Майкл Ассанте — президент Национального управления аудиторов информационной безопасности. Ранее он занимал должность директора по безопасности North American Electric Reliability Corporation — организации, отвечающей за надежность работы электроэнергетических систем Северной Америки.

Кадры трясущегося и дымящегося генератора оказались достаточно выразительными, чтобы просвещенные умы начали обсуждать возможные последствия подобного вторжения. Описывались сценарии массированных атак на американскую национальную инфраструктуру, ведущих к многомесячным отключениям электроэнергии, заражению источников воды и промышленным катастрофам. Это вам не «падение» сайта Facebook: исследователи всерьез забеспокоились, как бы государство не осталось без света.

В 2010 году произошло еще одно событие: через киберпространство незамеченным распространился червь Stuxnet, способный вывести из строя промышленные системы. Своим появлением он дал миру понять, что самые ужасные гипотетические сценарии, рожденные в умах после эксперимента Aurora, запросто могут воплотиться в жизнь. С тех пор угроза стала реальной и вполне ощутимой. Впервые СМИ всего мира описали реальные случаи нанесения физического ущерба оборудованию посредством атаки с удаленного компьютера. Общественное воображение рисовало ядовито дымящиеся развалины химических заводов и взрывы, сотрясающие электростанции по всей стране.

Этот новый образ кибернетических угроз полностью разрушил привычные представления о том, что кибербезопасность — забота и удел исключительно компьютерного мира. Противостояние компьютерным атакам превратилось в дело государственной важности, поскольку некоторые их виды перестали быть сферой интереса исключительно правоохранительных органов и стали рассматриваться на уровне Пентагона и Агентства национальной безопасности, других военных и разведывательных ведомств. До Aurora и Stuxnet лидеры государств могли себе позволить игнорировать или терпеть большинство кибератак, без лишнего шума проводя расследования и осуществляя долгосрочные программы, направленные на повышение информированности граждан и взращивание более разумных и ответственных участников компьютерной экосистемы. Видя заголовки статей о киберугрозах, большинство граждан раньше привычно пропускало эти ставшие обыденностью сообщения. Вирусы, кража идентификационных данных, WikiLeaks, даже крупномасштабные финансовые мошенничества воспринимались в сознании общества как некая повседневность, неизбежные побочные эффекты развития Всемирной сети. Большинство понимает, что данные риски существуют и что потери могут быть очень большими, но, в конце концов, не отказываться же из-за этого от электронной почты, Facebook и мгновенного доступа практически к любой информации.

Кибернетический риск — как будто бесплотная угроза: незаметная, часто не оставляющая следов и воспринимаемая обществом как неизбежное зло, как нагрузка к колоссальным усовершенствованиям, ставшим возможными благодаря Интернету. Редко подобные угрозы способны по-настоящему напугать людей, и еще реже они проявляются в такой форме, что в голову может прийти мысль о необходимости вмешательства правительства, не говоря уже о военных. Хотя утрата информации и денежные потери вполне реальны и имеют конкретные последствия, сами киберугрозы лишены такой отчетливости, поэтому в сознании не возникает ощущения реальной опасности. Главы государств могут публично признать негативные последствия и подвергнуть порицанию акты, приводящие к хищению информации или финансовому ущербу для организаций, однако они не склонны сразу же реагировать на подобные инциденты и применять инструменты национальной власти. Ведь киберугроза не требует безотлагательных мер и ее можно отдать на рассмотрение профессионалам, так как она не способна подорвать доверие нации к своему лидеру. Но Stuxnet опроверг это правило — киберугрозы стали реальной и осязаемой опасностью.

Stuxnet донес до американского президента и лидеров других развитых стран идею о том, что кибератаки потребуют использования рычагов национальной власти. В опубликованной «Международной стратегии по киберпространству» Белый дом четко изложил доктрину национальной безопасности по отношению к кибератакам. В этом документе прямо говорится: «В соответствии с Уставом ООН государства имеют неотъемлемое право на самооборону, которое может быть использовано в ответ на определенные агрессивные деяния в киберпространстве». При этом четко обозначены цели и задачи обороны государства: «США наряду с другими странами будут поощрять ответственное поведение и противодействовать тем, кто пытается нарушить работу сетей и систем. Правительство США будет препятствовать совершению злонамеренных деяний путем убеждения или иных мер воздействия и оставляет за собой право по мере необходимости адекватно защищать жизненно важные активы страны».

В сентябре 2007 года эксперимент ученых из Национальной лаборатории Айдахо поставил ребром вопросы о связи кибербезопасности с физической безопасностью и о необходимости оградить государство от атак, совершаемых в киберпространстве

Упомянутое право на оборону может быть использовано и для защиты государств-союзников: «При наличии достаточных оснований Соединенные Штаты ответят на враждебные действия в киберпространстве, как и на любые другие угрозы нашей стране. Мы признаем, что некоторые враждебные акты, осуществляемые через киберпространство, могут вынудить нас на действия, обусловленные нашими обязанностями по международным соглашениям с нашими военными партнерами. Мы оставляем за собой право использовать все необходимые средства — дипломатические, информационные, военные и экономические — в соответствии с применимыми международными законами, чтобы защитить свое государство, своих союзников, своих партнеров и свои интересы. При этом мы по возможности переберем все остальные варианты, прежде чем перейти к применению военной силы; мы тщательно взвесим все издержки и риски действий в сравнении с предполагаемыми потерями при бездействии и будем действовать в строгом соответствии со своими ценностями и правовыми нормами, по возможности ища широкой международной поддержки».

Тем самым Белый дом четко дает понять, что разрабатывается стратегия сдерживания и убедительного ответа, которая будет опираться на истолкование одних актов в качестве вопросов полицейского правоприменения с реальными последствиями для субъекта деяния, а других — в качестве вопросов национальной безопасности, способных повлечь за собой военный ответ. Появление понятия военного ответа на кибератаку, включающего в себя применение силы для защиты государства, — это прямое следствие тех опасностей, которые стали ощутимыми и реальными после атаки вируса Stuxnet и возникновения ему подобных угроз.

Кроме четкой политики сдерживания и военного ответа, атаки подобного типа оправдывают введение мощной согласованной внутренней политики по обеспечению защиты внутренней критически важной инфраструктуры. Сегодня у владельцев коммерческих структур нет убедительных стимулов вкладывать достаточно средств, чтобы предотвратить данные риски, а это приводит к неполноценной защите систем и активов. Многие призывают создать мощный законодательный каркас для защиты всех критически важных инфраструктур и тем самым снизить вероятность успеха кибератак и справиться с вторжением, подобным Stuxnet.

Регулирование данной сферы со временем, конечно, станет необходимостью, но не могу не поделиться своим недавним опытом разработки стандартов кибербезопасности для энергосистемы страны. Эти стандарты разделили индустрию на два полярных лагеря и потребовали подчинения нормативным актам, которые регулируют чрезвычайно динамичную и не до конца понимаемую зону риска. Результатом стало сознательное и неизбежное возвращение операторов магистральных сетей энергоснабжения к принципам «безопасности по инструкции сверху». Нормативные акты необходимы, но их следует перерабатывать с упором на обучение, развитие более широких технических возможностей, повышение квалификации персонала и предотвращение создания предсказуемой, статичной защиты. Решение этой задачи потребует времени и будет непростым.

Новая реальность требует уточнения чрезвычайных полномочий, необходимых для ответных действий и защиты от подобных атак, которые, возможно, будут исходить из частных сетей. Механизмы, регламентирующие такие действия, являются предметом ожесточенных споров. Было подано и отклонено уже немало законодательных предложений. Основную проблему лучше всех сформулировал председатель комиссии палаты представителей по делам вооруженных сил Говард Маккион. В комментариях к «Правилам применения вооружений в киберпространстве для Министерства обороны США» он указал: «Ввиду постоянно эволюционирующей природы цифровых войн невозможно подобрать исторические прецеденты, которые позволили бы определить, что, собственно, представляют собой традиционные военные действия в киберпространстве».

Государству предстоит ответить на множество вопросов, чтобы понять, как принимать верные решения в ответ на атаки или угрозы кибербезопасности, особенно на такие, которые могут потребовать применения военной силы. На что именно может потребоваться военный ответ? Естественно, необходимо знать инициатора атаки, повод к ней, а также каковы дальнейшие намерения и возможности противника. Но решение в конечном итоге будет зависеть от ближайших и отдаленных последствий самой атаки. Придется решать, в частности, оправданным ли будет решение об ограничении на некоторое время производства или поставок того или иного продукта. Это далеко не ничтожная проблема, если речь идет, например, о жизненно важном лекарстве, отключении электричества в крупном городе или загрязнении источника воды. Необходимо также предотвращать попытки совершения злоумышленниками, находящимися на территории США, атак в отношении других стран, поскольку такие атаки могут вызвать обоснованный ответ со стороны этих государств. Подобные сценарии необходимо учитывать и вписывать в стратегии как сдерживания, так и обоснованного ответа.

Aurora и Stuxnet — первые драматические события «ужасного нового мира», когда проблема кибератак требует внимания властей на самом высоком уровне. В отличие от прошлого, заголовки публикаций в СМИ сегодня пугают читателей, так как подвергается сомнению способность государства обеспечить защиту граждан и их привычного образа жизни. Этот новый образ кибербезопасности воспринимается уже всерьез, а не как киносценарий.

Парадокс вот в чем: тот риск, который прежде привычно отвергался, в долгосрочной перспективе может обойтись обществу гораздо дороже, чем сами атаки, от которых теперь приходится защищаться. Денежные потери среднего или крупного предприятия от кибератаки могут быть внушительными, но гораздо более серьезная утрата — это потеря интеллектуального капитала.

Однако пока гром не грянет, мужик не перекрестится. Лишь трагедия способна пробить броню самообмана. Властям же необходимо проанализировать трудно поддающиеся оценке последствия всех возможных кибератак для продуктивности, жизнеспособности, конкурентоспособности и безопасности нации. Нужно разрабатывать доктрины, достаточно гибкие, чтобы предотвратить атаки, которые способны вызвать разрушения как косвенным, так и очевидным путем.

Властям следует разработать разумную стратегию защиты не только от атак, ухудшающих конкурентоспособность страны и ее экономическое благостостояние, но и от атак, которые могут нанести физический ущерб. Благоразумным было бы вложить усилия в подготовку высококвалифицированных киберзащитников и поиск путей расширения их технических возможностей. Образ «мрачной новой эпохи» не должен мешать появлению и внедрению новых технологий и связывать руки защитникам при помощи «инициатив», направленных лишь на подчинение инструкциям. Необходимо смотреть в будущее широко открытыми глазами, чтобы осознавать явные и менее очевидные последствия возможных ошибок.

Michael Assante. Bad new world: Cyber risk and the future of our nation. CSO Magazine. 09/22/2011