Кибер на Боннском форуме по безопасности

В первых числах октября 2019 г. университет Бонна организовал Форум по безопасности, на который были приглашены эксперты по международным отношениям. Наиболее интересным с точки зрения новых рисков и возможностей оказался день, посвящённый кибербезопасности и искусственному интеллекту. Запомнился этот день конференции несколькими любопытными эпизодами.

Первая сессия, посвящённая вопросам безопасности в киберпространстве, порадовала относительно свежими мыслями о роли кибероружия в международной безопасности. Сейчас аналогии и механизмы из области контроля над вооружениями времён холодной войны не работают, во многом из-за гораздо большего количества игроков, которым доступны достаточно «продвинутые» средства кибервоздействия. Если ядерное оружие требует специализированной инфраструктуры и тысяч человек, занятых на производстве, то доступность знаний и, главное, средств с сфере кибербезопасности скорее похожа на арбалет — с примерно теми же перспективами запрета.

Как на любой конференции, где звучит приставка «кибер», участники не смогли удержаться от обсуждения информационных атак. Информация — это оружие, говорили участники, а что с этим делать, совершенно непонятно. Во многом их опасения схожи с опасениями российских комментаторов, пусть даже ни те, ни другие ни за что в этом не признаются. Если информационные атаки на общественное мнение действительно несут в себе разрушительный потенциал, то не стоит ли рассматривать гражданское общество как часть критической инфраструктуры? И если ответ на этот вопрос звучит утвердительно, то что это значит для политики в сфере образования и СМИ?

От сессий, касавшихся управления интернет-средой, можно было ожидать многого, и эти ожидания оправдались. Прозвучало утверждение, что сейчас речь идёт не о том, нужно ли заниматься государственным регулированием интернет-среды, а о том, как это делать; с одной стороны, была заметна некая встревоженность тем, что частные компании управляют, по сути, глобальной инфраструктурой, не неся законодательно зафиксированной ответственности. Были сказаны тёплые слова в поддержку открытых стандартов и открытых же их реализаций.

Интереснее всего получилась дискуссия между представителями китайской и англосаксонской науки. На доклад китайской стороны, где прозвучали довольно абстрактные тезисы о самоконтроле ответственных сторон и важности мер по укреплению доверия, представитель одной из западных фабрик мысли ответила внушительной по длине репликой, почему Китай в целом и Huawei в частности нельзя считать ответственными партнёрами, что привело к напряжённой перепалке и серии взаимных обвинений.

Из сессии можно было вынести довольно грустное заключение, что на данный момент доверия между условным Западом (в первую очередь США) и Китаем нет. Это, в первую очередь, политическая, а не техническая проблема. Открытые стандарты и открытые реализации могут послужить техническим средством создания доверия, но для того, чтобы задействовать этот инструмент, требуется политическая воля сторон.

В первых числах октября 2019 г. университет Бонна организовал Форум по безопасности, на который были приглашены эксперты по международным отношениям. Наиболее интересным с точки зрения новых рисков и возможностей оказался день, посвящённый кибербезопасности и искусственному интеллекту. Запомнился этот день конференции несколькими любопытными эпизодами.

Наталия Ромашкина:
Стратегическая нестабильность в эпоху ИКТ: кризис или новая норма?

Первая сессия, посвящённая вопросам безопасности в киберпространстве, порадовала относительно свежими мыслями о роли кибероружия в международной безопасности. Во-первых, по словам дискутирующих, кибервойны уже идут параллельно с текущими вооружёнными конфликтами различной интенсивности, и вне их милитаризация киберпространства идёт полным ходом. Во-вторых, как отмечали многие участники, аналогии времён холодной войны не работают, во многом из-за гораздо большего количества игроков, которым доступны достаточно «продвинутые» средства кибервоздействия. Один из экспертов предложил, по его мнению, более подходящую аналогию из середины XX века, когда несколько десятков стран заинтересовались приобретением ядерного оружия; также многие сравнивали кибероружие с арбалетами, «демократизировавшие» поле боя. И если ядерное оружие требует специализированной инфраструктуры и тысяч человек, занятых на производстве, то доступность знаний и, главное, средств с сфере кибербезопасности скорее похожа на арбалет — с примерно теми же перспективами запрета. По мнению автора этих строк, соотношение затрат и рисков при разработке кибероружия гораздо лучше для потенциальных разработчиков, чем в случае оружия ядерного (это даже если не вспоминать о режимах нераспространения, переживающих не лучшие дни).

Говоря о правилах ведения конфликта в киберсреде, участники не очень комплиментарно отзывались о новомодной американской концепции «persistent engagement», то есть, постоянного действия, размывающей границы военного и мирного времени. Впрочем, в отсутствие общепринятых правил ведения конфликтов в киберсреде сам факт такой декларации даёт возможность осмысленно поговорить, какие, собственно, правила нужны и допустимы.

В киберсреде аналогии и механизмы из области контроля над вооружениями начинают сбоить. Как верифицировать, скажем, уязвимости, если после их раскрытия разработчики закроют брешь в безопасности? Как атрибутировать кибератаки? Какими могут быть меры по созданию доверия? Что может быть средством сдерживания, и как сдерживать негосударственных акторов?

Дмитрий Стефанович:
Ядерное измерение киберугроз

Вспомнили и про общее состояние готовности к киберугрозам. И если Бундесвер браво рапортовал, что с кибером у них полный порядок, в отличие от гражданских, то представители некоммерческих «фабрик мысли» отвечали гораздо скептичнее. Прозвучала фраза «we are very shitty about cybersecurity», подкреплённая безрадостной статистикой по безопасности корпоративного IT. На фоне этого мысли многих экспертов о целесообразности норм для киберпространства показались довольно утопичными. Ещё сомнительнее перспективы коллективной кибербезопасности сделало заявление, что, в целом, даже среди европейских союзников нет согласия о том, как правильно интегрировать новые технологии (в частности, искусственный интеллект) в военную доктрину.

Тем не менее, даже в столь противоречивых условиях у участников нашлось несколько позитивных предложений. Модная тема с оборонно-инновационными фондами в стиле DARPA не обошла участников форума, и прозвучало несколько более или менее конкретных предложений о реализации чего-то подобного на общеевропейских началах. Тем более, что технологический задел есть, и было бы грешно не использовать его в оборонных целях, как «в лучших домах» США и Китая.

Как на любой конференции, где звучит приставка «кибер», участники не смогли удержаться от обсуждения информационных атак, пусть даже и с оговорками, что дезинформация и пропаганда слабо связаны с «классической» кибербезопасностью. Информация — это оружие, говорили участники, а что с этим делать, совершенно непонятно. Во многом их опасения схожи с опасениями российских комментаторов, пусть даже ни те, ни другие ни за что в этом не признаются. В свете этого обсуждения имеет смысл подумать над следующим рассуждением: если информационные атаки на общественное мнение действительно несут в себе разрушительный потенциал, то не стоит ли рассматривать гражданское общество как часть критической инфраструктуры? И если ответ на этот вопрос звучит утвердительно, то что это значит для политики в сфере образования и СМИ?

От сессий, касавшихся управления интернет-средой, можно было ожидать многого, и эти ожидания оправдались. Прозвучало утверждение, что сейчас речь идёт не о том, нужно ли заниматься государственным регулированием интернет-среды, а о том, как это делать; с одной стороны, была заметна некая встревоженность тем, что частные компании управляют, по сути, глобальной инфраструктурой, не неся законодательно зафиксированной ответственности. Были сказаны тёплые слова в поддержку открытых стандартов и открытых же их реализаций.

Анастасия Толстухина:
Бизнесу тоже нужен киберкодекс

Во многом дискуссия касалась места ЕС в киберсреде. С одной стороны, эксперты сошлись во мнении, что текущее положение неудовлетворительно: европейские компании слишком долго уделяли слишком много внимания телекоммуникационным технологиям и слишком мало вкладывали в прочее IT, в то время как фокус сместился в сторону обработки данных. С другой стороны, был озвучен ряд предложений, как выходить из сложившейся ситуации. В области кибербезопасности, по словам одного из экспертов, можно развить компетенции в области защиты пользовательских данных; в сфере ИИ упоминался пример Финляндии, где правительством была поставлена цель обучить 1% населения азам машинного обучения и искусственного интеллекта и предлагалось инвестировать в исследования «объяснимого» ИИ.

Однако интереснее всего получилась дискуссия между представителями китайской и англосаксонской науки. На доклад китайской стороны, где прозвучали довольно абстрактные тезисы о самоконтроле ответственных сторон и важности мер по укреплению доверия, представитель одной из западных фабрик мысли ответила внушительной по длине репликой, почему Китай в целом и Huawei в частности нельзя считать ответственными партнёрами, что привело к напряжённой перепалке и серии взаимных обвинений.

Из сессии можно было вынести довольно грустное заключение, что на данный момент доверия между условным Западом (в первую очередь США) и Китаем нет. Это, в первую очередь, политическая, а не техническая проблема: даже открыв исходный код, в ответ можно будет услышать «кто же будет читать ваши миллионы строк кода», что, опять же, свидетельствует об отсутствии доверия. Конечно, открытые стандарты и открытые реализации могут послужить техническим средством создания доверия, но для того, чтобы задействовать этот инструмент, требуется политическая воля сторон.