Трудно искать черную кошку в темной комнате, особенно, если там ее нет. RAND в поисках киберпринуждения

Что такое киберпринуждение, и как государства осуществляют кибероперации для принуждения других? Эти вопросы лежат в основе недавно опубликованного доклада исследовательского института RAND «Борьба с тенью в темноте. Противодействие принуждению в киберпространстве» (Fighting Shadows in the Dark. Understanding and Countering Coercion in Cyberspace). Авторы этой работы рассматривают, как четыре государства — Россия, Китай, Иран и Северная Корея — проводили кибероперации, и пытаются разобраться в том, являлось ли это киберпринуждением.

Мир через силу не предполагает выработки какого-либо общеприемлемого механизма снижения напряженности в ИКТ-среде. И, несмотря на то, что, как отмечают сами авторы, не все случаи, рассмотренные в докладе, представляют собой явные акты киберпринуждения, необходима разработка средств выявления ранних признаков киберпринуждения и разработка стратегий сдерживания и повышения устойчивости. Предполагается, что этого будет достаточно для успешного реагирования на киберпринуждение. Авторы не видят иных путей решения проблемы, кроме как выработки стратегий противодействия (можно предположить, что с использованием всех доступных средств, в том числе через «публичную атрибуцию»).

В заключение авторы повторяют тезис, что в случае с кибероперациями нет четких сигналов от государств ни об угрозах, ни об ожидаемом поведении, не говоря уже о средствах, которые они могут использовать для принуждения. Также утверждается, что достаточно трудно определить, имеют ли кибероперации, направленные против другой страны, целью принуждение или что-либо другое. Возможно, здесь имеет смысл задействовать методологический принцип Оккама — «не следует множить сущее без необходимости». Действительно, как постулируют авторы, ИКТ-инструменты активно применяются множеством государств для реализации военно-политических задач. Однако, если целью определенного действия не является изменение политического поведения другой страны, и нет прямой угрозы силой или применения силы (что, к слову, нарушает Устав ООН), имеет ли место так называемое принуждение, или мы имеем дело со ставшей совершенно обыденной киберактивностью? Яркий пример политики принуждения, который авторы упоминают, но не рассматривают, связан с кибератакой на объекты ядерной программы Ирана в 2010 г. Во-первых, от конкретных стран звучали требования о необходимости прекращения Ираном своей ядерной программы. Во-вторых, речь шла и о возможном нанесении удара, если требования не будут выполнены. Как известно, Иран не изменил свою политику, и последовавшая кибератака не была актом принуждения или ограниченной демонстрации силы, а решала совершенно определенные задачи — ядерная программа Ирана существенно замедлила развитие.

Необходимы не стратегии противодействия киберпринуждению, примеров которого пока что практически нет, а разработка на международном уровне механизмов предотвращения конфликтов в киберпространстве. Одним из таких механизмов могут стать нормы, правила и принципы ответственного поведения государств в ИКТ-среде, сформулированные международным сообществом в ходе работы Группы правительственных экспертов ООН.

Что такое киберпринуждение, и как государства осуществляют кибероперации для принуждения других? Эти вопросы лежат в основе недавно опубликованного доклада исследовательского центра RAND «Борьба с тенью в темноте. Противодействие принуждению в киберпространстве» (Fighting Shadows in the Dark. Understanding and Countering Coercion in Cyberspace). Авторы этой работы рассматривают, как четыре государства — Россия, Китай, Иран и Северная Корея — проводили кибероперации, и пытаются разобраться в том, являлось ли это киберпринуждением.

Переходя сразу к выводам исследования, отметим следующие тезисы. Кибероперации, которые можно классифицировать как предназначенные для принуждения, составляют лишь небольшую часть от общего числа киберопераций в мире. Основной же целью проводимых государствами киберопераций остается шпионаж. Несмотря на это, авторы считают, что такие государства, как Россия и Северная Корея, используют кибероперации в качестве инструмента принуждения чаще, чем Китай и Иран. Также, вопреки тому, что постулирует теория принуждения, в рассматриваемых случаях государства зачастую не выражают явной угрозы и не предъявляют четких требований изменить политику. Напротив, государства не берут на себя ответственность, действуя через прокси-акторов. Авторы предполагают, что, несмотря на низкую вероятность успеха, государства будут продолжать использовать кибероперации для принуждения, и в будущем такая практика может участиться. Чтобы подготовиться к этому сценарию Соединенным Штатам и их союзникам необходимо понять, как может возникнуть киберпринуждение, создать системы для предупреждения о предстоящих операциях и разработать стратегии для сдерживания и реагирования на киберпринуждение.

Анастасия Толстухина:
США наносят киберудары по критической инфраструктуре России?

Несмотря на некоторую научную ценность данного доклада, авторы оставили довольно большое поле для критики. Во-первых, необходимо остановиться подробнее на ряде существенных проблем методологического характера. Во-вторых, оставляя за скобками тот факт, что само исследование подготовлено по заказу Министерства обороны США и аффилированных структур, особо отмечается, что исследование опирается только на открытые источники — действительно, доказательная база в основном представлена докладами таких компаний, как Mandiant и купившей её впоследствии FireEye, руководство которых имеет определенные связи как с Министерством обороны, так и с разведывательным сообществом США. Таким образом, используемые авторами в ходе исследования доказательства причастности той или иной страны к проведению киберопераций, не могут быть охарактеризованы как объективные. Наконец, вызывает сожаление тот факт, что предложенные авторами пути решения проблем удивительно односторонние, без какого-либо намека на возможность позитивных действий.

Принуждение

Методология авторов работы в той её части, которая касается выработки определения, что собой представляет принуждение в киберпространстве, пытается опереться, в том числе, на фундаментальный труд американского экономиста Томаса Шеллинга «Оружие и принуждение». Утверждается, что Шеллинг выделяет две разновидности принуждения — активное (понуждение — compellence) и пассивное (в виде сдерживания — deterrence). При этом, по словам авторов, одно предполагает активное применение силы в той или иной форме для принуждения к действиям, тогда как второе предполагает использование угрозы применения силы либо для мотивации действия, либо для воздержания от конкретного действия. В самой работе Шеллинга говорится следующее:

«...отчасти понятие «сдерживание» [deterrence] стало эвфемизмом для более широкой концепции принуждения, поскольку в нашей официальной терминологии «оборона» заменила такие слова, как «война» и «военный». Этот эвфемизм является ограничительным, если он мешает нам осознать, что существует реальная разница между сдерживанием и тем, что в главе 2 я должен был назвать «принуждением», то есть реальная разница между побуждением к бездействию и побуждением кого-либо к выполнению действия»[1].

«…грубая сила преуспевает, когда она используется, тогда как способность причинять боль наиболее успешна в том случае, когда она находится в резерве. Именно угроза нанесения ущерба или получения большего ущерба может заставить кого-то уступить или подчиниться. Именно неявное насилие может повлиять на чей-то выбор — насилие, которое все еще можно или сдерживать или применить… Угроза боли пытается изменить чьи-то мотивы, а грубая сила пытается преодолеть его силу. К несчастью, способность причинять боль часто выражается через некоторую демонстрацию. Будь то террор, направленный на получение иррационального ответа, или просчитанное преднамеренное насилие, призванное продемонстрировать кому-то свою решимость, и указать на возможность его повторения, важна не сама боль и ущерб, а их влияние на чье-то поведение. Требуемое поведение (если его вообще можно получить через угрозу силой) является результатом ожидания большего насилия»[2].

Очевидно, что Шеллинг проводит четкую грань между сдерживанием и принуждением, и, что более важно, указывает на ограниченность применения силы при реализации принуждения — сила, как таковая, играет вторичную роль, а на первом месте находится выражение угрозы нанесения ущерба.

Павел Карасев:
Кибербои без правил

Далее, при описании логики принуждения авторы цитируют несколько исследовательских работ, которые также повторяют тезисы Шеллинга. В одной из них суть принуждения описана фразой: «если вы не сделаете X, я сделаю Y»[3]. В другой работе говорится, что действие принуждения или угроза «требуют ясности в отношении ожидаемого результата… [и должны] сопровождаться каким-то настойчивым сигналом»[4]. Представляется, что эти тезисы верны, и их следовало бы взять за основу. Авторы доклада идут другим путем — они заявляют, что практика киберпринуждения не соответствует теоретическим выкладкам (которые, следует отметить, были выведены из практики), и утверждают, что выдвигаемые в ходе такого принуждения требования и угрозы не всегда однозначны, как может и не быть однозначной идентификации угрожающей стороны. Однако если из принуждения убрать определяющие его характеристики, не перестанет ли оно существовать? Реализация масштабных кибератак — это уже не просто демонстрация силы, а решение конкретных задач, и, таким образом, они не имеют отношения к принуждению.

Вышесказанное заставляет задуматься о правильности постановки вопроса, заданного авторами в начале доклада: «Что такое киберпринуждение?». Рассмотрим, что представляет собой принуждение по существу. Представляется, что это, прежде всего, форма политики, направленной на сохранение или изменение существующего порядка распределения власти и собственности в мировом сообществе[5]. С этой точки зрения, суть принуждения заключается в изменении политического поведения других акторов мировой политики с возможной ограниченной демонстрацией силы, которая не перерастает в полномасштабные боевые действия. В некотором приближении суть политики принуждения описывается в трактате древнекитайского полководца Сунь Цзы «Искусство войны»: «Кто умеет вести войну, покоряет чужую армию, не сражаясь; берет чужие крепости, не осаждая; сокрушает чужое государство, не держа свое войско долго». Тем не менее силовое принуждение также возможно — Шеллинг, рассуждая об этом, приводит пример из истории покорения Дикого Запада — рейды, которые устраивались на некоторые поселения индейцев, были призваны сломить сопротивление всех племен, и подчинить их своей воле. Однако в этом случае индейцам был вполне понятен как источник угрозы, возможные последствия сопротивления, и предъявляемые им требования, так и пути спасения — подчиниться или бежать.

Если взять за основу вышеизложенный тезис о принуждении как форме политики, то представляется, что более правильным вопросом, который следовало бы задать, является следующий — могут ли киберсредства использоваться для реализации политики принуждения, и, если да, то насколько эффективно? Исходя из определения принуждения, для его реализации в общем виде требуется требование стороны А к стороне Б по поводу изменения политики последнего конкретным образом — при демонстрации силы, которая может быть применена в полной мере в случае невыполнения требований. В отдельных случаях требования, угрозы, или демонстрация силы могут быть неявными, но очевидно, что они должны быть осознаваемы стороной-жертвой и, более того, правильно понимаемыми. Это накладывает некоторые условия на используемые при реализации политики принуждения средства.

ИКТ-среда обладает рядом свойств, которые делают воздействие через неё привлекательным. Прежде всего, речь идёт об анонимности и трансграничности, которые осложняют процесс атрибуции, то есть определения источника воздействия. Возможность «правдоподобного отрицания» проведения кибератак является одним из важнейших преимуществ их военно-политического применения. Как показывает практика, кибератаки можно использовать для проецирования и демонстрации силы, однако стороне, использующей их для реализации принуждения, придётся взять на себя ответственность, или каким-то иным образом показать свою причастность. По некоторым данным, на государственные объекты информационной инфраструктуры России ежедневно совершается множество кибератак (в 2017 г. было зафиксировано 2,4 млрд воздействий, а в 2018 г. — более 4 млрд). Распознать в этом потоке демонстрацию силы или требование к изменению политики представляется невозможным. Использование возможности кибернападения в качестве угрозы также представляется неэффективным, т.к. потенциальный противник получает возможность подготовиться к атаке и успешно ей противостоять.

Государственная политика

Авторы доклада утверждают, что, по мере развития более взаимосвязанных и взаимозависимых информационных систем и сетей возрастает возможность использовать кибероперации для оказания влияния и воздействия на экономическое, политическое и социальное благополучие других государств. При этом исследование возможных эпизодов киберпринуждения ограничивается всего четырьмя субъектами мировой политики, которые были выделены правительством США как вызывающие наибольшее беспокойство — Россия, Китай, Иран и Северная Корея. Для каждой страны было проведено исследование по открытым источникам, в ходе которого были рассмотрены имеющиеся кибервозможности, опубликованные доктрины киберопераций, а также имеющиеся данные по кибер-группам, связанных с правительствами.

Артур Хетагуров:
Кибермощь Ирана

Исследование доктрин и документов, раскрывающих позиции государств по операциям в киберпространстве, является неполным, противоречивым, а местами — и прямо ошибочным. Например, приводя цитаты из документов стратегического планирования Российской Федерации, авторы одновременно утверждают, что, «хотя Россия и считает, что ее противники проводят такие [информационные] операции против нее, документы демонстрируют то, как Россия видит потенциальную роль киберопераций в своей деятельности». Здесь достаточно обратить внимание на Концептуальные взгляды на деятельность Вооруженных Сил Российской Федерации в информационном пространстве, где сказано: «Разрешение конфликтов в информационном пространстве осуществлять, в первую очередь, путем переговоров, примирения, обращения к Совету Безопасности ООН или к региональным органам, или соглашениям, или иными мирными средствами». Авторы также цитируют китайских экспертов, которые выделяют целый ряд недостатков сетевого сдерживания и принуждения — прежде всего, эффективность проведения киберопераций может быть снижена ввиду неоднозначности[6]. Успех сдерживания и принуждения зависит от эффективной подачи сигналов. Для того, чтобы противник предпринял ожидаемые действия, он, прежде всего, должен знать источник и мотивацию оказываемого на него воздействия. Авторы делают вывод, что Китай «использует более осмотрительный подход к использованию киберопераций для принуждения, уделяя особое внимание краже данных или подавлению критиков режима. Однако Китай может попытаться расширить использование киберопераций для принуждения в будущем». Это ни на чем не основанный вывод, особенно если принять во внимание все те недостатки, которые выделяют китайские специалисты.

Что касается рассмотрения конкретных кибервозможностей каждого государства, к большому сожалению, работа, проведенная исследовательской группой RAND, не опирается на четкие факты. Например, в качестве доказательства причастности России к кибератакам на Черногорию в 2018 г., приводится статья, в которой говорится: «По утверждениям трех международных компаний по информационной безопасности, письма электронной почты [с вредоносным программным обеспечением] пришли от APT28, также известного как Fancy Bear, который, по словам американских спецслужб, связан с российской военной разведкой ГРУ». Подобным образом «доказывается» и причастность Китая к кибератакам на сети и системы Южной Кореи, и другие рассматриваемые эпизоды кибервоздействий. Упоминается случай 2017 г., когда Министерство юстиции США предъявило обвинения в кибершпионаже трем сотрудникам китайской компании Boyusec. Хотя федеральные прокуроры намеренно не поднимали вопрос по поводу принадлежности или связей Boyusec с правительством Китая, представители частного сектора указали, что, по их мнению, Boyusec работал на Министерство государственной безопасности КНР. Созданию мифов способствует многократное повторение и упор даже на те факты, которые впоследствии были опровергнуты. Так, среди прочего утверждается, что в 2008 г. Россия совершила кибератаки на правительственные учреждения Эстонии, хотя это утверждение давно опровергнуто — независимое исследование подтвердило, что это были действия отдельных активистов, а не правительства.

Доклад RAND опирается на необъективные доказательства, предоставленные структурами, связанными с разведывательном сообществом США, и это выглядит как подгонка фактов под поставленную задачу создания негативного образа России, Китая, Ирана и Северной Кореи как плохих акторов в киберпространстве. Одновременно, именно в современных американских документах стратегического планирования уже четко сформирован образ внешней угрозы свободе и демократии, и объявлена цель обеспечить мир силой, которая предполагает выявление противников и оказание на них влияния всеми доступными средствами. Фактически, в США политика принуждения уже стала нормой. В качестве примера можно вспомнить случай, произошедший летом этого года, когда The New York Times опубликовала статью, в которой утверждалось, что спецслужбы США якобы совершили кибернападения на российские объекты, связанные с выработкой и передачей электроэнергии. До сих пор неясно, какие именно цели преследовала указанная публикация — была это утечка информации, и, если да, то намеренная или случайная? Или же это был информационный «вброс». Президент США Дональд Трамп обвинил журналистов в госизмене, а представители Совета национальной безопасности США заявили, что рисков для национальной безопасности нет. Однако если последовать примеру исследовательской группы RAND и посмотреть на более широкий контекст, станет очевидно, что на фоне непростых отношений между Россией и США эта публикация была четким сигналом политики принуждения.

Константин Асмолов:
Северокорейские хакеры: нестрашная правда

***

Мир через силу не предполагает выработки какого-либо общеприемлемого механизма снижения напряженности в ИКТ-среде. И, несмотря на то, что, как отмечают сами авторы, не все случаи, рассмотренные в докладе, представляют собой явные акты киберпринуждения, необходима разработка средств выявления ранних признаков киберпринуждения и разработка стратегий сдерживания и повышения устойчивости. Предполагается, что этого будет достаточно для успешного реагирования на киберпринуждение. Авторы не видят иных путей решения проблемы, кроме как выработки стратегий противодействия (можно предположить, что с использованием всех доступных средств, в том числе через «публичную атрибуцию»).

В заключение авторы повторяют тезис, что в случае с кибероперациями нет четких сигналов от государств ни об угрозах, ни об ожидаемом поведении, не говоря уже о средствах, которые они могут использовать для принуждения. Также утверждается, что достаточно трудно определить, имеют ли кибероперации, направленные против другой страны, целью принуждение или что-либо другое. Возможно здесь имеет смысл задействовать методологический принцип Оккама — «не следует множить сущее без необходимости». Действительно, как постулируют авторы, ИКТ-инструменты активно применяются множеством государств для реализации военно-политических задач. Однако, если целью определенного действия не является изменение политического поведения другой страны, и нет прямой угрозы силой или применения силы (что, к слову, нарушает Устав ООН) имеет ли место так называемое принуждение, или мы имеем дело со ставшей совершенно обыденной киберактивностью? Яркий пример политики принуждения, который авторы упоминают, но не рассматривают, связан с кибератакой на объекты ядерной программы Ирана в 2010 г. Во-первых, от конкретных стран звучали требования о необходимости прекращения Ираном своей ядерной программы. Во-вторых, речь шла и о возможном нанесении удара, если требования не будут выполнены. Как известно, Иран не изменил свою политику, и последовавшая кибератака не была актом принуждения или ограниченной демонстрации силы, а решала совершенно определенные задачи — ядерная программа Ирана существенно замедлила развитие.

Необходимы не стратегии противодействия киберпринуждению, примеров которого пока что практически нет, а разработка на международном уровне механизмов предотвращения конфликтов в киберпространстве. Одним из таких механизмов могут стать нормы, правила и принципы ответственного поведения государств в ИКТ-среде, сформулированные международным сообществом в ходе работы Группы правительственных экспертов ООН.

[1] Thomas C. Schelling, Arms and Influence, New Haven, Conn.: Yale University Press, 1966., P. 174-175

[2] Ibid. P.3

[3] Erica D. Borghard and Shawn W. Lonergan, “The Logic of Coercion in Cyberspace”, Security Studies, Vol. 26. No. 3, 2017, pp. 433–34.

[4] Christopher Whyte, “Ending Cyber Coercion: Computer Network Attack, Exploitation and the Case of North Korea”, Comparative Strategy, Vol. 35, No. 2, 2016.

[5] Определение политики см. Кокошин А. А. Мировая политика: теория, методология, прикладной анализ. Комкнига, 2005 ISBN 5484000874

[6] Shou Xiaosong, ed., The Science of Military Strategy [战略学], Beijing, China: Military Science Press, 2013, p. 194.