Стратегия и тактика кибервойн: в ожидании серьезных межгосударственных конфликтов

Неманья Никитович
Управляющий директор
Optima Infosecurity (Группа Optima)

Государственные инициативы

Упомянутое выше извлечение из Указа президента Путина "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" было опубликовано в декабре 2012 г. и породило массу предположений о том, каким же образом эта система будет создана и к чему ее создание приведет.

Во-первых, сам факт появления такого указа окажет позитивное влияние на "цифровую" репутацию России в мире. Для многих иностранных компаний и бизнесменов этих обстоятельств, как правило, бывает достаточно, чтобы отказаться от идеи основания и ведения цифрового бизнеса на территории России. Эта репутация сегодня далеко не лучшая в силу не только высокого профессионализма и агрессивности российских (или имеющих российское происхождение) хакеров, но и в силу того, что условия для их работы сегодня весьма благоприятны. Защита российских информресурсов от кибератак повлечет за собой автоматические трудности для дислоцированных на территории России хакеров, услуги которых сегодня именно в силу слабости инфраструктуры весьма недороги – дешевле только в Китае.

Во-вторых, появление указа, а значит спущенной сверху директивы, непременно повлечет за собой развитие рынка ИБ, потому что реализация указа потребует инноваций, а не просто покупки дорогого оборудования и дорогих продуктов у лучших мировых поставщиков. В этом бизнесе, возможно, как мало в каком другом приоритет всегда отдается разработкам. Подобная зависимость является совершенно естественной, не имеющей никаких страновых или политических особенностей – во всех европейских странах именно необходимость защитить государственную, а после и общественную информационную инфраструктуру дала толчок для новых разработок и в конце концов к развитию рынка ИБ.

Немного фактов

По данным Центра стратегических и международных исследований (Вашингтон), 12 из 15 крупнейших стран мира силами своих военных ведомств работают над военными киберстратегиями. Специфика кибервойны: относительно низкие затраты по сравнению с обычными военными действиями. К примеру, стоимость производства атомного авианосца Nimitz – $4,5 млрд, стоимость его годовой эксплуатации – $160 млн. Стоимость кибератаки, способной вывести из строя ПО крупного военного объекта – менее $5 млн. Иногда существенно меньше. "Вывод из строя любого компьютера, отвечающего за работу ядерных и химических предприятий, будет равносилен поражению части территории нашей страны ядерной бомбой", – заявил не так давно экс-министр обороны США Леон Панетта. Принципиальное отличие кибервойны от традиционных военных действий состоит в том, что кибератаки на государственные информационные ресурсы могут вестись негосударственными субъектами. Статистика такова: в 2012 г. правительственные ресурсы США подвергались кибератакам 12 млн раз, Ирана – 28 млн, Израиля – 44 млн. Во время последних президентских выборов в РФ компьютеры правительственных структур подвергались атакам 1,2 млн раз.

Вот еще любопытные цифры: 98% случаев утечки информации происходит в силу человеческого фактора, 81% утечек информации из госструктур политически значимы и потенциально опасны, 57% утечек информации происходит с мобильных устройств. Секретные документы, касающиеся деятельности "Аль-Каиды" в Ираке, были забыты в пригородном поезде.

Противодействие этим утечкам, минимизация негативного влияния человеческого фактора на безопасность информационных ресурсов – важнейшие составляющие киберстратегии любого государства, которому есть чем интересоваться за пределами своих киберграниц и есть что защищать в пределах этих границ.

Политика и война другими средствами

Кибервойна – это не только продолжение политики иными средствами, но и продолжение войны иными средствами. Стратегические цели кибервойны те же – вывод из строя важнейших инфраструктурных, финансовых и правительственных объектов противника. Президенты, премьеры, министры обороны говорят о том, к каким страшным последствиям это может привести. Реальные последствия, которые становятся известны широкой публике по прошествии времени, – это почти всегда DDoS-атаки на тот или иной ресурс, которые приводят к его временному отключению или потере данных. Слишком уж похоже на тактику, а не на стратегию. Основная работа ведется не по выводу из строя тех или иных информационных ресурсов или тех или иных инфраструктурных объектов, а по добыванию той или иной информации. Затем эта информация используется в сугубо политических целях.

Тактическая задача каждой противоборствующей стороны в кибервойне – получить как можно больше информации. Стратегическая задача – использовать эту информацию наиболее верным способом. Рассмотрим некоторые аспекты первого и второго.

Мировой черный рынок информации

Присутствующий на нем товар представлен хаотично и никак не структурирован. Так что в некотором смысле это не рынок, а скорее базар. Зачастую информация, представленная на нем, не имеет ценности, точнее, потенциальному покупателю, а тем более продавцу, непонятно, какова ценность той или иной информации. Понятно, что вероятность эффективной работы на этом рынке не слишком высока, однако любые госорганизации, занятые ИБ, или аффилированные с ними структуры считают необходимым иметь доступ на этот рынок и в том или ином виде поддерживать с ним связь и мониторить его. Так строится рутинная работа на черном рынке. Работа же прицельная построена на таргетированной разведке. И здесь есть два вида цели: технологический и информационный удар. Можно, к примеру, атаковать, причем успешно, сайт условного Пентагона, продемонстрировав таким образом его уязвимость. Но условный Пентагон ответит на это в публичном поле какой-нибудь отговоркой – и об инциденте забудут. Гораздо эффективнее использовать Эдварда Сноудена – ружье, которое висит на стене и ждет третьего акта, а покуда стреляет холостыми патронами. Репутационный ущерб будет колоссальным. На месте Сноудена может быть Джулиан Ассанж или кто угодно другой – главное, чтобы слова этого человека звучали правдиво.

Так вот, объектом нападения необязательно должен быть крупный военный или гражданский объект. Им может быть информационная система. Достаточно вывести из строя три-четыре крупнейших банка какой-нибудь европейской страны, и финансовая система этого государства окажется в коллапсе. Ущерб от таких действий будет равносилен взрыву нескольких атомных бомб. Именно подобные шаги можно назвать примером правильного использования добытой информации. Эффект от подобных действий будет огромен. Именно в силу этих причин соревнование между государствами в киберстратегиях, кибертактиках и гонке кибервооружений приводит к постоянному росту коммерческого рынка ИБ.

Здесь и сейчас

Однако ждать подобных крупномасштабных действий придется еще очень долго. Что же происходит здесь и сейчас? Хакерские атаки на те или иные организации ведутся постоянно, практически ежедневно. Это либо попытки нащупать брешь в системе, либо попытки потрепать нервы противнику, либо и то и другое вместе. Непрекращающиеся хакерские атаки постоянно же анализируются. К примеру, в сентябре прошлого года японский аналитический центр Trend Micro опубликовал результаты своего последнего исследования киберугроз. По этим данным, в мире сохраняются два крупнейших очага, откуда исходит большинство хакерских атак. Это Китай и страны Восточной Европы. При этом восточноевропейские атаки против США, как утверждают авторы исследования, обычно лучше спланированы и реализованы более профессионально, чем китайские. Причина здесь в одном: в отличие от Китая восточноевропейские страны имеют свежий опыт реальных войн, в ходе которых кибероружие помогало танкам и пулеметам. Революции, смена общественно-политического строя и геополитические особенности сделали страны Восточной Европы центром разнообразных конфликтов, в которые были втянуты и другие страны, в том числе супердержавы. Автора этих строк можно с полным правом назвать одним из первых киберстратегов и кибертактиков, так как он напрямую участвовал в разработке и реализации стратегии киберпротиводействия агрессии НАТО против Сербии. Натренировавшись в жестких боевых условиях, восточноевропейские специалисты в области ИБ сегодня и в самом деле одни из самых продвинутых.

Итак, резюмируя, можно сказать, что кибератаки, ведущиеся сейчас, не могут в полной мере продемонстрировать мощь кибероружия. Полнота кибер-подготовки той или иной страны может в полной мере проявиться лишь во время серьезных межгосударственных конфликтов. Под возрастающей угрозой находятся не только государственные и военные объекты, но и банковские системы ряда стран. Ущерб, нанесенный банковской системе, подчас даже более ощутим.