Кибербезопасность

В последний год кибервойны из локальных хакерских атак превратились в мощное оружие внешнеполитического давления. Взлом серверов Демократической партии США стал главным событием президентских выборов в США и до сих пор остается хотя и недоказанным, но одним из главных обвинений в адрес России. Republic публикует выдержку из дискуссии экспертов по кибербезопасности, организованной Фондом Егора Гайдара. Насколько оправданны обвинения в адрес России? Так ли сильно кибератаки влияют на отношения между странами? И где проходит тонкая грань между безопасностью и прогрессом?

Какие сейчас есть международные механизмы регулирования кибербезопасности?

Олег Демидов, консультант по кибербезопасности ПИР-центра: Если кратко, то никаких. Если подробнее, то в отношении киберпространства и использования информационных технологий система международной безопасности пока не сложилась. Причина в том, что крайне сложно определить объект договоренностей и зафиксировать понятие ущерба. В случае с оружием массового поражения вы всегда можете четко идентифицировать объект, представить его потенциал, возможные последствия действия и ваших ответных действий и на их основе строить договоренности. В случае с использованием информационных технологий такого нет.

Проблема и с тем, что называть агрессией в киберпространстве. Есть отдельная резолюция Генеральной Ассамблеи ООН, где в числе прочего описаны семь или восемь конкретных случаев, когда действие однозначно считается агрессией. Но этот перечень, составленный в 1970-е годы, никак не адаптирован к использованию информационных технологий. Работа по адаптации международного права к новой технологической среде ведется уже лет пять различными организациями, но она далека от завершения, а правовые наработки, скажем, НАТО никогда не будут приняты кем-то за пределами блока.

Есть точечные договоренности между государствами. В 2013 году у нас была довольно удачная серия двусторонних соглашений с США о выработке мер доверия для предотвращения конфликтов с использованием информационных технологий. Но сейчас все это заморожено.

Андрей Солдатов (журналист, автор книги «Битва за рунет»): Я выступлю в роли пессимиста. Да, линия (горячая линия по вопросам кибербезопасности между Россией и США. – Republic) была установлена в 2013 году, и она существует. Проблема в том, что люди, которые стояли с обеих сторон за этой идеей, имели опыт длительной работы в соответствующих ведомствах – МИДе иГосдепе США – в программе по ядерному разоружению. Их менталитет сложился еще тогда, и они решили, что те же самые методы можно использовать и в новом пространстве. Если вылетела ракета, то сложно сказать, что никто не знает, чья она. С кибератакой все совершенно не так, особенно если речь идет о России, где начиная с 1999 года сложилась практика аутсорсинга и атаки наносятся не людьми в погонах, а людьми, которые стоят рядом или не совсем рядом. Всегда существует пространство для маневра: «мы к этому никакого отношения не имеем». Когда случился кризис 2016 года, эта линия была использована, американцы звонили, но, как и следовало ожидать, это ни к чему не привело.

На уровне международных бюрократических структур типа ⁠ОБСЕ ⁠постоянно идет разговор о том, что ⁠нужно наращивать доверие, но в сообществе ⁠экспертов по кибербезопасности сложилось понимание, ⁠что ⁠это не очень работает. Не только из-за России, но еще и потому, что сейчас идет глобальный отказ от ментальности времен холодной войны. Например, как-то само собой подразумевалось, что лучшими хакерскими державами будут те страны, которые были наиболее технологически продвинуты во времена холодной войны – пять держав с ядерным оружием. Как выяснилось, это уже совсем не так, и Северная Корея показала, что страна, совсем не продвинутая с точки зрения экономики и технического прогресса, может буквально за пять лет нарастить киберпотенциал, достаточный для того, чтобы успешно атаковать такие большие и защищенные страны, как США.

Американцы уже пришли к новой концепции на уровне правоохранительных структур. Существует один успешный пример, когда удалось остановить китайские кибератаки. Но это удалось сделать не потому, что подписали какую-то бумагу, а потому, что подписанию этой бумаги предшествовало формально проведенное правоохранительными органами США расследование. В результате появился документ, где поименно назывались люди, которые отвечали за кибератаку на США, и фактически были предъявлены обвинения. Еще летом многие говорили, что это единственная модель, которая может сработать. Обратите внимание, что не прошло и 10 месяцев, как появились санкции против России, подписанные членами администрации Обамы, и какие-то документы, в которых фактически предъявляются официальные обвинения сотрудникам российских спецслужб. Такое впечатление, что какое-то количество людей в американской администрации верит в то, что с помощью предъявления официальных обвинений можно добиться эффекта сдерживания и остановить атаки. Насколько это сработает, не очень понятно.

Атаки на объекты в США прекратились где-то в сентябре [2016 года], и новых атак – по крайней мере тех, о которых известно, – после этого не было. Что привело к тому, что эти атаки остановились, неясно. Было несколько событий: знаменитый разговор Путина с Обамой, который длился несколько секунд, и Обама сказал: прекратите или будут последствия. Были санкции, были еще какие-то события. То есть американской стороной предпринималось некоторое количество действий. Что-то из этого, видимо, сработало, хотя мы и знаем только часть картины. Но пока эта сфера абсолютно недоразработана, и люди принимают решения, основываясь на конкретных ситуациях. Общего принципа пока не видно.

Обоснованны ли обвинения в адрес российских хакеров?

Андрей Солдатов: Прежде всего: все-таки никто, даже самые большие алармисты в США, не утверждает, что российские хакеры взломали американскую избирательную систему. Речь, по большом счету, идет о взломе почтовых серверов и использовании полученной информации в СМИ и на популярных сайтах типа Wikileaks, чтобы повлиять на общественное мнение. Другой вопрос, повлияло ли это на результаты выборов. Не очень понятно, насколько это было ключевым фактором, потому что было много других моментов. Например, заявление директора ФБР за несколько дней до выборов, что у него остаются вопросы к Хиллари Клинтон по поводу ее электронной почты, могло повлиять намного больше.

Третий вопрос – пытались ли повлиять? Безусловно, пытались. И в этом новизна этого варианта развития событий. Некоторые американские эксперты занимаются этой темой с начала 90-х и регулярно предупреждают администрацию о том, что грядет страшная кибератака. Двадцать лет они существуют, требуют гигантских средств, проводят лекции, разрабатывают программы реагирования, снимают фильмы. Но ничего не происходило. Почему именно сейчас?

Моя теория – совместилось несколько факторов. Длительное время существовали методы взлома критической инфраструктуры, но сейчас можно не только взламывать что-то, но еще и формировать общественное восприятие этих взломов, потому что социальные СМИ позволяют распространять информацию так, как ты этого хочешь. Грубо говоря, ты можешь совмещать активность хакера с активностью троллей, и это может давать совершенно другой эффект.

Олег Демидов: Эта история про совмещение кибератаки и влияние появилась давно. Но раньше она использовалась в гораздо более узком, нишевом исполнении. Например, военными в рамках задач военной пропаганды и контрпропаганды. Давным-давно был эпизод со взломом внутренней сети военных компьютеров вооруженных сил Ирака и рассылка по ним материалов, деморализующих служащих иракских вооруженных сил: «Ребята, не оказывайте сопротивления, сдавайтесь, останетесь в живых. Это гиблое дело – противостояние коалиции». Сейчас стало понятно, что это можно использовать везде. Все игроки, которые используют пропаганду и контрпропаганду, подтянули под эти задачи техническую базу, связанную с кибероперациями. Все этим занимаются – и американцы, и мы. Эти вещи не новые, просто мы видим их применение в новой задаче. Сейчас мы увидели его в качестве средства влияния на электоральный процесс. Завтра увидим еще в каком-то ракурсе.

Насколько сильно кибератаки влияют на отношения между государствами?

Олег Демидов: Насколько вообще международные отношения от всего этого зависят? Зависят. И очень сильно. Ведь нет никакой отдельной сферы киберпространства. Есть дигитализация всех политических процессов – дипломатии, вооруженных конфликтов. Любой вооруженный конфликт сегодня неизбежно включает какие-то военные операции в киберпространстве. Все кирпичики, из которых складываются международные отношения, сильно зависимы от кибербезопасности. На международных площадках это понимают, но прогресс слабый, потому что все эти площадки и механизм их работ заточены под ту систему международных отношений и уровень развития технологий, который сложился после Второй мировой войны.

Что в этой ситуации может помочь? Реальные работоспособные нормы для этой сферы, связанной с использованием цифровых технологий, будут определять провайдеры этих технологий. То есть прежде всего крупнейшие ИТ-корпорации. Последние три-четыре года мы наблюдаем рост интереса корпораций к выработке собственных норм. Уже несколько лет с этими предложениями стабильно выступает компания Microsoft, которая неоднократно страдала от различных киберопераций, потому что при этих операциях использовались уязвимости в ее инфраструктуре. В ряде случаев им потом приходилось свое оборудование, поставленное заказчикам взломанной системы, чинить. Это стоит денег, это стоит репутации. Для телекоммуникационных операторов это тоже актуально, потому что так или иначе все эти атаки идут через них. Для провайдеров услуг в интернете это тоже важно, они становятся жертвами сетевых атак.

Корпорации сами могут договориться на уровне транснационального рынка, выработать политики безопасности, продвинуть их либо в качестве стандарта, либо в качестве рыночного договора и вместе их соблюдать. Подобные вещи могут работать и на устранение тех уязвимостей в их продукции, которые используют в своих операциях государства, потому что практически все государственные кибероперации все равно идут на уровне механизмов. Это не имеет ничего общего с разработкой дипломатических соглашений.

Андрей Солдатов: Я опять выступлю в роли пессимиста. Очень небольшие надежды на то, что это можно сделать. Разговоры о том, что нужно регулировать эту сферу в международном пространстве, начались в конце 90-х годов. В России это совпало с появлением первой доктрины информационной безопасности. С того времени у нас идет бодание с западными экспертами, прежде всего с американскими, по поводу терминов. Американцы говорили, что нужно употреблять термин «кибербезопасность», а российские генералы – что надо говорить «информационная безопасность». В чем разница? Российские генералы с самого начала, до всяких троллей, считали, что нужно регулировать контент, что иностранные СМИ представляют угрозу, что они пытаются внедриться в информационное пространство России. Я даже помню, был термин «психосфера Российской Федерации». Американцы наотрез отказывались об этом говорить.

Что происходит дальше? 2016 год. Все резко начинают обсуждать российских троллей, дезинформацию и так далее. И вдруг оказывается, что уже американские эксперты начинают употреблять термин «информационная безопасность». Люди всерьез говорят, что нужно регулировать контент. И это очень плохо, очень страшно и очень опасно, потому что, как только вы начинаете регулировать контент, вы фактически начинаете составлять списки ресурсов, которые, судя по тому, что они пишут, находятся на содержании какой-то враждебной силы. Очень российский подход, он у нас существует с 2000 года и сейчас начинает распространяться в других странах.

Это приводит нас ко второй проблеме, которая заключается в том, что интернет придуман и создан американцами. От проводов до сервиса, которым мы пользуемся, это все американские технологии. Что это значит? Что огромное количество стран с не самыми демократическими режимами придумали идею цифрового суверенитета. И когда они говорят о цифровом суверенитете – это и Китай, и Россия, – речь фактически идет о том, что нужно что-то сделать с американскими сервисами, потому что они предоставляют нам не только услуги, но и способ донесения контента. А это нужно регулировать.

К чему это может привести и на самом деле уже приводит? Грубо говоря, американские компании должны сдать контроль над интернетом, потому что людям в Москве и в Пекине кажется, что есть такой важный рубильник, который управляет всем, что вообще происходит в интернете. Чиновникам видятся совершенно апокалиптические картины, что можно вырубить интернет жителям какой-то отдельной страны или устроить революцию. Поэтому, боюсь, на уровне компаний это урегулировать не удастся. Компании сами вызывают страшные подозрения у тех, кто продвигает идею цифрового суверенитета. На российско-китайском киберфоруме в апреле прошлого года в Москве Фан Биньсин, создатель китайского файервола, прямым текстом сказал, что если сервис предоставляет американская компания, то это американское государство. Через знак равно.

Насколько адекватен подход России к решению вопросов кибербезопасности?

Андрей Солдатов: Мне кажется, что, к сожалению, после более или менее розового периода президентства Медведева, когда он, видимо, был искренне заинтересован в развитии интернет-технологий в России, мы не просто вернулись в период начала 2000-х, а полным ходом идем к советскому пониманию безопасности. Если вы прочитаете текст доктрины информационной безопасности, вы увидите, что он очень советский. И даже не по языку, а потому, что фактически речь идет о том, что перед внедрением любых новых телекоммуникационных технологий операторы услуг или изобретатели этих технологий должны прийти в российскую спецслужбу посоветоваться – надо внедрять, не надо, как внедрять. Это абсолютное советское безумие, когда госбезопасность решала, как развивать связь. Мы прекрасно помним, к чему это все привело. К моменту распада Светского Союза во всей стране было всего четыре тысячи цифровых линий, которые обеспечивали хоть какую-то связь СССР с внешним миром. Но зато все было очень безопасно.

Олег Демидов: Нынешняя политика преследует химерическую цель с точки зрения ресурсов, – отращивание себе национального суверенитета в области информационных технологий, начиная от железа и микроэлектроники и заканчивая операционными системами и приложениями: российские социальные сети, поисковики и т.д. То есть в последнее время мы осознанно или неосознанно пытаемся заимствовать китайскую модель, не понимая, что сама китайская модель меняется.

Китай завершил долгий период развития внутреннего рынка как самодостаточной экономической модели и в последние годы очень активно выходит на глобальный рынок. Россия не сможет стать Китаем, потому что у нас принципиально другой объем внутреннего рынка. Мы никогда не покроем издержки за счет собственных разработок, мы не нарастим ресурсы, которые позволят нам выживать более или менее комфортно за счет того, что у нас все сервисы будут импортозамещены. Мы просто не сможем это сделать.

В развитии цифровой экономики и вообще цифровых технологий сейчас идут противоречивые волны, внахлест друг против друга. Одна из них – это рост политизации этих процессов, контроля государств над технологиями и бизнесами в IT и попытка прочерчивания национальных границ в этой сфере. Но есть вторая тенденция – чисто техническая или даже бизнесовая. Сложность бизнес-процессов в цифровой экономике нарастает, и это ведет к тому, что их все труднее интегрировать какому-то одному игроку. Когда-то интернет вещей мыслился футуристической игрушкой, а сейчас он становится реально необходимой штукой для того, чтобы, например, оптимизировать распределение электроэнергии. Сейчас это из какого-то уникального преимущества на Западе превратилось в норму. Это единственный способ сделать бизнес прибыльным и оставаться в конкурентном ряду. Но развитие этих технологий требует интеграции огромного количества систем. Ни одна компания не производит всю линейку технологий для интернета вещей самостоятельно.

То же самое, например, на крупных промышленных объектах типа атомной электростанции или нефтехимического завода. Хоть ты обвешайся лозунгами суверенитета, железо у нас на таких объектах западное и западным будет, потому что замещение этой линейки – это почти как космическая программа с нуля. Это очень динамично развивающаяся ниша, и, замещая ее на что-то свое, мы тут же начинаем резко отставать в эффективности технологий. Я не верю, что модель национального суверенитета в этой сфере реально жизнеспособна. Она не работает даже в Китае, потому что они без зазрения совести внедряют западные технологии там, где это эффективнее и где они при всем своем колоссальном экономическом потенциале и безграничном объеме внутреннего рынка не смогли разработать свои.