Ирина Лагунина: В вашингтонском Центре стратегических и международных исследований в рамках ежегодного форума по глобальной безопасности состоялась дискуссия о безопасности в киберпространстве. Речь шла главным образом о правовых аспектах защиты и нападения в виртуальном мире. Участниками разговора были бывшие высокопоставленные сотрудники Пентагона, ЦРУ и Агентства национальной безопасности. Рассказывает Владимир Абаринов.
Владимир Абаринов: Кибератаки стали повседневным кошмаром для государственных учреждений и частных компаний. Угроза настолько серьезна, что в 2009 году президент Обама объявил киберструктуру США стратегическим оборонным объектом, а Министерство обороны в прошлом году учредило специальное командование по защите киберпространства. Но какой должна быть эта защита? Следует ли рассматривать кибератаку как акт войны? Должны ли Вооруженные силы США отвечать на киберудар, и если должны, то на основании каких международных соглашений или национальных законов? И наконец, кому отвечать?
На все эти вопросы пытались ответить участники дискуссии. Они обсуждали конкретные инциденты. Один из них – нападение на Гугл в декабре 2009 года. Адриан Лапойнт, эксперт Центра стратегических и международных исследований.
Адриан Лапойнт: В январе 2010 Гугл объявил, что его сеть была взломана, и произошла утечка интеллектуальной собственности. Компания сообщила, что следы атаки ведут к компьютерам двух университетов в Китае. Гугл недавно вступил в конфликт с китайским правительством по поводу цензуры своей поисковой системы. Государственный департамент предпринял демарш в отношении китайского правительства, но не получил никакого ответа.
Владимир Абаринов: Джеймс Льюис, директор программы «Технологии и политика» Центра стратегических и международных исследований.
Джеймс Льюис: В некотором смысле это был особенно досадный инцидент. Вопрос состоит в следующем: каким образом США должны отвечать в таких случаях? Что мы должны делать? У нас был целый ряд подобных инцидентов. Некоторые из них стоят на грани применения силы. Некоторые направлены против военных объектов высокой ценности. Был случай взлома компьютеров одного из подрядчиков Пентагона. Но вот история с Гуглом: что должны делать США, располагая некоторыми доказательствами?
Владимир Абаринов: Джудит Миллер, бывший генеральный юрисконсульт Министерства обороны США.
Джужит Миллер: Что касается доказательств, то в беседах с должностными лицами об этом случае вы узнали бы гораздо больше, чем то, о чем вы вкратце сказали. Не буду утверждать, что вы получили бы ответы на все вопросы, но информации у вас было бы намного больше. Проблема состоит во врожденном нежелании обсуждать эту тему. Это происходит постоянно в дискуссиях о киберугрозах. Одна из самых больших сложностей заключается в том, что мы обсуждаем их на общем, абстрактном уровне. Подробную дискуссию вести в таком ключе сложно. Мы должны научиться откровенности в подобных разговорах и при этом не разглашать конкретные детали. Мы никогда не выходим за рамки абстракции, у нас нет правил подобных дискуссий, хотя сейчас правительство США и пытается их сформулировать – тогда у нас будет основа для обсуждения проблемы на международном уровне. Правила военных конфликтов здсь не особенно применимы. Должна быть возможность обсуждать тему ответственности правительств, а не просто предпринимать демарши. Тогда американское правительство могло бы принимать меры, которые не выглядят совершенно неэффективными.
Владимир Абаринов: Роберт Гизлер, бывший директор управления Пентагона по информационным операциям. Он считает, что не следует преувеличивать масштабы угрозы, исходящий от других правительств.
Роберт Гизлер: Я полагаю, что природа киберопасности заключается в ее неопределенности. Мы вступаем в эпоху, когда мы должны принимать политические решения в ситуации гораздо более неоднозначной, чем это было когда-либо в прошлом. Во время «холодной войны», когда Советский Союз занимался наглейшим шпионажем против США, охотился за нашими военными и промышленными секретами, мы могли с большой долей вероятности сказать, что это работа КГБ или ГРУ и связать ее с советской политикой.
Но сегодня, в этом конкретном случае, общеизвестно, что университетские серверы уязвимы. Возможно, за атакой стоит американский конкурент Гугла, действующий с территории Соединенных Штатов, это мог быть кто-то из Европы или какая-то китайская компания, равно как и китайское правительство, заинтересованное в атаке такого рода. Интересно, что мы по умолчанию подразумеваем тут китайское правительство, которое взламывает почтовую службу Гугла, чтобы найти и репрессировать китайских диссидентов. Мы принимаем это за аксиому, не имея никаких доказательств. Но с таким же успехом это может быть китайский вариант Гугла, который взламывает поисковую машину ради кода алгоритмов поиска. Так что я считаю, что мы должны быть
очень осторожны, когда первым делом обвиняем другие государства. На самом деле куда более важная стратегическая проблема - триллионы долларов, которые теряют провайдеры каждый год в результате краж их коммерческих секретов. Китай представляет собой уникальную проблему в этом отношении. Значительная часть их промышленности национализирована, а множество учреждений, занимающихся взломом или спонсирующих хакеров, имеют также коммерческие интересы.
Владимир Абаринов: Дискуссию продолжает Фрэнк Миллер, бывший сотрудник Совета национальной безопасности США и специальный помощник президента по оборонной политике и контролю за вооружениями.
Фрэнк Миллер: Так же, как в «холодной войне», когда мы могли сесть за стол переговоров с непримиримым врагом, Советским Союзом, и выработать сначала регламент дискуссии о стратегических вооружениях, а затем ограничить их, так и здесь есть возможность обсудить вопросы, решение которых требует участия правительства. Даже в «холодной войне» существовали свои правила дорожного движения в шпионаже. Были вещи, которые делали и мы, и КГБ, но было и то, чего ни мы, ни они не делали. И когда одна сторона нарушала правила, у другой были способы узнать об этом.
Владимир Абаринов: Роберт Дитц, бывший советник директора ЦРУ. По его мнению, киберобороне необходима правовая база.
Роберт Дитц: Мне представляется, что проблему усугубляет тот факт, что у нас нет правового режима для решения этих вопросов. У нас есть различные законы против хакеров или, в случае Агентства национальной безопасности, законы против иностранного шпионажа. Чего у нас нет – это правового режима защиты информационных технологий. Когда слушаешь сообщения о хакерских атаках, в них почти всегда звучит фраза: «Считается, что атака исходит из страны Икс». Представьте себе ракетный удар в реальном мире. Военные приходят и говорят: «Мы не знаем точно, но мы считаем, что ракету запустила такая-то страна». Люди были бы возмущены таким комментарием. Но в том-то и дело, что из-за нашего правового режима мы зачастую не в состоянии установить, откуда исходит кибератака. У нас нет законного способа сделать это, по крайней мере, надежного способа. На основании действующего законодательства это невозможно. В результате в США действует режим осажденной крепости – крепость Пентагон, крепость Форт-Мид, крепость Америка. И это хорошо. Я не против таких защитных мер. Но я не думаю, что эта оборона в конечном счете окажется успешной, как не была бы эффективной крепость Америка в защите от физических угроз. Так что я уверен, что при любых сценариях нам нужен новый правовой режим, при котором люди не спрашивали бы: «Минуточку! А почему бы нам не ответить напавшим на нас университетским серверам?» Вероятно, следует ответить. Но я не могу себе представить правовой
режим, который удовлетворит борцов за неприкосновенность частной жизни. У меня есть
метафора на эту тему: существует очень большая разница между полицейскими, врывающимися в дом, чтобы обыскать его, и пожарными, которые врываются туда же, чтобы потушить пожар.
Владимир Абаринов: Другой инцидент, обсуждавшийся в ходе дискуссии, - атака на сервер Центрального командования Вооруженных Сил США, имевшая место в ноябре 2008 года. В нападении подозревали Россию. Российские власти категорически отрицали свою причастность.
Роберт Гизлер: В данном случае взлом фактически сорвал боевые операции. Как сообщала пресса, он помешал информационному обмену в зоне боевых действий. Представьте себе, что некая третья страна сорвала наши операции во Вьетнаме - что бы мы сделали с этой третьей страной? Причастность Китая и Советского Союза к событиям в Северном Вьетнаме была хорошо известна, но существовали правила, и было известно, как именно мы ответим в случае нарушения этих правил. Я думаю, есть непреложные правила и в киберпространстве. Мы должны иметь возможность сказать любой стране: вы сделали гадость, вот доказательства, и больше мы этого не потерпим. Но остается проблема неопределенности - непонятно, с кем говорить. В данном случае виновник по-прежнему неясен. Должностное лицо, к которому можно было бы обратиться, скажет вам: «Я понятия не имею, о чем вы».
Владимир Абаринов: Установить национальную принадлежность хакеров часто не представляется возможным, а когда это удается, может получиться, что США должны атаковать самих себя. Роберт Гизлер сослался на на инцидент апреля 2007 года, когда массированной атаке подверглась киберструктура Эстонии. В этом случае обвинения навлекла на себя опять-таки Россия, но доказать это не удалось.
Роберт Гизлер: 17 процентов компьютеров, участвовавших в атаке на Эстонию, находились в Соединенных Штатах. Переверните ситуацию: эстонцы имели право атаковать нас в ответ? А правительство Соединенных Штатов – оно несет ответственность за эти 17 процентов атакующих сил? И что мы, правовое государство, могли бы сделать, чтобы не допустить такой неприятности со стороны эстонского правительства?
Роберт Дитц: Эти атаки обходятся очень дешево. В прежние времена нельзя было сделать ракету у себя в огороде. Но сегодня изощренный хакер способен причинить огромный вред. Атака может выглядеть как действия правительства, а на самом деле ее устроил от нечего делать какой-нибудь юнец. Вот что делает эту проблему намного более сложной.
Фрэнк Миллер: Маленький банк в каком-то штате – возможно, не такая уж проблема. Но поскольку мир так взаимосвязан электронной торговлей и электронными банковскими операциями, я не вижу ничего невозможного в разработке правила, согласно которому нельзя трогать финансовый сектор. Если это не Третья мировая война, не трогай банки, потому что это отразится на всех. Не трогай систему энергоснабжения. Но могут быть и области, в которых мы не можем рассчитывать на сотрудничество.
Владимир Абаринов: Роберт Дитц считает, что борьбу с хакерством следует вести в рамках правоохранительной, а не военной практики.
Роберт Дитц: Я разделяю мнение своих коллег о том, что у нас есть модели из практики реального мира, пригодные для использования. Все это не так уж ново. Но мы должны понять, что по-настоящему разрушительные действия могут осуществить всего два человека. Вот в чем разница. Так что я ожидаю, что в будущем ответные действия будут больше похожи на полицейскую операцию, чем на военный конфликт.
Роберт Гизлер: Ну так у нас есть традиционные модели и для полицейских операций. После 11 сентября развернулась дискуссия о том, чем нам ответить на терроризм, когда террористы причиняют огромные разрушения, но никакое правительство за ними не стоит.
Джеймс Льюис: Если вы пришли к другому правительству и говорите, что произошло, а оно отвечает вам: «Мы об этом понятия не имеем», возможно, следующим вопросом должно быть: «Ладно, тогда помогите нам в расследовании».
Владимир Абаринов: Многие эксперты считают термин «кибервойна» гиперболой. Однако Пентагон уже признал киберпространство пятой оборонной средой наряду с сушей, морем, воздушным и космическим пространством. Это будет отражено в новой редакции оборонной доктрины США.
Владимир Абаринов: Кибератаки стали повседневным кошмаром для государственных учреждений и частных компаний. Угроза настолько серьезна, что в 2009 году президент Обама объявил киберструктуру США стратегическим оборонным объектом, а Министерство обороны в прошлом году учредило специальное командование по защите киберпространства. Но какой должна быть эта защита? Следует ли рассматривать кибератаку как акт войны? Должны ли Вооруженные силы США отвечать на киберудар, и если должны, то на основании каких международных соглашений или национальных законов? И наконец, кому отвечать?
На все эти вопросы пытались ответить участники дискуссии. Они обсуждали конкретные инциденты. Один из них – нападение на Гугл в декабре 2009 года. Адриан Лапойнт, эксперт Центра стратегических и международных исследований.
Адриан Лапойнт: В январе 2010 Гугл объявил, что его сеть была взломана, и произошла утечка интеллектуальной собственности. Компания сообщила, что следы атаки ведут к компьютерам двух университетов в Китае. Гугл недавно вступил в конфликт с китайским правительством по поводу цензуры своей поисковой системы. Государственный департамент предпринял демарш в отношении китайского правительства, но не получил никакого ответа.
Владимир Абаринов: Джеймс Льюис, директор программы «Технологии и политика» Центра стратегических и международных исследований.
Джеймс Льюис: В некотором смысле это был особенно досадный инцидент. Вопрос состоит в следующем: каким образом США должны отвечать в таких случаях? Что мы должны делать? У нас был целый ряд подобных инцидентов. Некоторые из них стоят на грани применения силы. Некоторые направлены против военных объектов высокой ценности. Был случай взлома компьютеров одного из подрядчиков Пентагона. Но вот история с Гуглом: что должны делать США, располагая некоторыми доказательствами?
Владимир Абаринов: Джудит Миллер, бывший генеральный юрисконсульт Министерства обороны США.
Джужит Миллер: Что касается доказательств, то в беседах с должностными лицами об этом случае вы узнали бы гораздо больше, чем то, о чем вы вкратце сказали. Не буду утверждать, что вы получили бы ответы на все вопросы, но информации у вас было бы намного больше. Проблема состоит во врожденном нежелании обсуждать эту тему. Это происходит постоянно в дискуссиях о киберугрозах. Одна из самых больших сложностей заключается в том, что мы обсуждаем их на общем, абстрактном уровне. Подробную дискуссию вести в таком ключе сложно. Мы должны научиться откровенности в подобных разговорах и при этом не разглашать конкретные детали. Мы никогда не выходим за рамки абстракции, у нас нет правил подобных дискуссий, хотя сейчас правительство США и пытается их сформулировать – тогда у нас будет основа для обсуждения проблемы на международном уровне. Правила военных конфликтов здсь не особенно применимы. Должна быть возможность обсуждать тему ответственности правительств, а не просто предпринимать демарши. Тогда американское правительство могло бы принимать меры, которые не выглядят совершенно неэффективными.
Владимир Абаринов: Роберт Гизлер, бывший директор управления Пентагона по информационным операциям. Он считает, что не следует преувеличивать масштабы угрозы, исходящий от других правительств.
Роберт Гизлер: Я полагаю, что природа киберопасности заключается в ее неопределенности. Мы вступаем в эпоху, когда мы должны принимать политические решения в ситуации гораздо более неоднозначной, чем это было когда-либо в прошлом. Во время «холодной войны», когда Советский Союз занимался наглейшим шпионажем против США, охотился за нашими военными и промышленными секретами, мы могли с большой долей вероятности сказать, что это работа КГБ или ГРУ и связать ее с советской политикой.
Но сегодня, в этом конкретном случае, общеизвестно, что университетские серверы уязвимы. Возможно, за атакой стоит американский конкурент Гугла, действующий с территории Соединенных Штатов, это мог быть кто-то из Европы или какая-то китайская компания, равно как и китайское правительство, заинтересованное в атаке такого рода. Интересно, что мы по умолчанию подразумеваем тут китайское правительство, которое взламывает почтовую службу Гугла, чтобы найти и репрессировать китайских диссидентов. Мы принимаем это за аксиому, не имея никаких доказательств. Но с таким же успехом это может быть китайский вариант Гугла, который взламывает поисковую машину ради кода алгоритмов поиска. Так что я считаю, что мы должны быть
очень осторожны, когда первым делом обвиняем другие государства. На самом деле куда более важная стратегическая проблема - триллионы долларов, которые теряют провайдеры каждый год в результате краж их коммерческих секретов. Китай представляет собой уникальную проблему в этом отношении. Значительная часть их промышленности национализирована, а множество учреждений, занимающихся взломом или спонсирующих хакеров, имеют также коммерческие интересы.
Владимир Абаринов: Дискуссию продолжает Фрэнк Миллер, бывший сотрудник Совета национальной безопасности США и специальный помощник президента по оборонной политике и контролю за вооружениями.
Фрэнк Миллер: Так же, как в «холодной войне», когда мы могли сесть за стол переговоров с непримиримым врагом, Советским Союзом, и выработать сначала регламент дискуссии о стратегических вооружениях, а затем ограничить их, так и здесь есть возможность обсудить вопросы, решение которых требует участия правительства. Даже в «холодной войне» существовали свои правила дорожного движения в шпионаже. Были вещи, которые делали и мы, и КГБ, но было и то, чего ни мы, ни они не делали. И когда одна сторона нарушала правила, у другой были способы узнать об этом.
Владимир Абаринов: Роберт Дитц, бывший советник директора ЦРУ. По его мнению, киберобороне необходима правовая база.
Роберт Дитц: Мне представляется, что проблему усугубляет тот факт, что у нас нет правового режима для решения этих вопросов. У нас есть различные законы против хакеров или, в случае Агентства национальной безопасности, законы против иностранного шпионажа. Чего у нас нет – это правового режима защиты информационных технологий. Когда слушаешь сообщения о хакерских атаках, в них почти всегда звучит фраза: «Считается, что атака исходит из страны Икс». Представьте себе ракетный удар в реальном мире. Военные приходят и говорят: «Мы не знаем точно, но мы считаем, что ракету запустила такая-то страна». Люди были бы возмущены таким комментарием. Но в том-то и дело, что из-за нашего правового режима мы зачастую не в состоянии установить, откуда исходит кибератака. У нас нет законного способа сделать это, по крайней мере, надежного способа. На основании действующего законодательства это невозможно. В результате в США действует режим осажденной крепости – крепость Пентагон, крепость Форт-Мид, крепость Америка. И это хорошо. Я не против таких защитных мер. Но я не думаю, что эта оборона в конечном счете окажется успешной, как не была бы эффективной крепость Америка в защите от физических угроз. Так что я уверен, что при любых сценариях нам нужен новый правовой режим, при котором люди не спрашивали бы: «Минуточку! А почему бы нам не ответить напавшим на нас университетским серверам?» Вероятно, следует ответить. Но я не могу себе представить правовой
режим, который удовлетворит борцов за неприкосновенность частной жизни. У меня есть
метафора на эту тему: существует очень большая разница между полицейскими, врывающимися в дом, чтобы обыскать его, и пожарными, которые врываются туда же, чтобы потушить пожар.
Владимир Абаринов: Другой инцидент, обсуждавшийся в ходе дискуссии, - атака на сервер Центрального командования Вооруженных Сил США, имевшая место в ноябре 2008 года. В нападении подозревали Россию. Российские власти категорически отрицали свою причастность.
Роберт Гизлер: В данном случае взлом фактически сорвал боевые операции. Как сообщала пресса, он помешал информационному обмену в зоне боевых действий. Представьте себе, что некая третья страна сорвала наши операции во Вьетнаме - что бы мы сделали с этой третьей страной? Причастность Китая и Советского Союза к событиям в Северном Вьетнаме была хорошо известна, но существовали правила, и было известно, как именно мы ответим в случае нарушения этих правил. Я думаю, есть непреложные правила и в киберпространстве. Мы должны иметь возможность сказать любой стране: вы сделали гадость, вот доказательства, и больше мы этого не потерпим. Но остается проблема неопределенности - непонятно, с кем говорить. В данном случае виновник по-прежнему неясен. Должностное лицо, к которому можно было бы обратиться, скажет вам: «Я понятия не имею, о чем вы».
Владимир Абаринов: Установить национальную принадлежность хакеров часто не представляется возможным, а когда это удается, может получиться, что США должны атаковать самих себя. Роберт Гизлер сослался на на инцидент апреля 2007 года, когда массированной атаке подверглась киберструктура Эстонии. В этом случае обвинения навлекла на себя опять-таки Россия, но доказать это не удалось.
Роберт Гизлер: 17 процентов компьютеров, участвовавших в атаке на Эстонию, находились в Соединенных Штатах. Переверните ситуацию: эстонцы имели право атаковать нас в ответ? А правительство Соединенных Штатов – оно несет ответственность за эти 17 процентов атакующих сил? И что мы, правовое государство, могли бы сделать, чтобы не допустить такой неприятности со стороны эстонского правительства?
Роберт Дитц: Эти атаки обходятся очень дешево. В прежние времена нельзя было сделать ракету у себя в огороде. Но сегодня изощренный хакер способен причинить огромный вред. Атака может выглядеть как действия правительства, а на самом деле ее устроил от нечего делать какой-нибудь юнец. Вот что делает эту проблему намного более сложной.
Фрэнк Миллер: Маленький банк в каком-то штате – возможно, не такая уж проблема. Но поскольку мир так взаимосвязан электронной торговлей и электронными банковскими операциями, я не вижу ничего невозможного в разработке правила, согласно которому нельзя трогать финансовый сектор. Если это не Третья мировая война, не трогай банки, потому что это отразится на всех. Не трогай систему энергоснабжения. Но могут быть и области, в которых мы не можем рассчитывать на сотрудничество.
Владимир Абаринов: Роберт Дитц считает, что борьбу с хакерством следует вести в рамках правоохранительной, а не военной практики.
Роберт Дитц: Я разделяю мнение своих коллег о том, что у нас есть модели из практики реального мира, пригодные для использования. Все это не так уж ново. Но мы должны понять, что по-настоящему разрушительные действия могут осуществить всего два человека. Вот в чем разница. Так что я ожидаю, что в будущем ответные действия будут больше похожи на полицейскую операцию, чем на военный конфликт.
Роберт Гизлер: Ну так у нас есть традиционные модели и для полицейских операций. После 11 сентября развернулась дискуссия о том, чем нам ответить на терроризм, когда террористы причиняют огромные разрушения, но никакое правительство за ними не стоит.
Джеймс Льюис: Если вы пришли к другому правительству и говорите, что произошло, а оно отвечает вам: «Мы об этом понятия не имеем», возможно, следующим вопросом должно быть: «Ладно, тогда помогите нам в расследовании».
Владимир Абаринов: Многие эксперты считают термин «кибервойна» гиперболой. Однако Пентагон уже признал киберпространство пятой оборонной средой наряду с сушей, морем, воздушным и космическим пространством. Это будет отражено в новой редакции оборонной доктрины США.