Кибербои без правил

В июне 2019 г. The New York Times опубликовала статью, в которой авторы утверждали, что спецслужбы США пошли в кибернаступление на Россию. В частности, по сведениям анонимных источников, кибервторжениям подверглись объекты, связанные с выработкой и передачей электроэнергии. Эта публикация вызвала оживленную реакцию как специалистов, так и официальных представителей государств — в США, России и других странах. Так, президент США Дональд Трамп обвинил журналистов в госизмене, хотя в той же статье одновременно утверждается, что, по мнению представителей Совета национальной безопасности США, публикация «не представляет рисков для национальной безопасности». Глава СВР Сергей Нарышкин заявил, что спецслужбы России знают о готовящихся кибератаках и своевременно информируют о них соответствующие инстанции. Вопрос о возможности осуществления кибератак на критически важную инфраструктуру был задан даже в ходе прямой линии президенту России Владимиру Путину, который подчеркнул: «Что касается работы нашей критически важной инфраструктуры — энергетики, в том числе и других областей, конечно, мы должны думать о том, как себя обезопасить от любых кибератак, от любого негативного воздействия. Мы не только думаем над этим, но и занимаемся этим».

Остаётся неизвестным, насколько правдивой является указанная публикация — является она раскрытием информации или информационным «вбросом». Тем не менее представляется полезным рассмотреть ситуацию с точки зрения защищенности критической инфраструктуры, возможностей проведения кибератак и правил поведения в ИКТ-среде.

Можно утверждать, что на сегодняшний момент у США есть не только силы и средства, законодательное и нормативное подкрепление, но также и политическая воля более активно использовать деструктивные ИКТ-возможности. Так, в момент эскалации напряженности между США и Ираном, после того как иранские силы ПВО сбили американский беспилотный летательный аппарат, президент Трамп решил не использовать методы силового ответного удара. Вместо этого, по сообщениям СМИ, Киберкомандование США провело кибератаку против иранских подразделений, которые якобы были причастны к нападению на нефтяные танкеры в Оманском заливе неделей ранее. При этом не было продемонстрировано никаких доказательств.

Легитимность этой атаки, как и многих других, находится под большим вопросом. Так, до сих пор не было, и, вероятно, уже не будет, никакого международно-правового разбирательства относительно кибератаки на объекты иранской ядерной программы в 2010 г. Единственным механизмом, которым подменяют должное рассмотрение инцидентов, на данный момент является публичная атрибуция атак — к ней и прибегают США и их союзники. В её основе лежит не подкрепленное юридически значимыми доказательствами коллективное обвинение того, или иного государства в осуществлении каких-либо злонамеренных действий.

В то же время у международного сообщества уже есть определенная созидательная основа для обеспечения мирного сосуществования в ИКТ-среде, в том числе и защиты критически важной инфраструктуры. Речь идёт о добровольных необязательных нормах, правилах и принципах ответственного поведения государств, которые были выработаны в 2015 г. Группой правительственных экспертов ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности (ГПЭ ООН). Представители США принимали участие в работе этой Группы и одобрили принятие доклада. При этом, в последних стратегиях США неоднократно подчеркивается, что необходимо всяческое продвижение и внедрение предложенных ГПЭ норм и принципов. Вторжение в российские энергосети, если, конечно, оно имело место, является грубым нарушением США тех правил, в выработке которых они сами принимали участие.

Обеспечение безопасности критически важной инфраструктуры — это во многом национальная задача. В то же время есть ряд проблем, которые можно решить только на международном уровне. Представляется, что на сегодняшний момент единственным созидательным путем решения этих проблем является выработка механизмов внедрения и реализации соответствующих норм, правил и принципов ответственного поведения государств — правил, которые являются общими для всех.

В июне 2019 г. авторитетная американская газета The New York Times опубликовала статью, в которой авторы утверждали, что спецслужбы США пошли в кибернаступление на Россию. В частности, по сведениям анонимных источников, кибервторжениям подверглись объекты, связанные с выработкой и передачей электроэнергии. Эта публикация вызвала оживленную реакцию как специалистов, так и официальных представителей государств — в США, России и других странах. Так, президент США Дональд Трамп обвинил журналистов в госизмене, хотя в той же статье одновременно утверждается, что, по мнению представителей Совета национальной безопасности США, публикация «не представляет рисков для национальной безопасности». Глава СВР Сергей Нарышкин в рамках Десятой международной встречи высоких представителей, курирующих вопросы безопасности заявил, что спецслужбы России знают о готовящихся кибератаках и своевременно информируют о них соответствующие инстанции. Вопрос о возможности осуществления кибератак на критически важную инфраструктуру был задан даже в ходе прямой линии президенту России Владимиру Путину, который подчеркнул: «Что касается работы нашей критически важной инфраструктуры — энергетики, в том числе и других областей, конечно, мы должны думать о том, как себя обезопасить от любых кибератак, от любого негативного воздействия. Мы не только думаем над этим, но и занимаемся этим».

Остаётся неизвестным, насколько правдивой является указанная публикация — является она раскрытием информации или информационным «вбросом». Тем не менее представляется полезным рассмотреть ситуацию с точки зрения защищенности критической инфраструктуры, возможностей проведения кибератак и правил поведения в ИКТ-среде.

Информационная безопасность критически важной инфраструктуры

Павел Карасев:
Новые стратегии США в области кибербезопасности

Защита критической инфраструктуры от злонамеренных воздействий через ИКТ-среду является одной из важнейших задач национальной безопасности, и все развитые государства тем или иным образом стараются её решить. Перечень соответствующих категорий объектов и приоритетность их защиты определяются в каждой стране самостоятельно, однако, как правило, в него включаются: системы энерго- и водоснабжения, объекты повышенной опасности, а также информационная инфраструктура. Национальные особенности обеспечения безопасности критически важных инфраструктур обусловлены различными факторами, среди которых одним из главных является вопрос собственности, то есть кто владеет этими объектами. В западных государствах значительная часть инфраструктуры принадлежит частному сектору и управляется им (например, в США, по некоторым оценкам, до 85%). В отдельных случаях это приводит к возникновению такой модели взаимодействия, при которой государство устанавливает достаточно мягкие правила для бизнеса, который в соответствии с ними должен обеспечить свою кибербезопасность. Такие механизмы не всегда отвечают требованиям национальной безопасности, поскольку в отсутствие сильного государственного регулирования предприятия могут использовать более распространенные и экономически выгодные, но непроверенные и несертифицированные решения информационной безопасности, что неприемлемо для критически важной инфраструктуры. Одновременно особое внимание должно уделяться и вопросам повышения социальной ответственности предпринимательства при обеспечении информационной безопасности новых высокотехнологичных продуктов. При этом необходима не только позиция государств, но и встречные инициативы частного бизнеса и развитие механизмов государственно-частного партнерства.

Особенно актуальной защита критически важной инфраструктуры становится именно сейчас, когда продолжается массовое освоение ИКТ-среды, цифровизация охватывает новые отрасли человеческой деятельности, а также идёт становление цифровой экономики. ИКТ лежат в основе таких новых технологий и явлений, как обработка больших данных, квантовые вычисления, дополненная и виртуальная реальность, блокчейн, Интернет вещей. В 2017 г. глобальное производство товаров и услуг ИКТ составило примерно 6,5% валового внутреннего продукта (ВВП), и около 100 млн человек были заняты в секторе услуг ИКТ. По некоторым оценкам, к 2020 г. общее число устройств Интернета вещей составит 50 млрд единиц.

В России на данный момент принят ряд нормативно-правовых документов и документов стратегического планирования, регламентирующих защиту объектов критически важной инфраструктуры, в частности: Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены Президентом Российской Федерации 3 февраля 2012 г., № 803), Указ Президента РФ от 22 декабря 2017 г. N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

На основе принятого законодательства создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Система является всеобъемлющей по своему функционалу. В соответствии с Концепцией она должна обеспечить не только прогнозирование в области информационной безопасности РФ и выявление признаков проведения компьютерных атак, но и организацию и проведение научных исследований в сфере разработки и применения средств и методов обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также осуществление мероприятий по обеспечению подготовки и повышения квалификации кадров, требующихся для создания и функционирования Системы. В рамках Системы к силам и средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак относятся уполномоченные подразделения ФСБ России, Национальный координационный центр по компьютерным инцидентам (НКЦКИ среди прочего обеспечивает координацию деятельности субъектов критической информационной инфраструктуры (КИИ) РФ), подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты. При этом создаваемые на объектах КИИ (в том числе находящихся в частной собственности) центры ГосСОПКА объединены в иерархическую структуру по ведомственно-территориальному признаку.

Об эффективности работы ГосСОПКА можно судить по данным, озвучиваемым на регулярных брифингах НКЦКИ. Так, в 2017 г. было зафиксировано 2,4 млрд воздействий на критическую информационную инфраструктуру, а в 2018 г. более 4 млрд. В ходе очередного брифинга, который состоялся 27 июня 2019 г., то есть уже после появления статьи в The New York Times, заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов отметил следующее: «Анализ информации, поступающей в ГосСОПКА, показывает, что большинство атак направлено на кражу информации. Прежде всего, преступники нацелены на получение сведений о российских технологиях в оборонной и атомной промышленности, энергетике и ракетостроении, а также информации из систем государственного управления». При этом, «Для атак на российские информационные ресурсы, как правило, используются центры управления [ботнетами], локализованные на территории Евросоюза и США».

Возможности США и реалистичность нападения

Дмитрий Стефанович:
Ядерное измерение киберугроз

К сожалению, можно констатировать, что за последние годы вместо развития международного взаимодействия по вопросам безопасного использования ИКТ-среды США значительно усилили свой потенциал проведения деструктивных киберопераций. Прежде всего, это выразилось в повышении статуса Киберкомандования и принятия соответствующей директивы по кибероперациям в 2018 г., которая значительно облегчила процесс согласования киберопераций. Крайне важным документом является текущий Закон о бюджетных ассигнованиях на национальную оборону, где подтверждаются полномочия военных по проведению т.н. «тайных» операций [1]. При этом подобные действия или операции осуществляются, в том числе, с целью подготовки среды, проведения информационных операций, демонстрации силы и для целей сдерживания. Под «подготовкой среды», очевидно, понимается поиск уязвимостей в компьютерных системах и сетях предполагаемого противника и/или внедрение резидентного вредоносного программного обеспечения.

Известно, что в США уже достаточно продолжительное время функционирует так называемый «Процесс оценки уязвимостей» (Vulnerabilities Equities Process), который начал формироваться ещё в 2008 г. в соответствии с Президентской директивой национальной безопасности № 54 (NSPD-54). Целью Процесса является рассмотрение новых и неизвестных широкой общественности уязвимостей в ИКТ и принятие соответствующих решений относительно их использования. Соответственно может быть принято решение или об информировании всех заинтересованных сторон, или о сокрытии информации в том случае, когда есть интерес в использовании найденной уязвимости для организации слежки, правоохранных действий или в целях национальной безопасности. Другим основополагающим документом в рамках этого Процесса является «Объединенный план по координации и применению наступательных средств для защиты информационных систем США» (Joint Plan for the Coordination and Application of Offensive Capabilities to Defend U.S. Information Systems). Можно сделать вывод, что в совокупности указанные документы направлены на создание на уровне государства механизмов поиска, анализа и отбора уязвимостей, которые фактически являются компонентами кибероружия.

На критически важных предприятиях могут применяться ИКТ-системы, которые в том или ином виде используют готовые коммерчески доступные и массово производимые компоненты (т.н. «off the shelf»). Уязвимости таких компонентов лучше изучены, и поэтому кибератаки на них более вероятны. Кроме того, нельзя исключить наличие в коммерчески доступных компонентах недокументированных функций (так называемых «закладок»). Они могут внедряться даже без согласия производителя. У американских спецслужб, в частности, у Отдела операций специального доступа (Office of Tailored Access Operations) Агентства национальной безопасности США, есть целый каталог программно-аппаратных закладок, используя которые Отдел может получить доступ к серверам, рабочим станциям, телефонным линиям, системам управления производственными процессами.

Принимая во внимание все вышесказанное, можно утверждать, что на сегодняшний момент у США есть не только силы и средства, законодательное и нормативное подкрепление, но также и политическая воля более активно использовать деструктивные ИКТ-возможности. В этой связи можно вспомнить, что во всех актуальных американских документах стратегического планирования основными противниками названы такие страны как Россия, Китай, Иран и Северная Корея — соответственнопротив них, прежде всего, и будут направлены кибератаки. Это подтвердил советник президента США по национальной безопасности Дж. Болтон, выступая в июне 2019 г. (буквально за несколько дней до выхода статьи в The New York Times) на конференции, проведенной газетой The Wall Sreet Journal. Среди прочего, он сказал следующее: «Цель [наступательных действий в киберпространстве]... состоит в том, чтобы заявить России или кому-либо еще, кто осуществляет против нас кибероперации: ‘Вы за это поплатитесь’». Так, в момент эскалации напряженности между США и Ираном, после того как иранские силы ПВО сбили американский беспилотный летательный аппарат, президент Трамп решил не использовать методы силового ответного удара. Вместо этого, по сообщениям СМИ, Киберкомандование США провело кибератаку против иранских подразделений, которые якобы были причастны к нападению на нефтяные танкеры в Оманском заливе неделей ранее. При этом не было продемонстрировано никаких доказательств.

Кибератаки и международное право

Александр Зинченко, Анастасия Толстухина:
Мир или война в киберпространстве?

Легитимность этой атаки, как и многих других, находится под большим вопросом. Так, до сих пор не было, и, вероятно, уже не будет, никакого международно-правового разбирательства относительно кибератаки на объекты иранской ядерной программы в 2010 г. К сожалению, единственным механизмом, которым подменяют должное рассмотрение инцидентов, на данный момент является публичная атрибуция атак — к ней и прибегают США и их союзники. В её основе лежит не подкрепленное юридически значимыми доказательствами коллективное обвинение того, или иного государства в осуществлении каких-либо злонамеренных действий. В соответствии с новыми стратегиями США, после этого можно применять против этих государств все доступные меры воздействия — от экономических санкций до кибератак.

В то же время у международного сообщества уже есть определенная созидательная основа для обеспечения мирного сосуществования в ИКТ-среде, в том числе и защиты критически важной инфраструктуры. Прежде всего, речь идёт о добровольных необязательных нормах, правилах и принципах ответственного поведения государств, которые были выработаны в 2015 г. Группой правительственных экспертов ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности (ГПЭ ООН) и представлены в соответствующем докладе. Представители США принимали участие в работе этой Группы и одобрили принятие доклада. Ряд предложенных ГПЭ норм напрямую затрагивают проблему обеспечения безопасности критических объектов инфраструктуры. Пункт f) говорит о том, что «государство не должно осуществлять или заведомо поддерживать деятельность в сфере ИКТ, если такая деятельность противоречит его обязательствам по международному праву, наносит преднамеренный ущерб критически важной инфраструктуре или иным образом препятствует использованию и функционированию критически важной инфраструктуры для обслуживания населения». В пункте g) содержится призыв к государствам принимать надлежащие меры для защиты своей критически важной инфраструктуры от угроз в сфере ИКТ. Наконец, в пункте h) говорится о том, что государства «должны также удовлетворять соответствующие просьбы о смягчении последствий злонамеренных действий в сфере ИКТ, направленных против критически важной инфраструктуры других государств, если такие действия проистекают с их территории, принимая во внимание должным образом концепцию суверенитета». В последних стратегиях США неоднократно подчеркивается, что необходимо всяческое продвижение и внедрение предложенных ГПЭ норм и принципов. Вторжение в российские энергосети, если, конечно, оно имело место, является грубым нарушением США тех правил, в выработке которых они сами принимали участие. Кроме этого, как в своём открытом сообщении заявил международный Фонд «ИКТ ради мира» (ICT4Peace), гражданские сети электроснабжения не являются законными военными целями — а это указывает уже на нарушение положений международного гуманитарного права.

В СМИ неоднократно говорилось об ответных кибератаках, которые используются главным образом для подачи «сигналов» потенциальным противникам — чтобы указать на то, что США осведомлены о проводимой вредоносной деятельности. Предполагается, что это обеспечит сдерживание и повысит уровень стабильности. Очевидно, что «сигналы» подаваемые посредством нападения на гражданские объекты не могут привести ни к чему иному, как эскалации. Одной из идей, заложенных в новую киберстратегию США, является достижение мира через силу. Такой мир, где к части стран нормы и правила применимы, а к другой — нет, не будет ни стабильным, ни свободным.

Обеспечение безопасности критически важной инфраструктуры — это во многом национальная задача. В то же время есть ряд проблем, которые можно решить только на международном уровне. Представляется, что на сегодняшний момент единственным созидательным путем решения этих проблем является выработка механизмов внедрения и реализации соответствующих норм, правил и принципов ответственного поведения государств — правил, которые являются общими для всех.

1. Главным отличием тайных (сlandestine) от скрытых (covert) операций является секретность самого факта их проведения, а не только информации о стороне, которая их проводит.