Дэвид Оманд
Киберпространство быстро становится сферой соперничества между великими державами, что ставит перед международным сообществом вопросы о характере кибервойны, взаимоотношения ядерного оружия и кибероружия и возможности киберсдерживания. В интервью для Ядерного Контроля сэр Дэвид Оманд, приглашенный профессор Лондонского Королевского колледжа, в прошлом глава Центра правительственной связи (специальной службы Великобритании, ответственной за ведение радиоэлектронной разведки и обеспечение защиты информации), рассказал консультанту ПИР-Центра Адлану Маргоеву о сдерживании, доверии и безопасности в киберпространстве.
— Давайте начнем с концепции сдерживания. Ядерное сдерживание основано на гарантированном нанесении взаимно неприемлемого ущерба, что удерживает страны от нападения друг на друга. При этом, консенсус сводится к тому, что ограниченная ядерная война быстро эскалирует до полномасштабной, что увеличивает вероятный урон и усиливает сдерживание. В тоже время, в киберпространстве вполне возможно организовывать ограниченные атаки, не ведущие к эскалации, что повышает привлекательность кибератак. В таком случае, можно ли сказать, что сдерживание в киберпространстве вообще возможно?
— Я согласен с Вашей характеристикой сдерживания в ядерной сфере, где существует устойчивое «равновесие страха» между крупными ядерными державами. Это не обязательно описывает отношения между другими государствами, обладающим ядерным оружием, но, безусловно, верно для США и России.
Гарантированное взаимное уничтожение – формулировка, несколько вводящая в заблуждение. Это система, которая позволяет избежать всеобщей войны. Цель ядерного оружия – не сдерживание ядерной атаки, а предотвращение войны с использованием обычных вооружений, которая, как мы знаем из истории, может быть чрезвычайно разрушительной. Никто не готов сделать первый шаг, способный привести к полномасштабной войне, которая могла бы затем подтолкнуть проигрывающую сторону к применению ядерного оружия. Поэтому лучше этот первый шаг не делать.
На данный момент этот подход не распространяется на киберпространство, где вполне можно сделать первый или даже второй шаг – точно предсказать реакцию на них не получится, но это вряд ли приведет вас к войне. Риск состоит в том, что в условиях сильной напряженности расчет может поменяться и кибератака, направленная на военные или мобилизационные ресурсы одной из сторон конфликта, может спровоцировать войну.
— В настоящее время ядерное оружие обеспечивает стратегическую стабильность между Россией и США. Можете ли Вы представить ситуацию, при которой эту роль возьмет на себя кибероружие?
— Я не думаю, что их можно сравнивать. Ядерное оружие всегда будет чрезвычайно важно для США, также оно будет важно и для России, не только из-за США, но также и из-за баланса с Китаем. Я думаю, что оно всегда будет доминировать в стратегической сфере. Но это не отменяет того факта, что великим державам необходимо поддерживать конструктивную дискуссию о том, что является разумным ограничением деятельности в киберпространстве, что можно расценивать надлежащим поведением в этой сфере – мы должны поощрять такой диалог.
— Диалог между Россией и США по кибербезопасности страдает от влияния межгосударственных трений в других сферах. Возможно ли изолировать это направление сотрудничества?
— Я думаю, что его довольно трудно изолировать. В основе диалога по кибербезопасности лежит вопрос доверия. Если доверие между Москвой и Вашингтоном было подорвано расхождениям по поводу Крыма, Восточной Украины, это не получится игнорировать. Я считаю, что первый шаг должен заключаться в том, чтобы вернуть отношения на более продуктивную основу. С моей точки зрения, это потребует шагов со стороны Москвы.
— Раньше западные страны говорили о кибербезопасности, а Россия использовала термин «информационная безопасность», включающий в себя вопросы контента. Но доклад по итогам расследования кибератак против Национального комитета Демократической партии США во многом фокусировался на вопросах пропаганды и «подрыва демократии». Означает ли это изменение подхода?
— Когда Великобритания или США говорят о кибербезопасности систем, они имеют в виду как техническую безопасность, так и целостность, и доступность информации, находящейся в этих системах. Открытое пропагандистское вещание, естественно, относится к другой сфере, но тайные операции по размещению в соцсетях записей, источник которых нельзя отследить, или использование «троллей», распространяющих выдуманную информацию, вероятно, будут относиться к кибербезопасности, поскольку это подпадает под определение злоупотребления системой. Радио- и телевещание, как я уже сказал, это совершенно другая область.
Если бы вы проводили стратегический анализ российской информационной доктрины, вам бы несомненно пришлось обратить внимание как на открытые возможности PR и СМИ, так и на тайные операции и кибератаки. Вероятно, поэтому их и рассматривают вместе. Что касается того, как определить охват кибербезопасности, можно сказать, что он включает в себя гарантии относительно передаваемой информации, включая гарантии того, что система не скомпрометирована, а также гарантии того, что не сама информация не скомпрометирована и доступна. Так что я не думаю, что здесь есть противоречие.
— Последний вопрос касается ответственности за кибератаки. В какой мере жертвы атаки могут провести атрибуцию действий в киберпространстве?
— Я считаю, что это довольно сложно. Вы конечно можете, попробовать идентифицировать нападавших, проведя анализ кода, как это делает Лаборатория Касперского. Также работают и FireEye, и Symantec. В этом случае вы полагаетесь на глубокое знание «почерка» хакеров, и можете определить конкретных людей или группировки, написавшие этот код. Например, сейчас мы знаем, что кибератака на телеканал TV5 Monde была замаскирована под действия группировки КиберХалифат. Но, почти наверняка, это была одна из русских группировок, была проведена целенаправленная работа по организации ложного следа. В этом случае чтобы установить настоящий источник атаки нужна разведывательная информация. Например, в случае с компанией Sony и Северной Кореей источник атаки устанавливался, основываясь на закрытой разведывательной информации АНБ.
Сочетание криминалистического анализа, большого опыта, необходимого, чтобы понять, что вас пытаются направить по ложному следу, и разведывательных данных может позволить достаточно уверенно установить авторство атаки. И экспертиза в этой области совершенствуется. Российскую кибероперацию Moonlight Maze удалось отследить благодаря вредоносному программному обеспечению, размещенном на одном из серверов, нападающие заразились им, что позволило точно определить местоположение атакующей стороны. Сама операция происходила в конце прошлого века, но этот случай демонстрирует возможность установить авторство хотя бы некоторых атак, используя набор различных инструментов.
При этом, важно отметить, что атрибуция кибератаки, в конце концов, является политическим решением. Если глава государства решит, «этих доказательств мне достаточно», он примет решение о том, кто несет ответственность за атаку, нравится вам это или нет. И атакующие должны это очень хорошо понимать. Нельзя рассчитывать на то, что атрибуция будет осуществляться только на основании технической оценки с большим количеством «возможно» и «вероятно». Если речь идет о серьезной ситуации, политическое руководство может решить «мне этого достаточно» и начать действовать, это не судебный процесс.
— При этом, лидеры могут ошибаться?
— Да, это так. Хотелось бы надеяться, что люди будут очень осторожно относиться к установлению источника атаки. Но нельзя исключить, что, если речь будет идти о чем-то действительно важном, будет принято политическое решение. И мы видели в прошлом ошибочные политические решения.
Выходные данные cтатьи:
Ядерный Контроль, выпуск № 4 (486), Май 2017