Глава 6 Как наступать?
Глава 6
Как наступать?
В фильме 1983 года о компьютерах и войне «Военные игры» с Мэтью Бродериком в главной роли компьютерный голос задает вопрос: «Желаете поиграть в термоядерную войну?» Почему бы и нам не поиграть? Попробуем провести кибервоенные учения, чтобы разъяснить некоторые моменты. Министерство обороны ежегодно проводит подобные мероприятия, которые получили название «Кибершторм». Аналогичные учения ЦРУ, «Безмолвный горизонт», проходят регулярно с 2007 года. В целях исследования я обращусь к вам с той же просьбой, что и к своим студентам из Школы государственного управления Кеннеди Гарвардского университета и чиновникам госбезопасности, которые собираются за одним столом в оперативном штабе Белого дома: «Придерживайтесь сценария». То есть не тратьте время на рассуждения о том, что однажды в силу неких обстоятельств США окажутся на грани конфликта с Россией или Китаем. Когда американские кибервоины говорят о big one, они подразумевают конфликт в киберпространстве с Россией или Китаем — странами, которые наряду с Соединенными Штатами обладают самым мощным наступательным потенциалом. Никто не хочет войны с такими противниками. Но, рассматривая данный вариант развития событий, чтобы разобраться, какой может быть кибервойна, мы делаем ее более вероятной. По существу, соглашаясь с рисками кибервойны, мы имеем шансы снизить вероятность ее начала. А если вопреки нашим надеждам кибервойны не удастся избежать, лучше заранее обдумать, как она может разворачиваться.
До 11 сентября я, безусловно, не хотел таких «перспектив», но немало поиграл в настольные войны — проработал ряд возможных сценариев, чтобы подготовить себя и чиновников к подобным событиям. Когда день X настал, мы уже знали, как реагировать на атаку и действовать. Мы не только прилагали невероятные усилия для предотвращения атак, но и продумывали, как действовать, если какая-нибудь из них все же начнется. Не поступи мы так, тот кошмарный день был бы еще страшнее. Так что давайте на время представим, что отношения между США и Китаем обострились. Назовем эти учения «Южно-Китайское море» и переместимся на несколько лет в будущее.
Почти ничего не изменилось, только в Китае возросла зависимость от Интернета. В свою очередь Соединенные Штаты не слишком много сделали для улучшения собственной киберобороны. В игре примут участие три команды — Киберкомандование США, Кибердивизия Народно-освободительной армии Китая и Наблюдатели, то есть все остальные. Наблюдатели, помимо прочего, решают, что может произойти в результате действий двух команд. Давайте для чистоты эксперимента предположим, что Китай надавил на Вьетнам и другие страны АСЕАН (Ассоциации государств Юго-Восточной Азии), чтобы те уступили свои права на обширные подводные газовые и нефтяные месторождения. (Китай на самом деле уже заявлял о своих правах на эти территории, простирающиеся на сотни километров на юг, вдоль побережья Вьетнама и Филиппин.) Условимся, что небольшие столкновения военно-морских сил этих стран уже происходили. Представим, что Вьетнам попросил США о военной поддержке (вот уж исторический анекдот), как сделали другие страны в регионе, претендующие на оспариваемые территории. В свою очередь президент Соединенных Штатов санкционировал совместные морские учения США и АСЕАН и отправил две группы авианосцев из 20 кораблей и 150 самолетов и несколько подводных лодок. Китай и США обменялись дипломатическими нотами и публичными заявлениями, и каждая страна заявила, что другой лучше воздержаться от вмешательства. Канал CNN начал передавать новости под заголовком «Кризис в Южно-Китайском море».
Наши гипотетические учения начинаются в Форт-Мид, где команда Киберкомандования США получает приказ продумать шаги, которые предпримет в случае обострения политической ситуации. Согласно приказу министра обороны необходимо:
1. Убедить китайское правительство отказаться от военных действий в оспариваемых водах.
2. Если переговоры не увенчаются успехом, максимально снизить опасность, исходящую от китайских военных, для американских и союзнических сил в регионе.
3. В случае, если напряжение усилится или противник внезапно начнет боевые действия, быть готовыми нанести удар по войскам Китая, чтобы уменьшить его возможности применения силы.
4. Подорвать внутреннюю инфраструктуру Китая так, чтобы переключить внимание китайского руководства на эту проблему и подвергнуть сомнению необходимость агрессивного поведения за пределами страны.
5. На протяжении всей операции Киберкомандование США должно сотрудничать с соответствующими правительственными ведомствами, чтобы предотвратить кибератаку китайского правительства или граждан на важнейшие военные и гражданские инфраструктуры США.
В такой ситуации перед командой, выступающей в роли Киберкомандования, возникает дилемма. Они не хотят демонстрировать все доступные им приемы кибератаки. Как только тот или иной прием используется, специалисты по киберобороне могут найти решение, позволяющее заблокировать такую атаку в будущем. Хотя защитники и не в состоянии подготовить все системы, которые могут подвергнуться атаке, они подлатают важнейшие, и нападение лишится немалой части своего потенциала.
Поэтому Киберкомандование предпочтет воздержаться от самых интеллектуальных методов. Пока они ждут, китайцы могут предпринять меры, которые существенно осложнят Соединенным Штатам проведение кибератак.
По мере усиления напряженности Китай сократит поток информационных пакетов в страну, а прошедшие будет сканировать и фильтровать на предмет обнаружения возможных угроз со стороны США. Затем, возможно, вообще оборвет связь с внешним миром. Если США к тому времени не запустят кибератаку, пробиваться через великий китайский брандмауэр Great Firewall будет гораздо сложнее.
Киберкомандование должно заранее создать туннели в киберпространстве Китая, например, спрятав спутниковые телефоны на территории страны, чтобы через них начать атаку на китайский Интернет. Или же совместно с ЦРУ распределить по всему Китаю агентов с ноутбуками, на которых установлено атакующее программное обеспечение.
Если США будут тянуть с использованием своего лучшего оружия, Китай может осложнить задачу, нарушив работу или разрушив наше киберпространство и интернет-магистраль. Переустановка серверов высшего эшелона в системе имен домена, занимающихся предоставлением интернет-адресов веб-сайтам или таблицами маршрутизации (протоколами пограничных шлюзов) провайдеров первого яруса, разрушит киберпространство на долгие дни. В результате поток информации будет попадать по неправильным интернет-адресам. Как я уже отмечал в третьей главе, мало что может помешать такому развитию событий, поскольку программы, управляющие работой Интернета, не проверяют, подлинна ли та или иная команда. Если китайцы смогут заслать своих агентов в «ящики», где расположены соединения интернет-провайдеров первого яруса, так называемые пиринговые точки, или на любые другие участки крупнейших сетей, они смогут отдавать команды непосредственно маршрутизаторам, которые коммутируют и направляют интернет-трафик. Даже несмотря на то что у Министерства обороны и разведывательных органов США есть собственные каналы, отделенные от общедоступного Интернета, их трафик, скорее всего, идет по тем же оптоволоконным магистралям. Просто их кабель покрашен в другой «цвет» либо идет по отдельному стекловолокну, но находящемуся в той же магистрали. Очень вероятно, что есть много участков, где трафик Министерства обороны и разведки проходит через те же самые маршрутизаторы, что и трафик общедоступного Интернета. Китай должен быть хорошо знаком с этими маршрутизаторами. Большая их часть произведена фирмой Cisco на территории Китая. Так что у Китая есть все возможности отключиться от Интернета и лишить Соединенные Штаты шанса нанести киберудар. Это означает, что на ранних этапах кризиса у Киберкомандования есть повод провести военные действия в киберпространстве за пределами США. Разумеется, это расширит масштабы кибервойны.
Чтобы начать операцию, группа Киберкомандования решит послать сигнал о своем участии, в надежде удержать Китай от дальнейших военных операций. Причастность Киберкомандования к последующим действиям будет отрицаться публично, но китайские власти должны понимать, что это вовсе не случайность. Сигнал, демонстрирующий, что США способны на технически сложные операции, должен быть достаточно явным для китайского руководства, но не настолько разрушительным, чтобы привести к полномасштабной кибервойне. Итак, взломав закрытую китайскую военную сеть, Киберкомандование рассылает старшим офицерам обработанную в фотошопе фотографию горящего китайского авианосца. Это не слишком прозрачный намек на то, что гордость китайского флота, его единственный авианосец, ВМС США могут отправить на дно, поэтому китайцам стоит подумать и не развязывать конфликт, который может привести к таким последствиям.
Затем американская разведка узнает, что китайцы готовы высадить десант на оспариваемые острова в Южно-Китайском море. Пентагон просит Киберкомандование выиграть время и отсрочить операцию, помешав погрузке войск и провианта на корабли, которые все еще находятся в порту. Штаб-квартира южнокитайского флота находится в Чжаньцзян на полуострове Лэйчжоу, а военно-воздушные силы, при поддержке которых проводятся операции на море, базируются на острове Хайнань в Тонкинском заливе. Штаб-квартира флота и морская авиабаза не имеют собственной электросети, они подключены к общей системе электроснабжения. У них нет собственных электрогенераторов, только аварийные резервные установки.
С помощью спецподразделения, 10-го флота, Киберкомандование использует заранее установленные «черные ходы» в электрораспределительной сети Китая и получает доступ к системе управления местной электросетью. Посылает сигналы, вызывающие скачки напряжения, вследствие чего срабатывают предохранители и генераторы останавливаются. Впрочем, американцы не провоцируют разрушение генераторов и трансформаторов.
Команда, играющая роль Китая, понимает, что блэк-аут был не случаен, и прослеживает следы атаки. Следы ведут в Эстонию и далее теряются. Никто в Пекине не подумает, что их атаковали эстонские хакеры. «Сигнал» привлекает внимание китайской команды. Им сообщают, что блэкаут на полуострове Лэйчжоу вызвал отключение электричества во всей провинции Гуандун (бывшем Кантоне), вследствие чего более ста миллионов граждан почти на сутки остались без света. Блэкаут затронет и Гонконг. Политбюро считает, что это лишь начало, и просит Киберподразделение Народно-освободительной армии предложить ответные действия. Киберподразделение рекомендует отреагировать соизмеримо и задеть города, в которых базируется американский флот, но послать сигнал о том, что Китай способен на большее. Политбюро одобряет все шесть шагов, предложенных кибервоинами:
1. Обеспечить подкрепление Южному флоту и отправить больше самолетов на Хайнань и аэродромы Южного побережья.
2. Отдать приказ китайской эскадре подводных лодок из Юйлинь, остров Хайнань, выйти в море.
3. Активировать логические бомбы, размещенные в электросетях Гонолулу, Сан-Диего и Бремертона (штат Вашингтон) — городах, где дислоцированы базы Тихоокеанского флота США. (Блэкаут распространится на Тихуану (Мексика) и Ванкувер (Британская Колумбия), хоть китайцы об этом и не знают.)
4. Разрушить открытую сеть Министерства обороны, запустив «червя», который заразит одну машину за другой и сотрет информацию с жестких дисков (атака будет запущена из внутренней сети Министерства обороны).
5. Атаковать эстонского интернет-провайдера, откуда предположительно была произведена атака на китайскую электросеть.
6. Вызвать блэкаут в японском городе Йокосука и на окружающей территории, где находится штаб-квартира 7-го флота США.
К началу следующего этапа учений напряжение нарастает, и Киберкомандование узнает, что Китай собирается отключиться от мирового киберпространства. Поэтому команда из Форт-Мид просит Пентагон разрешить запуск еще двух волн кибератаки и приготовиться к запуску третьей. Две атаки предлагается направить на сеть ПВО Китая и систему управления военного командования. Планируется использовать сверхсекретные программы атаки и логические бомбы, заранее размещенные в этих сетях. В перспективе можно атаковать железнодорожную сеть Китая, авиадиспетчерскую службу, банковскую систему и электросети (генераторы и трансформаторы).
Странно, но Киберкомандование получает из Белого дома и Пентагона приказ воздержаться от нападений на военное командование, системы управления и средства обороны, в частности ПВО. Киберкомандованию отдают приказ избегать атак на систему управления воздушным движением и банковский сектор.
Пока Киберкомандование формулирует дальнейшие предложения, из Security Industries Automation Corporation и Deposit Trust в Нью-Йорке сообщают о том, что их базы данных серьезно повреждены и даже разрушены. Также пострадали базы данных железных дорог CSX, Union Pacific и Burlington Northern Santa Fe и авиакомпаний United, Delta и American Airlines. Нью-Йоркская фондовая биржа закрыта, остановлены товарные поезда, самолеты не могут взлететь в аэропортах по всей стране. Управление информационного обеспечения, которое управляет внутренней сетью Министерства обороны, объявляет чрезвычайное положение, поскольку в секретную сеть SIPRNET и в сверхсекретную JWICS проникли «черви», распространяющиеся с невероятной скоростью и разрушающие жесткие диски. Все эти атаки пришли не из-за границы, поэтому американская разведка и Киберкомандование не обнаружили их на входе и не могли остановить. Очевидно, были использованы новые, неизвестные приемы, поэтому Киберкомандование не сумело заблокировать их, используя опыт прошлых нападений.
Выбор у Киберкомандования США невелик — нельзя атаковать китайскую систему ПВО, банки, систему управления вооруженных сил и авиадиспетчерскую службу. Более того, поскольку американское Киберкомандование должно защищать сети Министерства обороны, некоторым сотрудникам приходится переключиться на борьбу с появившимися там «червями». Учитывая масштабы действий китайской команды, американцы решают устроить блэкаут по всему Китаю и в том числе вывести из строя несколько крупных генераторов. В то же самое время они попытаются вызвать как можно больше аварий товарных поездов и устроить беспорядок в базах данных железнодорожной системы. Чтобы найти замену военным целям, которые вычеркнуло высшее командование, американская команда решает атаковать китайские военные и гражданские спутники связи.
Доклад руководящей группы о последствиях второго раунда атаки сложно назвать хорошей новостью для американцев. Китай отсоединил свои сети от глобального Интернета, тем самым ограничив возможности американского нападения. Более того, когда Соединенные Штаты впервые атаковали электросеть, Пекин приказал всем остальным ее секторам перейти в положение обороны, то есть отключиться от Интернета. Электрические сети Китая разделились на «островки», чтобы предотвратить каскадные отключения электричества. Лишь несколько генераторов, выбранные американцами в качестве мишеней, были выведены из строя, что привело к локальным отключениям электричества. Все остальное было переведено в режим обороны — железные дороги стали управляться вручную и по радиоканалам. Попытка нарушить работу системы товарных поездов не удалась.
США взломали китайский спутник связи, заставив его поворотный двигатель работать, пока не израсходовалось все топливо, и направив в сторону Юпитера. Однако в течение часа китайский флот привел в действие запасную, засекреченную телетайп-систему. Но атака американцев на сеть снабжения китайского флота оказалась успешной, что наряду с региональным отключением электроэнергии замедлило погрузку китайских военных подразделений на корабли.
Руководящая группа также сообщила, что китайская подводная лодка всплыла на поверхность точно между двумя американскими авианосцами. Она проникла за границу обороны, подобно тому, как произошло в 2009 году, когда подлодка класса Song оказалась рядом с американским авианосцем Kitty Hawk. Поднявшись на поверхность, подлодка выдала свое расположение, но послала США сигнал, что дислокация американских авианосцев китайцам точно известна. Если бы началась активная фаза войны, это позволило бы Китаю направить на данный участок множество крылатых ракет наземного и воздушного базирования.
Киберкомандование США проинформировали, что Белый дом приказал двум группам американских авианосцев взять курс на Австралию. Госдепартамент готов начать переговоры на высшем уровне по поводу территориальных претензий Китая. Киберкомандованию приказано прекратить наступательную операцию.
После каждых кабинетных учений в правительстве проводится собрание наблюдателей и игроков под названием «горячий душ». Пора записать полученные уроки и наметить области дальнейшего исследования. Итак. Что мы узнали из учений «Южно-Китайское море»? Наметилось десять важнейших проблем: концепция сдерживания; ненападение; предвоенная подготовка поля битвы; глобальное распространение регионального конфликта; сопутствующий ущерб; контроль эскалации; случайная война; атрибуция; кризис неустойчивости; асимметрия обороны. Давайте последовательно проанализируем каждую из них.
1. Сдерживание
Очевидно, в этом случае сдерживание не состоялось. Какой урон Китай может нанести Соединенным Штатам? В реальном мире США, пожалуй, воздержались бы от развязывания полномасштабной кибервойны с Китаем из боязни несимметричных последствий, к которым бы привели ответные меры. И все же сдерживание — это самая неразвитая теоретическая область в современной концепции кибервойн. Теория сдерживания служила основой ядерных стратегий США, Советского Союза и НАТО в эпоху холодной войны. Страх последствий использования ядерного оружия (и опасение того, что любое его использование станет глобальным) удерживал ядерные державы от применения абсолютного оружия друг против друга. Он также удерживал государства, как ядерные, так и нет, от любых действий, которые могли бы спровоцировать ответный ядерный удар. Стратеги разрабатывали сложные теории ядерного сдерживания. В 1960-х годах Герман Кан выделил три разных типа ядерного сдерживания. Теоретические исследования Германа Кана изучались гражданскими и военными лидерами Соединенных Штатов и Советского Союза. Его сухие размышления о вероятных масштабах разрушений, изложенные в книгах «О термоядерной войне» (1960) и «Думать о немыслимом» (1962), несомненно, помогли предотвратить ядерную войну.
Из всех ядерных концепций теория сдерживания, пожалуй, наименее применима к кибервойне. На самом деле сдерживание в киберпространстве имеет совершенно иное значение, чем в работах Кана и стратегов тех годов. Ядерное устрашение основывалось на представлении о последствиях применения ядерного оружия. Мир в 1945 году увидел два ядерных взрыва в Хиросиме и Нагасаки. Позднее проводились многочисленные надземные испытания: Соединенными Штатами и Советским Союзом в 1940–1950-х, Великобританией в 1952-м, Францией в 1960-м и Китаем в 1968-м. В общей сложности пять первых ядерных держав взорвали около 2300 ядерных снарядов над и под землей.
Никто не знает, что бы случилось, если бы Соединенные Штаты или Советский Союз запустили несколько сотен баллистических ракет с ядерными боеголовками, но изначально американские военные планировали запустить более 90 % своих ракет и задействовать все имевшееся вооружение. Чтобы удостовериться, что возможная массовая атака окажется успешной, американские военные планировали наносить ядерные удары трех разных видов (бомбардировка с воздуха, запуск ракет наземного базирования, запуск ракет морского базирования). Обе сверхдержавы развернули свои силы так, чтобы после неожиданной массированной атаки со стороны противника большая часть ядерного оружия не пострадала. Ответный удар был неизбежен. То есть существовала почти полная уверенность в том, что если одна сторона применит ядерное оружие, то от него же в той или иной степени пострадает. Последствия массированного обмена ядерными ударами были предметов дебатов, но мало кто сомневался в том, что обе стороны нанесут друг другу ущерб, не имеющий равного во всей человеческой истории. Многие полагали, что после атомной войны настанет ядерная зима и человечество вымрет. Почти все эксперты были уверены в том, что массированный обмен ядерными ударами приведет к быстрой смерти миллионов (Кан сухо отмечал: «Никто не хочет стать первым убийцей сотен миллионов человек»).
Все опасались, что любое применение ядерного оружия может привести к войне непрогнозируемого масштаба. Это опасение вот уже более 60 лет сдерживает Соединенные Штаты и Советский Союз от использования ядерного потенциала. Проведенные ядерные испытания создали эффект демонстрации. Некоторые теоретики полагали, что в случае масштабного кризиса (войны с применением обычных видов вооружения в Европе) Соединенные Штаты могут взорвать ядерную бомбу в целях демонстрации, предупреждая: если война не прекратится, Североатлантический союз готов перейти к использованию ядерного оружия. В НАТО планировали «сигнализировать о намерениях НАТО» такими предупредительными выстрелами. Как показывают все имеющиеся на сегодняшний день примеры кибервойн, в данном случае эффект демонстрации не работает. Как уже обсуждалось, большинство киберинцидентов представляли собой либо простые DDoS-атаки, либо тайное проникновение в сеть с целью кражи информации или размещения лазеек и логических бомб. На последствия DDoS-атак мало кто обращал внимание, помимо ее непосредственных жертв. Что же касается взломов, о них зачастую не догадываются даже жертвы.
Итак, в какой степени кибервоины уверены, что их оружие сработает, каких последствий они ожидают от его применения? Они знают, что им неоднократно удавалось проникнуть в сети других государств. Возможно, они испробовали все, за исключением нескольких финальных нажатий кнопок, которые сделали бы в настоящей кибервойне. Они наверняка проводили разрушительные операции на моделях вражеских сетей. Такие испытания проводились на генераторе в штате Айдахо в рамках программы «Аврора». В результате экспериментаторы убедились, что с помощью кибероружия можно вызвать физическое разрушение большого электрогенератора.
Однако кибервоины не знают, какие сюрпризы может им преподнести защита страны, которую они атакуют. Что будет, если Китай отсоединит свою сеть от остального киберпространства? Есть ли у США план действий при таких обстоятельствах? Если русские разместили «черные ходы» и логические бомбы в американских сетях, как им узнать, что американцы их не обнаружили и не запланировали их устранение в случае напряжения отношений? Когда кибервоин соберется проникнуть в сеть с помощью заранее установленных «черных ходов», маршрут доступа могут заблокировать, а на его пути неожиданно встанет эффективная система предотвращения вторжений. В отличие от систем ПРО системы предотвращения вторжений в важнейшие сети могут держаться в тайне до момента их активации. Если задача кибервоина — отключить вражескую систему ПВО накануне вторжения бомбардировщиков, военно-воздушные силы атакующей страны может постигнуть глубокое разочарование. Радиолокационные станции и ракеты, которые считались бездействующими, могут внезапно активироваться и уничтожить штурмовую авиацию. Последствия ядерного взрыва знали наверняка. Если его целью была военная база, она выводилась из строя на долгие годы, если не навсегда. Когда я в 1970-х годах был аспирантом Массачусетского технологического института, мне почти сразу вручили специальный диск — калькулятор ядерного воздействия. Сделав поворот одного диска на один круг, мы устанавливали мощность ядерного взрыва, скажем, 200 килотонн. Покрутив другой — выбирали, где будет производиться взрыв (на земле или в воздухе). Затем указывали максимальное расстояние до цели, и этот маленький калькулятор определял, будет ли мощность взрыва достаточной, чтобы сравнять с землей ракетную стартовую шахту врага и превратить ее в облако радиоактивной пыли. Кибервоин может быть уверен в том, что если он нанесет удар серьезным кибероружием по какой-то системе, эта система, скажем железнодорожная, скорее всего, выйдет из строя. Но ему не известно, существуют ли у данной системы надежный план противодействия сбоям и резервная сеть управления, ведь противник держит ее в секрете и не использует. Нападению препятствует система предотвращения вторжений, а система поддержки непрерывности позволяет быстро восстановить объект после кибератаки.
В силу невозможности узнать оборонительный потенциал противника концепция сдерживания в теории кибервойны существенно отличается от концепции сдерживания в ядерной стратегии. В ядерной стратегии было предельно ясно — в большинстве случаев нападение предпочтительнее, то есть любую оборону легко разбивает своевременная внезапная атака. Гораздо дешевле направить свои ракеты на оборонные объекты противника, чем разрабатывать хоть сколько-нибудь эффективные средства ПРО. Какой бы совершенной ни была оборона, нападение давало сто очков форы. Кроме того, никто ни на секунду не мог представить, что Советский Союз или Соединенные Штаты тайно сумеют разработать и развернуть эффективную систему ПВО. Рональд Рейган надеялся, что США, потратив миллиарды долларов на исследования, сумеют изменить это соотношение и средства противоракетной обороны станут реальной силой. Спустя десятилетия мы этого так и не добились, и сегодня Соединенные Штаты надеются, что им удастся предотвратить небольшую ракетную атаку или нападение примитивных ракет второстепенных государств. Но даже это остается под сомнением.
В теории стратегической ядерной войны разрушительная мощь нападения была хорошо известна, и никакие средства обороны не могли воспрепятствовать ей, поэтому нападения боялись. Это сдерживало страны от применения ядерного оружия и совершения других провокационных действий, способных вызвать ответный ядерный удар. В случае кибервойны потенциал нападения в значительной мере секретен, но в случае кризиса может быть использована и эффективная оборона, так что едва ли какая-либо страна готова отказаться от применения кибероружия.
Предположим, что Соединенные Штаты (или какая-либо другая страна) обладают таким мощным наступательным кибероружием, что могут преодолеть любую защиту и нанести серьезный урон вооруженным силам и экономике противника. Если бы США объявили о таких возможностях, не раскрывая деталей, многие оппоненты сочли бы, что мы блефуем. Когда не известны подробности, когда никто не видел американское кибероружие в действии, мало кто испугается до такой степени, чтобы воздерживаться от действий. Теоретически США могут продемонстрировать свой киберпотенциал, наказав каких-нибудь злодеев. (В 1989 году США направили истребители-бомбардировщики F-117 в Панаму не потому, что боялись панамской противовоздушной обороны, а потому, что Пентагон жаждал похвастаться своим новым оружием и устрашить остальных. Вторжение получило кодовое название «Просто потому», и многие в Пентагоне саркастически замечали, что мы послали туда F-117 «просто потому, что можем».) Что же касается идеи использования кибероружия в ходе очередного кризиса, проблема в том, что многие сложнейшие приемы кибератаки разрабатываются только для одноразового применения. Когда кибероружие используется, потенциальные оппоненты обнаруживают его и прилагают все усилия для разработки защиты.
Если США не в силах устрашить других секретным кибероружием, боимся ли мы сами киберугрозы со стороны других стран? Иначе говоря, удерживаем ли мы себя сегодня от обычных военных операций, помня о собственной уязвимости в киберпространстве? Если бы кризис в Южно-Китайском море начался, как в описанных выше учениях, сомневаюсь, чтобы кто-нибудь на собрании оперативного штаба сказал президенту: «Лучше не посылайте авианосцы в Китай. Если вы это сделаете, господин президент, Пекин запустит кибератаку, которая разрушит нашу фондовую биржу, заставит приземлиться наши самолеты, остановит поезда, погрузит наши города во тьму. Мы никак не сможем остановить их, сэр».
Кто-то должен это сказать, поскольку, конечно, так оно и есть. Но скажут ли? Маловероятно. Самый высокопоставленный американский офицер только два года назад узнал о том, что его сеть может быть разрушена в результате кибератаки. Белый дом под управлением президента Обамы целый год не назначает кибербосса. Американские военные считают технологии чем-то вроде козыря в рукаве, который позволяет самолетам, кораблям и танкам работать лучше всех в мире. Им сложно представить, что другие страны могут эффективно использовать технологии против нас, особенно когда эти технологии — строки компьютерного кода, а не самолеты-невидимки.
Итак, мы не способны удержать другие страны от применения кибероружия. На самом деле другие страны не сдерживают себя и регулярно взламывают наши сети. Не способны мы и удержать их от действий, которые могут спровоцировать масштабную кибератаку. Сдерживание — это всего лишь потенциал, то, что мы может создать в голове возможного взломщика, если (очень большое если) серьезно отнесемся к развертыванию эффективных средств обороны в некоторых важнейших сетях. Поскольку мы даже не приступали к этому, теория сдерживания — краеугольный камень предотвращения ядерной войны — не играет никакой роли в предупреждении кибервойны.
2. Ненападение
Наверное, вы заметили, что в сценарии наших гипотетических учений было одно условие — мы нанесли первый удар. При отсутствии любой другой стратегии американская сторона в этих гипотетических учениях делает первый шаг в киберпространстве, рассылая оскорбительное электронное письмо по внутренней почтовой системе, которую китайцы считали закрытой, а затем инициируя то, что, как надеялись американцы, будет локальной аварией энергосистемы. Стратегической целью было показать, как серьезно Соединенные Штаты относятся к данному кризису, и продемонстрировать, что США обладают некоторыми возможностями. Непосредственной тактической задачей Киберкомандования было приостановить погрузку китайского десанта, чтобы выиграть время на переговоры американских дипломатов с китайцами по поводу запланированной операции.
В ядерной стратегии Советский Союз предлагал нам согласиться на условие, что ни одна сторона в случае конфликта не должна применять ядерное оружие первой; Американское правительство всегда отвергало эту идею, оставляя за собой свободу выбора в использовании ядерного оружия для того, чтобы компенсировать превосходящие неядерные силы Советского Союза. Следует ли использовать подход отказа от нападения первым в кибервоенной стратегии? В мире не существует традиционных вооруженных сил, которые превосходили бы американские, при условии, что американские войска не окажутся ослеплены и разъединены в результате кибератаки. Следовательно, нам не нужно стремиться начать кибервойну первыми, чтобы компенсировать какие-то недостатки, как приходилось делать в ядерной стратегии. Кроме того, когда мы делаем первый шаг в кибервойне, наша жертва в глазах всего мира поступает более приемлемо с политической точки зрения, когда отвечает нам тем же. Так что, учитывая нашу уязвимость к кибератаке, США, возможно, и не захотят переходить к кибернетической фазе войны.
Однако отказ от применения кибероружия до того, как оно будет использовано против нас, может означать, что, если вспыхнет обычная война, мы не сумеем защитить войска, используя кибератаку на системы противовоздушной обороны противника. Первое использование кибероружия в сценарии учений «Южно-Китайское море» было психологической операцией — мы рассылали электронное письмо с изображением тонущего китайского корабля по внутренней сети китайских вооруженных сил. Следует ли это считать первым применением кибероружия?
Более того, сценарий обнажил проблему: если вы не делаете первый шаг в киберпространстве, ваши возможности запустить кибератаку снижаются, поскольку другая сторона принимает оборонительные (Китай отключает свое киберпространство от всего остального мира) и наступательные (включая атаки, которые выводят из строя американские сети, которые, возможно, необходимы для запуска наших кибератак) меры. Заявлено ли это публично или считается скрытым элементом нашей стратегии, если мы принимаем решение не применять кибероружие первыми, мы должны четко понимать, что это будет означать. Считается ли актом кибервойны проникновение в сеть? Когда проникновение в сеть выходит за рамки простого сбора информации и превращается ли в этот момент разведывательное действие в кибервойну? Любой запрет на первый шаг применим лишь до начала поступательных военных действий. Как только война становится наступательной, почти все договоренности отменяются.
3. Подготовка поля боя
Вы должны были обратить внимание еще на один момент — обе стороны конфликта проникли в системы друг друга задолго до начала учений. В реальном мире, вероятно, они уже проделали то же самое.
Если ЦРУ засылает агентов в некую страну, чтобы они провели расследование на предмет возможности будущего саботажа и оставили тайники с оружием и взрывчаткой, по американскому закону эта деятельность считается секретной операцией, требует разрешения президента и формального уведомления двух разведывательных комитетов конгресса. В последние годы Пентагон придерживался мнения, что подобного рода секретные операции — это всего лишь подготовка поля боя и знать о них не обязательно. Выражение «подготовка поля боя» стало достаточно гибким. Почти любое место когда-нибудь может стать полем битвы.
Такая гибкость стала использоваться и в кибервоенной сфере, к тому же, очевидно, не только в Соединенных Штатах. В наших гипотетических учениях и США и Китай использовали предварительно установленные «черные ходы» в сетях противника, а затем взорвали логические бомбы, размещенные в том числе и в сетях, управляющих электроснабжением. Помимо учений есть и другая причина верить, что кто-то уже разместил логические бомбы в сетях управления американской энергосистемой. Несколько осведомленных источников намекнули или подтвердили, что США уже готовят поле боя.
Представьте: ФБР объявило, что арестованы десятки агентов китайского правительства, которые по всей стране устанавливали взрывчатку С4 на башни высоковольтных линий передач и трансформаторные подстанции. Вся нация возмутится. Некоторые конгрессмены начнут требовать объявления войны или карательных санкций в отношении китайского импорта. Кто-то станет настаивать, что пора называть китайскую еду чипсами свободы. Ну а когда в апреле 2009 года Wall Street Journal опубликовал статью о том, что Китай разместил логические бомбы в системе электроснабжения Соединенных Штатов, реакции практически не последовало. Такой разный отклик свидетельствует главным образом о неискушенности конгресса, СМИ и публики в вопросах кибервойны. Хотя это не означает, что существует какая-либо разница между последствиями взрыва логических бомб и взрывчатки С4.
Внедрение логических бомб в системы наподобие американской сети электропередач нельзя считать разведывательной операцией по сбору информации. Можно собирать сведения о системах вооружения, проникая в сеть Raytheon Company[15] или Boeing, но в системах управления Florida Power and Light нет информационной ценности.
Даже если бы там имелись ценные данные, логические бомбы не собирают информацию, они разрушают ее. Единственное объяснение тому, что вы вторгаетесь в систему управления электросетью, размещаете «черный ход», который позволит вам быстро проникнуть туда позднее, а также оставляете компьютерный код, способный после активации испортить программное (и даже аппаратное) обеспечение сети, — вы планируете кибервойну. Это не значит, что вы уже решили ее начать, но определенно подразумевает, что вы к ней готовы.
Во времена холодной войны и даже позднее ходили легенды о том, что советские агенты проникают в США с миниатюрными (чемоданными) ядерными бомбами, которые способны стереть с лица земли американские города, даже если США нанесут внезапный удар по СССР и уничтожат все бомбардировщики и ракеты. В то время как у США и Советского Союза действительно было «малое» оружие (у нас есть несколько сотен таких устройств Medium Atomic Demolition Munitions, MADM, и Small Atomic Demolition Munitions, SADM, которые могут поместиться в рюкзак), нет никаких доказательств, что кто-либо из нас развернул его на стороне противника. Даже в разгар холодной войны стратеги полагали, что использовать MADM слишком опасно. Но почему же китайские и, вероятно, американские ответственные лица разрешили использовать логические бомбы на территории другой страны? Маловероятно, что высокопоставленные чиновники одной или обеих стран не знали о таких действиях. Возможно, это военные отдали такой приказ, воспользовавшись собственными полномочиями по подготовке поля боя. Существует определенный риск, что высшим должностным лицам в случае кризиса скажут, что противник разместил логические бомбы на этапе подготовки к войне и будет угрожать ими, вынуждая высокопоставленных политиков принимать ответные меры. Лидерам могут доложить, что противник намерен разрушить нашу энергосистему, и мы должны действовать первыми, пока есть такая возможность. Есть и другой риск — оружие и в самом деле можно использовать без санкции высшего руководства. Его мог разместить слишком самостоятельный военачальник, или хакер, или рассерженный сотрудник. Кибервоины оправдывают шаги по подготовке поля боя, называя их необходимыми мерами по обеспечению руководства страны свободой выбора во время кризиса: «А вы бы хотели, чтобы у президента осталось меньше вариантов, как действовать в случае кризиса?» — спрашивают они. «Если вы хотите, чтобы в будущем у него была возможность действовать в киберпространстве, вы должны позволить нам проникнуть в их сети. Если сейчас сеть уязвима перед несанкционированным проникновением, это не значит, что так будет и через несколько лет, когда нам понадобиться в нее попасть».
Сети постоянно совершенствуются. Вполне вероятно, что электроэнергетические компании однажды приобретут эффективную систему предотвращения вторжений (IPS), способную обнаруживать и блокировать методы, которые мы используем для взлома сетей. Но если мы способны проникнуть в их сеть сейчас, мы можем оставить «черный ход», который любая будущая система безопасности воспримет как санкционированный. Однако проникнуть в сети в будущем — это еще полдела, нам необходимо будет запустить код, которые заставит систему делать то, что нужно нам. Будущая система может блокировать загрузку исполняемого кода даже авторизированным пользователем. Следовательно, мы должны, проникнув в систему сейчас, оставить там код, который заблокирует защиту от скачка напряжения, заставит генераторы вращаться несинхронно, в общем, обеспечит нам шанс использовать выбранный нами способ нарушения (или разрушения) работы сети или оборудования.
Звучит убедительно, но есть ли места, в которых готовить поле боя нежелательно?
4. Глобальная война
В наших гипотетических учениях ответный удар китайцев был направлен на четыре американские военно-морские базы, но затронул несколько крупных городов в четырех странах (North American Interconnects связывает энергетические системы США, Канады и Мексики).
Чтобы замести следы, США напали на китайскую сеть с эстонского компьютера. Чтобы добраться из Эстонии до Китая, американские атакующие пакеты прошли через несколько стран, включая Россию. Чтобы обнаружить источник атаки, китайцам пришлось бы проникнуть в российские маршрутизаторы, откуда поступили последние пакеты. Китай нанес ответный киберудар по Эстонии, чтобы дать понять — страну, которая позволяет проводить кибератаку, может ожидать возмездие, даже если это сделано неумышленно.
В эпоху межконтинентальных ракет и самолетов кибератака развивается быстрее и пересекает границы проще, чем любые другие формы военных действий на всем протяжении истории человечества. Как только государство инициировало кибервойну, возникает высокая вероятность того, что другие страны окажутся в нее втянуты, поскольку нападающие постараются скрыть как свою личность, так и маршруты, по которым шло нападение. Начать атаку с эстонских сайтов для США — это примерно то же, что без позволения посадить штурмовики на территории Монголии, дозаправить их, взлететь и сбросить бомбы на Китай. Поскольку некоторые средства нападения, например «черви», распространяются за считанные минуты, существует вероятность возникновения сопутствующего ущерба по мере того как эти программы будут переспать межгосударственные границы и разрушать неучтенные цели. А что насчет сопутствующего ущерба в стране, которая служит объектом атаки?
5. Сопутствующий ущерб и доктрина сдерживания
Стараясь поразить военно-морские базы, оба противника нанесли удар по электростанциям. При этом огромные регионы и миллионы людей остались без света, поскольку электросети очень уязвимы перед каскадными отключениями, которые происходят за секунды. В десятках больниц резервные генераторы так и не сумели запуститься. Международные законы вообще запрещают атаковать больницы и гражданские объекты, но невозможно разрушить электросеть, не затронув гражданские здания. В ходе последней войны в Ираке американцы провели кампанию «Шок и трепет», в процессе которой были стерты с лица земли конкретные здания, а гражданские объекты, расположенные на той же улице, остались нетронутыми. США и другие страны, соблюдающие осторожность при бомбовых ударах, разработали разрушительное кибероружие, вред от которого невозможно ограничить атакуемыми объектами.
В нашем сценарии кибервойны американское Киберкомандование не получило разрешения атаковать банковский сектор. В реальном мире мои предложения убедить Управление национальной безопасности вторгнутся в банковские системы и захватить финансы «Аль-Каиды» неоднократно пресекались Министерством финансов, когда президентом был Клинтон. Даже при Буше Министерство финансов смогло заблокировать предложение атаковать банковские счета Саддама Хусейна, в то время как администрация готовила вторжение и оккупацию, в ходе которых погибло более ста тысяч иракцев. Банкиры убеждали, что система международных финансовых отношений и торговли строится на определенном уровне доверия.
Решение США воздержаться от атак на финансовый сектор отражает понимание того, что Соединенные Штаты в кибервойне, затрагивающей банки, могут понести самые высокие потери. Даже несмотря на то что американский финансовый сектор защищен лучше всех остальных отраслей, он все же уязвим. «Мы, как приглашенные советники, проверили безопасность десяти с липшим крупнейших финансовых учреждений страны и сумели вторгнуться в систему каждого, — рассказал мне знакомый консультант по вопросам безопасности. — И каждый раз мы могли поменять цифры или перевести деньги, но, разумеется, этого не делали».
Существующие в США законы не запрещают вторгаться в системы иностранных банков для сбора разведывательных данных, но создают очень большие препятствия для изменения данных. Министр финансов и госсекретарь должны дать разрешение на такие действия. Насколько мне известно, подобные санкции никогда не давались. По существу, мы имеем дело с объектами, на которые нацелились, но не намереваемся наносить удар. Согласно такой стратегии, мы предполагаем или надеемся, что противники будут играть по этим же неписаным правилам. В учениях «Южно-Китайское море» Народно-освободительная армия Китая не стала следовать этим правилам. В ходе последней операции она нанесла удар по базам данных фондового рынка. Это было драматическое и, надеемся, нереальное развитие ситуации. Экономика современного Китая так крепко связана с американской, что он должен воздерживаться от нападений на финансовый сектор. Можно предполагать, что в обозримом будущем страны будут воздерживаться от атак на финансовый сектор, вызывающих изменение данных, хотя некоторые американские аналитики выражают сомнения относительно Китая.
Поскольку рассчитывать на аналогичную вежливость со стороны искушенного хакера-одиночки не приходится, американский финансовый сектор совместно с федеральными регулятивными органами должен заранее прийти к пониманию, что делать в случае атаки, способной изменить хранящуюся информацию. Вероятно, следует обсудить планируемые действия с некоторыми европейскими и японскими институтами. У Федерального резервного банка, Securities Industry Automation Corporation и ряда других операторов финансовых баз данных существуют специальные системы удаленной архивации. Чтобы быть готовыми к восстановлению данных после атаки, необходимо иметь «слепок» того, «кто чем владел», который не сможет затронуть кибератака. По согласованию с федеральными органами управления банки и фондовые биржи в случае сбоя могут восстанавливать систему по предыдущим данным. Кто-то потерпит убытки, кто-то разбогатеет, но финансовая система продолжит функционировать.