпространстве.
Когда и левые и правые не соглашаются с предложенным вами решением, это означает две вещи: 1) вероятно, вы на правильном пути; 2) у вас практически нет шансов на то, что ваше решение одобрят. Многое из того, что нужно сделать для обеспечения кибербезопасности Америки, предают анафеме и левая и правая стороны политического спектра. Именно поэтому никакие серьезные меры до сих пор не приняты.
Я проанализирую, что можно с этим сделать, в следующей главе, но сейчас могу сказать вам, что некоторые из идей потребуют регулирования, а для реализации других потребуется нарушить принцип прайвеси — неприкосновенности частной жизни.
Требовать нового регулирования и создавать риски нарушения прайвеси в Вашингтоне — это все равно что ратовать за насильственные аборты. По моему убеждению, регулирование, по сути своей, нельзя считать ни хорошей, ни плохой мерой — все зависит от того, о каком регулировании идет речь.
Федеральные регуляционные нормы в стиле 1960-х, как правило, полезны для вашингтонских юридических контор, где они были написаны и где способы их обойти обойдутся вам в тысячу долларов за час. Разумное регулирование, подобное тому, которое обсуждалось на конференции Black Hat, формулирует конечную цель и позволяет организациям самостоятельно решать, как ее достичь. Регулирование, которое поставило бы американские компании в экономически невыгодное положение по сравнению с иностранными конкурентами, неблагоразумно, но регулирование, требующее от пользователей минимальных затрат, не кажется мне проделками дьявола. Регулирование, без согласия и даже насильственное, бесполезно почти так же, как требование обязательного присутствия федеральных чиновников на всех заседаниях. Проверка, проводимая третьей стороной, и удаленное подтверждение согласия кажутся вполне разумными подходами. Отказ от регулирования, проверок, вмешательства часто заканчивается событиями, подобными кризису 2008 года и рецессии или использованию свинцовых белил при изготовлении детских игрушек. Чрезмерное регулирование создает искусственно завышенные розничные цены и требования, которые практически (или совсем) не помогают решить изначальную проблему и подавляют креативность и инновации.
В том, что касается прав на неприкосновенность личной жизни и гражданских свобод, я гораздо более категоричен. Мы должны следить, чтобы правительство не нарушало наши права. И это не беспочвенное опасение. Положения Закона о патриотизме, [10] исполненные благих намерений, в последние годы приводили к многочисленным злоупотреблениям. Другие нормы, препятствующие деятельности правительства, включая сформулированные в Билле о правах и законе о надзоре за иностранными разведками, просто игнорировались. Если меры, необходимые для обеспечения кибербезопасности, открывают возможность дальнейших злоупотреблений со стороны правительства, нам понадобится сделать больше, чем просто принять законы, объявляющие такие действия правительства нелегальными. Это не всегда останавливало их в прошлом (да, мистер Чейни, я вспоминаю вас и здесь). Нам нужно будет создать уполномоченные независимые организации, чтобы следить, не допускаются ли нарушения, и возбуждать дела против тех, кто нарушает принцип прайвеси и гражданские свободы. Самый безопасный путь справиться с этой угрозой — не создавать новые программы, с помощью которых правительственные чиновники могут нарушить наши права. Однако в случае кибервойны могут быть такие ситуации, когда нам придется проверять, возможно ли установить эффективную защиту и запустить новые программы, рискуя нарушить прайвеси.
10
Закон о патриотизме, принятый в 2001 году, расширяет полномочия федерального правительства по расследованию террористической деятельности и преследованию лиц, подозреваемых в такой деятельности. В частности, закон разрешает властям задерживать иностранцев на срок месяц и более без предъявления обвинений и проводить закрытые судебные слушания таких дел.
Одной из причин нашей неготовности защищать себя является любопытный феномен. Помните мальчика, который кричал: «Волк! Волк!»? Иногда мальчик, который кричит «Волк!», видит приближение хищника раньше всех остальных. Объединенная комиссия по безопасности 1994 года, комиссия Марша 1997 года, комиссия Центра стратегических и международных исследований 2008 года, комиссия Национальной академии наук в 2009 году и многие другие говорили о кибербезопасности и угрозе кибервойны. Их критиковали, ставя в один ряд с Кассандрами, которые пророчат бедствия. На Землю упадет гигантский метеорит! Изменение магнитных полюсов Земли вызовет солнечный ветер, который уничтожит атмосферу! Почти все настоящие специалисты в соответствующих областях верят, что сценарий с гигантским метеоритом и солнечным ветром вполне реален. Вопрос лишь в том, когда это произойдет. Поэтому, возможно, нам не стоит слишком беспокоиться. Разнообразные комиссии и рабочие группы, предупреждающие об опасности кибервойны, с определением сроков не ошибались. Они говорили нам, что пока есть время на принятие предварительных мер. Следует помнить, что, несмотря на плохую репутацию, Кассандра не ошибалась в своих предсказаниях — просто из-за проклятия Аполлона ей никто никогда не верил.
К сожалению, слишком многие верят в угрозу кибертерроризма. А кибертерроризм — это утка, отвлекающий маневр. Слова «кибер» и «терроризм» вообще не следует употреблять вместе, поскольку они вызывают в уме образ Бен Ладена, ведущего кибервойну из пещеры. Наверное, он на это не способен, по крайней мере, пока (более того, он живет вовсе не в пещере, а скорее на какой-нибудь уютной вилле). На самом деле у нас нет надежных доказательств того, что террористы когда-либо проводили кибератаки на инфраструктуру. До настоящего времени террористы не проводили крупных атак в Интернете и не использовали Интернет для атаки физических систем, но с помощью Интернета планировали и координировали атаки на посольства, железные дороги, гостиницы. Они используют Интернет для привлечения финансов, поиска новобранцев и обучения. Когда «Аль-Каида» лишилась учебных полигонов после 11 сентября, многое из того, что происходило там, переместилось в Интернет. Дистанционное обучение с видеороликами о том, как создавать взрывные устройства из подручных средств или отрубать головы, так же эффективно, как и занятия на полигонах. Кроме того, благодаря Интернету террористам не приходится собираться в одном месте, что раньше давало международным правоохранительным органам прекрасную возможность поймать предполагаемых террористов или нанести по ним ракетный удар. Интернет-обучение представляет большую опасность и приводит к многочисленным атакам «волков-одиночек» — террористов, никак не связанных с центром «Аль-Каиды». Но особенно эффективно «Аль-Каида» и другие группы используют Интернет для пропаганды. Распространяя видеоролики с отсечением голов и радикальныой интерпретацией Корана, террористические группировки сумели достучаться до широкой аудитории, сохраняя при этом относительную анонимность.
Если «Аль-Каида» до сих пор еще не проводила кибератак, все запросто может измениться. С каждым годом стоимость и прочие входные барьеры, ограничивающие использование этой технологии, снижаются. Чтобы провести разрушительную кибератаку, не требуется больших производственных затрат, как, допустим, для создания ядерной бомбы. Однако в контрольном программном обеспечении электросети разобраться способен далеко не каждый. Одно дело — найти способ взломать сеть, и совсем другое — знать, что делать, когда вы проникли внутрь. Хорошо спонсируемые террористические группировки могут найти профессиональную хакерскую тусовку, которая согласится провести кибератаку за большие деньги, но до сих пор такого не случалось. Вероятно, потому, что большинство хакеров считают представителей «Аль-Каиды» ненормальными, опасными и ненадежными. Если преступные хакерские группировки думают так, значит, террористам вряд ли удастся сработаться сними.