(Июль 2012)
Известия о выявлении в компьютерах «новой старой» шпионской программы Flame, сработанной в государственных спецслужбах, подняли очередную волну призывов к международным соглашениям об ограничении вооружений для кибервойны.
На сайте одного из ведущих в США новостных изданий, «U.S. News & World Report», имеется раздел под названием «Дискуссионный клуб» (www.usnews.com/debate-club). В этом Клубе редакция собирает известных интеллектуалов и авторитетных экспертов нации для обмена мнениями по тем или иным актуальным проблемам современности.
В июне этого (2012) года, в частности, дебаты велись вокруг горячей темы «Нужен ли международный договор по кибервойне?».
Самым любопытным, пожалуй, итогом этой дискуссии стало то, что никаких споров, в общем-то, здесь не получилось. Потому что практически все участники обсуждения (за исключением единственного голоса), словно сговорившись, дружно и с весьма разнообразными аргументами заявили, что никаких международных договоров-соглашений относительно кибервойны заключать не следует.
А если вдруг прочие страны все же сумеют договориться об ограничении подобной активности, то и в этом случае Соединенным Штатам все равно не следует к этим договоренностям присоединяться…
Единодушие в дискуссионном клубе журнала – это, конечно, далеко не то же самое, что генеральная линия политического руководства страны. Однако показательно, что конкретно в данном случае обозначилось фактически полное совпадение взглядов в условном «обществе» и условном «правительстве» государства.
Хорошо известно, что на протяжении всей 15-летней, примерно, истории международных усилий по контролю за кибервооружениями, позиция сменяющих друг друга американских госадминистраций остается вполне четкой и непоколебимой: никаких соглашений и ограничений в этой области США на себя накладывать не намерены.
По этой причине «дебаты» в редакции U.S. News & World Report можно считать особо интересными, поскольку они в развернуто-популярной форме дают обоснования для столь негибкой и настораживающе воинственной позиции одной из наиболее мощных держав планеты.
Перед началом же ознакомления с содержанием всяческих дебатов обычно уместным бывает напомнить следующий факт.
Известный и одно время влиятельный русский философ Владимир Соловьев отличался не только богатейшей эрудицией, но и умением в высшей степени логично выстраивать аргументы для доказательства своих идей. При этом Соловьев отлично понимал, что сила стройной логики – это же и ее слабость. Ему определенно доставляло удовольствие смущать своих знакомых логическими парадоксами.
Сначала он с помощью сильных и глубоких аргументов доказывал одну точку зрения, а как только слушатель с нею соглашался, то тут же выстраивал другую строгую логическую цепочку из иных, не менее убедительных аргументов, которые доказывали совершенно противоположное утверждение.
Иначе говоря, при наличии навыков и умения, логически обосновать можно что угодно – не только полезность кибервойн без правил, но даже целесообразность массового уничтожения мирного населения. В истории известно немало и таких примеров.
НИКАКИХ ДОГОВОРОВ
Поскольку вышло так, что практически у всех участников дискуссии оказалась в сущности единая точка зрения, нет никакого смысла уточнять их регалии, имена и должности. Всю эту информацию, кому интересно, можно найти на сайте журнала. Здесь же в сводно-обобщенном виде будут просто изложены ключевые аргументы выступавших.
#
Договор по кибербезопасности – это просто плохая идея, которая никогда не будет работать.
На фоне нынешнего возбужденного шума вокруг Flame, Stuxnet и прочих [массово распространившихся в сетях вредоносных программ, сработанных спецслужбами США и Израиля], представитель правительства России призвал к международному договору о глобальной кибербезопасности. Это в принципе плохая идея, которая восходит еще к 1990-м годам.
В тот период и некоторые американские ученые предлагали некий комплексный юридический инструментарий для обеспечения кибербезопасности, причем дальним предком этой инициативы стал небезызвестный Пакт Келлога-Бриана 1920-х годов (Kellogg-Briand Pact), в котором государства отвергали войну в качестве инструмента политики.
Сколь эффективно тот пакт сработал, все наверное себе представляют. Вот и в договоре о всеобщей кибербезопасности примерно столько же смысла.
В тех же 1990-х Россия также предлагала идею кибердоговора и внесла свой проект на данный счет в ООН. С тех пор это стало ежегодно повторяющимся упражнением, которое никогда не может достичь консенсуса.
Кибердоговор поначалу получил поддержку в Генеральной Ассамблее, однако дальше дело не двинулось, потому что кибердоговоры нельзя воплотить в жизнь. Никто не знает, как проверять выполнение требований такого договора и контролировать накопленные кибервооружения. Здесь слишком трудна задача контроля и слишком легко жульничать.
Кроме того, так и не удалось разрешить очень важные проблемы с определением важнейших понятий – возможно, потому что эти проблемы просто неразрешимы. Например, чтобы ограничивать вооружения, надо прежде договориться, что под этим понимать.
Однако по сию пору в мире нет строгого определения того, что такое «информационное оружие» (в зависимости от контекста, в эту категорию легко могут попадать и подросток с ноутбуком, и некоторые газеты-журналы). Нет четкой грани между кибервойной и кибершпионажем, а договориться о запрещении шпионажа – это изначально бесперспективная затея.
Наконец, та же Россия является одним из главных оппонентов реального договора о сотрудничестве в области борьбы с киберпреступлениями [ибо множество стран трактует понятие «киберпреступление» в корне иначе, нежели власти США].
#
Кибероружие – это гуманная альтернатива обычным военным ударам.
Кибервойна – это реальная, жизнеспособная, не прибегающая к насилию альтернатива для военных ударов. Всякие договоренности в этой области помешали бы странам использовать такое «ненасильственное оружие», а это, в свою очередь повлечет за собой увеличение человеческих жертв. Иначе говоря, имеется сильный довод за то, чтобы не ограничивать кибератаки.
США и Израиль смогли без насилия затормозить и отбросить назад ядерную программу Ирана с помощью Stuxnet без единой человеческой жертвы. Если сравнивать этот метод с альтернативными ракетными ударами дронов, которые гарантированно приводят к людским потерям, то кибервойна, если применять ее правильно, может оказаться чем-то таким, что международному сообществу надо бы поощрять, а не ограничивать.
И Соединенные Штаты, по крайней мере, сделали бы большую глупость, списав со счетов оружие, которое можно применять столь эффективно и ненасильственно.
#
Традиционные подходы по контролю за вооружениями к кибервойне не подходят.
Подобный договор не способен ограничить поведение «субнациональных образований» (типа террористических групп или организованной преступности), которые также имеют интересы и возможности для ведения кибервойны.
Инструменты кибервойны технически сложно отличить от инструментов кибершпионажа, а шпионаж не является нелегальным занятием по международным законам (поскольку все страны этим занимаются).
Проверка и ответственность сторон трудно достижимы, поскольку очень сложно установить, кто именно устроил атаку уровня «военных действий». Наконец, верификация соблюдения договора, который запретил бы инструменты кибервойны, была бы практически невозможной.
#
В таком кибердоговоре нет никакой необходимости.
По той причине, что кибервойна пока что не продемонстрировала свою опасность для людей и для их собственности в той же мере, что другие типы военных действий. Наиболее на сегодняшний день тяжелая по последствиям кибератака, которую можно трактовать как пример кибервойны – это атака Stuxnet против иранских центрифуг для обогащения урана. Причем даже в данном случае имеется широкое расхождение оценок относительно того, был ли червь Stuxnet примером кибервойны.
Но как бы там ни было, последствия этой знаменитой ныне кибератаки радикально отличаются от традиционных «кинетических» атак обычными военными средствами. Хотя в будущем возможности серьезного ущерба отрицать нельзя, нам еще надо посмотреть, что это за кибератаки с эффектами, хотя бы близко приближающимися к традиционным, кинетическим ударам обычными вооружениями.
#
Ограничения на кибервооружения не только не будут работать, хуже того, они могут навредить кибербезопасности.
Производство кибервооружений чрезвычайно сложно выявлять. Это по определению скрытая от посторонних активность, которая не порождает ничего, что могли бы отслеживать внешние наблюдатели. Особенно, если тестовые полигоны не подключены к интернету (а здравый смысл диктует, что именно так это должно быть).
Более того, люди, создающие подобные вещи, обычно работают на агентства государственной безопасности, где к вопросам секретности и защиты операций подходят очень серьезно. Так что в итоге, может статься, предлагаемые ограничения на разработку кибервооружений окажутся даже вредными. Ибо в сердцевине этой деятельности находится выявление уязвимостей в программном обеспечении – а та же самая работа требуется и для укрепления защиты программ против атак криминальных хакеров.
#
Соглашений по ограничению кибервооружений не будет по той же причине, почему нет международных договоров о запрещении шпионажа.
Кибероперации, как и другие типы разведывательных и тайных операций, происходят скрытно и незаметно. По этой причине международный договор по кибервооружениям стал бы чем-то вроде международного договора против шпионажа и тайных мероприятий. Но такого рода соглашения абсолютно неработоспособны, поскольку сама подобная деятельность устроена так, чтобы избегать выявления и определения ее организаторов.
Всестороннего договора по кибервооружениям не будет и по той причине, что, к сожалению, это совершенно не в интересах (очень небольшого числа) государств, которые реально имеют возможности создавать подобного рода оружие, приходить к общим определениям и договариваться о мониторинге, о работоспособных механизмах контроля, о честных обязательствах воздерживаться от его использования…
ОДИНОКИЙ ГОЛОС «ЗА»
Единственным участником дебатов, вполне четко и однозначно высказавшимся за немедленные шаги к заключению международных договоров по ограничению кибервооружений, стал Брюс Шнайер – известный американский криптограф и эксперт по компьютерной безопасности.
Аргументы Шнайера на данный счет в несколько сокращенном пересказе звучат примерно так.
Международный договор о кибервойне – это единственный способ совладать с угрозой. Такой договор, конечно же, не остановит кибератаки полностью, однако, это будет шаг в правильном направлении.
Сейчас мы находимся в начальной стадии кибервоенной гонки вооружений. Дело это не только дорогостоящее и дестабилизирующее, но и угрожающее самим основам того интернета, которым мы пользуемся повседневно. Кибервоенные договоренности, сколь бы несовершенными они ни были, это единственное, чем можно переломить тенденцию.
Если вы читаете прессу и слушаете правительственных лидеров, то все мы уже находимся посреди кибервойны. Но вот если вспомнить, что обычно принято понимать под словом «война», то подобные заявления просто абсурдны.
Однако ныне определение кибервойны вполне умышленно расширяется до такой степени, чтобы включать в себя и спонсируемый правительствами шпионаж, и потенциальные террористические атаки в киберпространстве, и крупномасштабные криминальные схемы мошенничества, и даже атаки незрелых подростков-хакеров против правительственных сетей и критических инфраструктур.
Именно такое расширенное определение активно проталкивается с разных концов и военными, и правительственными подрядчиками, которые одновременно набирают на этом влияние в структурах власти и делают деньги на страхах публики перед кибервойной.
Опасность этого подхода в том, что для военных проблем предполагаются и военные, естественно, решения. Мы уже начинаем видеть, как милитаристы разных стран обретают все больше власти в киберпространстве.
Это и крупномасштабный мониторинг сетей, и военный контроль за интернет-стандартами, и даже идеи военного господства в киберпространстве. Прошлогодние дебаты по поводу «рубильника-выключателя для интернета» – это пример именно такого подхода. Речь идет о таких мерах, которые могли бы применяться в период военных действий, однако они не имеют никакого смысла в нынешнее мирное время.
Гонки вооружений растут из невежества и страхов. Невежества относительно возможностей другой стороны. И страхов того, что возможности врагов могут быть больше, чем ваши.
Как только кибервооружения появляются в арсенале, появляются и сильнейшие позывы применить их в реальном деле. Оба инструмента, Stuxnet и Flame, наносили вред не только тем компьютерам и сетям, против которых создавались.
Любые бэкдоры, встраиваемые в интернет-системы военными и спецслужбами, делают всех нас более уязвимыми для преступников и хакеров. И это только вопрос времени – когда из-за этого случится какая-нибудь действительно большая неприятность.
Быть может, из-за неуравновешенных действий некоего младшего офицера, возможно, вообще из-за негосударственного персонажа, а может и вообще по случайному стечению обстоятельств. И если ставшая жертвой атаки нация решит вдруг ответить адекватными мерами, то мы вполне можем оказаться в условиях уже реальной кибервойны.
Международное сотрудничество и договоры – это единственный способ обратить данный дестабилизирующий процесс. Полное запрещение кибервооружений – это, конечно, хорошая цель, но почти наверняка недостижимая.
Более вероятны такие договоры, которые обяжут стороны воздерживаться от применения оружия первыми; запретят кибероружие общего поражения или слишком широко нацеленное на всевозможные объекты; а также обяжут иметь лишь такие вооружения, которые самоуничтожаются по окончании этапа вражды.
Договоры, ограничивающие тактику и задающие пределы для накопления вооружений, могли бы стать следующей фазой соглашений. В частности, следует запретить кибератаки против гражданских инфраструктур. Международный банкинг, к примеру, можно было бы объявить полностью запрещенным для атак.
Да, конечно, воплощение договоренностей в жизнь будет делом непростым. Все помнят, наверное, как легко было прятать средства химической войны. Скрывать от проверок кибервооружения будет еще легче. Однако опыт Холодной войны всех нас многому научил: как договариваться о контроле за ядерными оружием, о сокращении химических и биологических вооружений.
Уже сам акт вступления в переговорный процесс ограничивает гонку вооружений и мостит дорогу к миру. И даже если договоры нарушаются, мир все равно более безопасен, потому что эти договоренности существуют, а тем, кто их нарушает, придется нести ответственность.
В военно-силовых структурах США утвердилось мнение, согласно которому договоры о кибервооружениях не служат главным интересам Америки. Ибо считается, что в настоящее время США имеют в киберпространстве военное преимущество и терять его не следует. Однако так ли это?
Мы, пишет компетентный в подобных вещах Шнайер, быть может, и имеем преимущество в наступательных средствах – хотя и это спорный тезис – но мы определенно не имеем преимуществ в обороне. Особо же важно то, что мы, как сильно пронизанная сетями страна, по природе своей и больше уязвимы для нападений в киберпространстве.
По этим причинам гораздо разумнее было бы прекращать нагнетания кибервоенных страхов и потихоньку начинать переговоры об ограничении милитаризации киберпространства и о наращивании международного сотрудничества в борьбе с киберкриминалом.
Эти шаги не сделают всех нас защищенными словно по волшебству, однако именно так мир делают более безопасным.
kiwi arXiv 