Статус: Открыт

«Цена вопроса уже давно стала слишком высока». Как минимизировать риск возникновения ядерной войны из конфликта в киберпространстве?

18 февраля 2019

Олег Демидов

Эта статья опубликована в бюллетене “Ядерный Контроль”.

Читать бюллетень

Все чаще от экспертов можно услышать, что конфликт в киберпространствe может повлечь за собой ядерную войну. Консультант ПИР-Центра, эксперт по кибербезопасности Олег Демидов отвечает на вопросы Ядерного Контроля о вероятности такого сценария, о том, как разные страны определяют термин «критическая инфраструктура», и о том, как на международном уровне можно снизить риски полномасштабных военных конфликтов, выросших из киберстолкновений.

Насколько вероятна трансформация конфликта в киберпространстве в ядерный конфликт?

Говоря о такой возможности, эксперты обычно имеют в виду два сценария с разной степенью вероятности. Первый сценарий – осуществление успешной компьютерной атаки в отношении объектов стратегической инфраструктуры управления и контроля ядерных сил. К таким атакам относится атака на системы раннего предупреждения о запуске баллистических ракет или непосредственно на информационные системы самих стратегических вооружений и их носителей. В ряде докладов предполагается, что эта угроза уже актуальна. Например, Chatham House опубликовал доклад о том, что информационные системы британских подводных лодок стратегического назначения существенно уязвимы к кибератакам. 

Минус экспертных докладов в том, что их авторы – гражданские эксперты, которые не входят в офицерский состав сил стратегического назначения и не имеют доступа к засекреченной информации. Они не знают, какое именно программно-аппаратное обеспечение и его модификации установлены на объектах инфраструктуры управления ядерными силами, и какие меры безопасности предусмотрены для его эксплуатации. Авторы оперируют лишь доступной им информацией из открытых источников и неполными данными, а потому их выводы неизбежно спекулятивны. 

Другими словами, сценарий сейчас представляется теоретически возможным, однако практический риск того, что потенциальные уязвимости в аппаратном обеспечении ракетоносцев будут эксплуатированы, – крайне низок. С уверенностью говорить о высокой вероятности совершения успешной компьютерной атаки на элементы инфраструктуры контроля и управления ядерными вооружениями пока не приходится. Дело в том, что наличия устаревшего ПО или критических уязвимостей в информационных самых таких объектов самого по себе еще недостаточно для реализации успешной атаки или кибероперации. Система обеспечения безопасности объектов управления стратегическими ядерными силами имеет несколько уровней. Существует также множество процедур, нацеленных на предотвращение неавторизованного любого доступа к системам управления – как физического, так и удаленного, программными средствами. 

Что конкретно помешает “кибертеррористам” проникнуть в системы управления ядерными арсеналами? 

Во-первых, любые информационные системы управления стратегическими вооружениями физически изолированы от любых внешних сетей, коммуникаций и иных систем. При этом, если возвращаться к подводным лодкам-носителям СЯО, стоит помнить о том, что во время боевых миссий они в принципе изолированы от любых каналов передачи данных (кроме ограниченной радиосвязи на низких и сверхнизких частотах).

Во-вторых, информационные системы управления стратегическими вооружениями зачастую адаптированы под нестандартные носители данных и аппаратные интерфейсы, что, наряду со строжайшей физической безопасностью и режимом доступа, сводит к минимуму риск атак типа «заражение вредоносным ПО со съемного носителя».

В-третьих, даже если в отдельных подсистемах используется коммерческое ПО «с полки» (off-the-shelf), для критически важных автоматизированных систем управления (АСУ) предусмотрены собственные либо глубоко локализованные средства ПО, программные и аппаратные архитектуры, форматы данных и протоколы управления, которые не встречаются на «открытом рынке» и не подвержены уязвимостям, присутствующим в массовых коммерческих продуктах.

В-четвертых, как и во многих по-настоящему критически важных системах, особенно в атомной и оборонной отраслях, цифровые системы управления критическими функциями в обязательном порядке дублируются аналоговыми системами, за которыми остается «последнее слово». 

Каков же второй сценарий превращения киберконфликта в противостояние с использование ядерных сил?

Второй сценарий более правдоподобен, но имеет более опосредованный характер – это компьютерные операции с вовлечением государственных акторов. Его результат – непреднамеренная или неуправляемая эскалация конфликта до уровня применения кинетических вооружений. Сюда же относятся и атаки с вовлечением негосударственных акторов, но с ошибочной атрибуцией, когда действия, совершённые неопознанным третьим лицом, приписываются по ошибке государствам. Этот сценарий может перерасти из формата кибероперации, авторы которой рассчитывают на безнаказанность или пропорциональный ответ, в открытый горячий вооруженный конфликт. В самом критическом случае он и может превратиться в конфликт с применением ядерного оружия. 

С одной стороны, вероятность второго сценария пока не была никем просчитана: не имеется комплексных теоретических изысканий, описывающих, насколько такой риск высок. С другой стороны, на данный момент страдает взаимная информированность различных государств (в том числе, обладающих ядерным оружием) о стратегии действий друг друга в киберпространстве. Сюда относятся и стратегии проведения кибернетических операций – в частности, в отношении объектов критической инфраструктуры потенциального противника. 

Ситуация усугубляется и тем, что общие критерии соразмерности, пропорционального ответа на кибернетические операции и допустимые международные практики ещё не выработаны. То есть нет общепризнанного понимания, при каком пороге ущерба государству с точки зрения международного права дозволительно переводить свои ответные действия из плоскости киберпространства в плоскость применения кинетических вооружений. Такие нормы позволили бы примерно просчитывать и предсказывать действия потенциального противника. Из-за этой международно-правовой неопределенности, сгущается туман войны в сфере компьютерных операций и национальных доктрин киберобороны. До сих пор не решены проблемы атрибуции, а между большинством государств отсутствуют минимальные меры кризисного реагирования и кризисных коммуникаций на случай киберконфликта. Все эти обстоятельства увеличивают гипотетический риск неконтролируемой эскалации конфликтов в киберпространстве до конфликтов с использованием кинетических и – в случае с ядерными державами – стратегических вооружений. 

Kакую инфраструктуру называют критической?

У большинства государств в мире есть свои подходы к типизации и категоризации критической инфраструктуры (КИ). Она затрагивает значительную долю секторов экономики и управления. Перечень таких категорий примерно совпадает, и обычно в нем выделяется от 10 до 16 секторов КИ: системы государственного управления, инфраструктура сектора телекоммуникаций и связи, аэрокосмического сектора, промышленности – тяжелой, химической и т.д. Практически во всех списках выделяется ядерная промышленность, электроэнергетика, транспортный сектор. В последнее время в перечень включаются такие отрасли, которые сильно замыкают на себя снабжение жизненно необходимыми услугами широких масс населения – например, службы водоснабжения или сервисы производственно-логистической цепочки пищевой продукции. 

А в чем разница между критической и критической информационной инфраструктурой? 

Отдельно от критической инфраструктуры в различных юрисдикциях – Евросоюзе, России и КНР – выделяется понятие «критическая информационная инфраструктура» (КИИ). Это понятие относительно новое и еще не устоялось методологически так же четко, как «критическая инфраструктура». В России единое видение проблематики в области обеспечения безопасности КИИ сложилось с принятием одноименного федерального закона «О безопасности критической информационной структуры Российской Федерации» в 2017 году. В этом документе выделены 13 секторов хозяйства экономики управления, в которых должны быть идентифицированы и категорированы объекты КИИ. 

Список этих секторов, в основном, совпадает со списком секторов критической инфраструктуры. В чем же отличие? В том, что на уровне терминологии и определения объектов регулирования понятия «критической инфраструктуры» и «критической информационной инфраструктуры» были отделены друг от друга. Теперь в России критическая информационная инфраструктура – это отдельный вид объектов, а не просто информационные системы объектов КИ. К КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления технологическими процессами (АСУ ТП) инфраструктурных объектов, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Правила категорирования объектов КИИ были утверждены отдельным приказом Правительства РФ в 2018 году. В основе категорирования – пропорциональный принцип. Чем больше потребителей услуг есть у объекта инфраструктуры и чем больше средств, которые генерируются этим объектом, тем выше категория значимости объекта КИИ. Требования к обеспечению его безопасности будут жестче.

А как с определениями обстоит дело в США?  

В США есть специфика – там нет единой законодательной рамки, которая бы охватывала всю сферу КИ. В Штатах до сих пор продолжается развитие и реализация целого ряда федеральных регуляторных политик в отношении КИ. Во многом в США еще превалирует подход обеспечения кибербезопасности объектов информационной инфраструктуры в секторах КИ (в отличие от обеспечения безопасности КИИ). Поэтому у различных федеральных регуляторов в некоторых случаях пересекаются компетенции и сферы полномочий. 

Основным регулятором в области обеспечения защиты КИ, в том числе кибербезопасности критической инфраструктуры, является Министерство внутренней безопасности (Department of Homeland Security, DHS). Ведомство задействует разные инструменты: сети государственно-частных партнерств, нацеленных на повышение уровня киберзащищенности объектов КИ, систему регуляторных требований к операторам объектов КИ, программы практических тренингов, учений и наращивания потенциала в области кибербезопасности среди операторов объектов КИ (cybersecurity capacity building).

Как на техническом уровне обеспечить большую защищённость физических инфраструктур? 

Большинство объектов КИ и КИИ – это сложные комплексные объекты. Некоторые из них относятся к числу наиболее сложных инженерных объектов, созданных человечеством, – с точки зрения своих информационных систем, информационной инфраструктуры, организации внутренних сетей и т.д. Поэтому подход к обеспечению должного уровня киберзащищеннности таких объектов обязан учитывать эту сложность и может базироваться на трех принципах. 

Первый принцип, который не всегда удается воплотить в жизнь по экономическим и управленческим причинам – это внедрение принципов кибербезопасности еще на этапе проектирования систем. Речь идет об особом дизайне системы на этапе проектирования объекта и проектирования его сети – то есть, буквально, с момента строительства здания под будущий объект связи или иной узел информационной инфраструктуры, который является частью объекта КИ. Внедрение же принципов киберзащищенности «задним числом» или лоскутно-заплаточным методом, как показывает практика и отраслевая статистика компьютерных инцидентов, не очень эффективно. 

Второй принцип, который имеет смысл воплощать в жизнь – тщательная проработка и реализация сегментации информационной и, в частности, сетевой инфраструктуры на объекте. То есть, производственный сегмент сети («Operations Network») должен быть однозначно отделен, изолирован от периферийных сегментов сети – т.е. от бизнес-сегмента, бухгалтерии, взаимодействия с внешними подрядчиками и клиентами и т.д. Во многих случаях целесообразно использовать физическую сегментацию, когда полностью исключается какая-либо физическая связанность между сегментами сети – так называемая политика ”Air Gapping”. А в каких-то случаях достаточно настроить сегментацию на логическом, сетевом уровне, сохранив физическую связанность информационных систем. 

Третий принцип всеобъемлющ – это поиск правильного баланса между безопасностью и эффективностью бизнес-процессов. Всегда есть выбор: обеспечить большую скорость, удобство и простоту реализации бизнес-процессов в ущерб общей безопасности, либо сделать упор на обеспечении безопасности, что может притормозить внедрение более эффективных и оптимизирующих бизнес-процессы технологий и практик. Поиск баланса особенно сложен, поскольку, например, в США около 90% операторов КИИ или КИ – это предприятия частного сектора или субъекты государственно-частных партнеров. Такими субъектами, прежде всего, движет коммерческая логика, и менеджмент предпочитает сдвигать баланс в пользу эффективности бизнес-процессов, зачастую игнорируя риски информационной безопасности, в том числе исходящие от инсайдера или даже случайных инцидентов как, например, ошибка оператора или отказ оборудования. Такие инциденты могут иметь для предприятия высокую цену. 

Какие нормы международного права могут снизить риск киберконфликтов? 

Международно-правовые нормы не всегда закреплены в международных договорах и конвенциях и не носят обязывающий характер. Эти нормы могут воплощаться членами международного сообщества по доброй воле с расчетом на взаимность со стороны ключевых партнёров в соблюдении этих норм. Основной площадкой выработки норм международного права в киберпространстве до последнего времени являлась Группа правительственных экспертов (ГПЭ) ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности. В 2013 и 2015 годах ГПЭ опубликовала два доклада по итогам своей деятельности. 

В отношении КИ среди предыдущих докладов ГПЭ особенно актуальны несколько норм. Например, норма о том, что должна обеспечиваться целостность и защищенность цепочек поставок, в том числе транснациональных компонентов информационных систем, программного и аппаратного обеспечения для объектов КИ совместными усилиями государств, регуляторов и субъектов рынка. Еще одна из 11 добровольных норм, ставших результатом работы ГПЭ 2015 году – реализация государствами во взаимодействии с компаниями частного сектора политики ответственного раскрытия уязвимостей и скрытых функций в программно-аппаратном обеспечении, в том числе, используемом в информационных системах объектов КИ. 

Почти все проекты добровольных норм, опубликованных в докладе ГПЭ 2015 года, о том, как снизить риск глобальных международных конфликтов в киберпространстве. Среди этих норм – и запрет использования своих систем и информационной инфраструктуры на своей территории так называемыми прокси-акторами, то есть посредниками. Также ГПЭ предложила запретить государствам предоставлять свою территорию и инфраструктуру в качестве «транзитной базы» для осуществления компьютерных операций и атак. 

Как будет развиваться нормотворчество в этой сфере дальше? 

В этом году вместо прежнего единого рабочего формата свою работу впервые начнут две группы. Одна из них сохранит прежнее название – это та же Группа правительственных экспертов. Вторая представляет собой Рабочую группу открытого состава (Open-Ended Working Group, OEWG), созданную по инициативе России и учрежденную Генеральной Ассамблеей ООН в ноябре 2018 года. Эта группа будет работать параллельно с ГПЭ. Пока неизвестен конкретный формат взаимодействия двух групп, но предполагается, что они либо по отдельности, либо в каком-то взаимодействии друг с другом будут развивать наборы добровольных норм и принципов ответственного поведения в киберпространстве, согласованные предыдущими созывами ГПЭ в 2013 и 2015 годах. 

А какие практические инструменты существуют для снижения риска конфликтов в киберпространстве? 

Существуют меры прозрачности и доверия (Trust and Confidence Building Measures, TCBMs), которые разрабатываются на нескольких площадках. В первую очередь, это региональная площадка ОБСЕ, во вторую – Региональный форум АСЕАН (АРФ), где понемногу активизируется процесс подготовки к разработке и принятию таких мер доверия. 

Меры доверия существуют не в изоляции от проектов добровольных норм и принципов ответственного поведения – они реализуют, уточняют и дополняют эти нормы. Меры доверия – это более четкие и практические механизмы, которые включают в себя обмен необходимой информацией (частичное раскрытие базовых подходов к решению задачи по обеспечению безопасности КИ), создание линий коммуникаций, в том числе кризисных коммуникаций с целью экстренного предупреждения о масштабных инцидентах или о действиях и операциях в киберпространстве, которые могут затрагивать потенциального партнера, и иные договоренности. Потенциально, такие механизмы могут быть использованы для управления эскалацией конфликтов в киберпространстве. 

Арсенал мер довольно велик, а потенциал их намного выше чем то, что реализовано на сегодняшний день. Трудность в том, что процессы их согласования и внедрения идут медленно. Сейчас отсутствует минимально достаточный капитал доверия, который необходим, чтобы заставить государства реально вкладывать ресурсы в реализацию таких мер. Но несмотря на медленные темпы прогресса, единственный вариант действий – работать в этом направлении дальше, достигать каких-то компромиссов, находить точки, где интересы государств все-таки сходятся и можно выстраивать минимальные действующие на практике механизмы. 

Возможно ли сейчас такое сотрудничество на уровне России и США?

Диалоговый процесс не прерывался полностью, потому что обе стороны четко понимают его стратегическую важность и все более тесную связь кибербезопасности (в том числе, кибербезопасности объектов КИ) со стратегической стабильностью, национальной обороной и национальной безопасностью. То есть цена вопроса уже давно стала слишком высока, чтобы ее игнорировать. Вместе с тем текущая токсичная атмосфера и очень высокий уровень недоверия между двумя государствами препятствуют развитию этого диалога и реанимации каких-либо механизмов обмена данными и иного сотрудничества в киберпространстве.

Выходные данные cтатьи:

Ядерный Контроль, выпуск № 2 (508), Февраль 2019