Шейн Харрис - Кибервойн@. Пятый театр военных действий
Компании, управлявшие сетями и электростанциями, категорически отвергали обвинения и указывали, что по результатам общественных расследований аварии произошли по естественным причинам, в том числе из-за высоких деревьев, ветви которых закоротили воздушные линии электропередач. Никто из официальных лиц не представил надежных доказательств того, что за авариями стояли китайцы. Однако постоянные слухи о причастности Китая показывали степень ужаса и паранойи, царивших в Вашингтоне из-за кибератак.
Кроме вероятной атаки на американские электросети серьезную озабоченность властей вызывало непрерывное воровство интеллектуальной собственности и коммерческих тайн у американских компаний, прежде всего хакерами из Китая. Александер, который в 2010 г. возглавил Кибернетическое командование, назвал необузданный промышленный шпионаж, проводимый Китаем, «величайшим в истории перераспределением богатства». В 2012 г. конгресс в итоге вынужден был одобрить законопроект. Это случилось через шесть лет после того, как обнаружилось, что собственные компьютеры законодателей были инфицированы шпионским ПО, и скорее всего это было сделано китайскими хакерами. Компьютеры, работавшие в офисах нескольких комитетов в палате представителей, также были заражены. В их числе оказались комитеты по контролю за торговлей, транспортом и инфраструктурой, национальной безопасностью и даже влиятельный Бюджетный комитет. Комиссия конгресса по Китаю, которая наблюдала за соблюдением прав человека и законов в Китае, также попала под удар. Оказалось, что в большинстве комитетских кабинетов были один или два зараженных компьютера. В Комитете по международным отношениям (который теперь называется Комитетом по иностранным делам), контролирующим внешнюю политику США, в том числе и переговоры с Китаем, было инфицировано 25 компьютеров и один сервер.
В 2012 г. на рассмотрение конгресса были внесены предложения, которые среди прочего давали властям больше полномочий для получения и сбора информации о кибервторжениях и кибершпионаже в компьютерных сетях от компаний, подвергшихся атаке. Идея заключалась в том, чтобы наладить обмен информацией о потенциальных угрозах, а кроме того, принудить компании усилить меры обеспечения собственной безопасности. Однако некоторые компании отказались участвовать, опасаясь, что законопроект вызовет новую волну дорогостоящего и навязчивого регулирования. Также компании опасались исков со стороны своих клиентов за работу на правительственные структуры. Провайдеры хотели иметь юридические гарантии того, что, передавая информацию об атаках в Министерство обороны или в Министерство внутренней безопасности, они не будут нести ответственность за разглашение персональных данных, которые могут содержаться в передаваемой информации. Это могут быть, например, идентификационная информация о пользователях или интернет-адреса людей, чьи пакеты данных были перехвачены или чьи компьютеры были подвергнуты опасности.
Торговая палата США, влиятельная и богатая торговая ассоциация с долгой историей поддержки кандидатов от Республиканской партии, заявила, что законопроект даст властям «слишком широкие возможности контроля тех действий, которые бизнес-сообщество может предпринять для защиты своих компьютеров и сетей». В то время как консервативные чиновники критиковали закон о здравоохранении, предложенный Обамой, в том числе за попытку вторжения властей в частную жизнь граждан, Торговая палата стала самым красноречивым оппонентом законопроекта о кибербезопасности как еще одного примера государственного произвола. Представители «Великой старой партии»[5] в конгрессе плотно сомкнули ряды и лишили всеобъемлющий законопроект о кибербезопасности всякого шанса.
Не дождавшись действий от конгресса, президент Обама в феврале 2012 г. подписал указ, который ориентировал американскую политику на «расширение безопасности и устойчивости национальной жизненно важной инфраструктуры». Столь широкое понятие «жизненно важной инфраструктуры» было использовано намеренно, чтобы охватить им множество промышленных и коммерческих компаний. Президент определил его как «системы и ресурсы, физические или виртуальные, настолько жизненно необходимые для Соединенных Штатов, что прекращение работы или разрушение этих систем и ресурсов существенно ослабит безопасность, национальную экономику и национальное здравоохранение, по отдельности или в любых комбинациях». Следуя этому определению, электрическая станция, несомненно, относится к жизненно важным ресурсам. Но к ним же можно отнести и банк. И больницу. А также поезда, автобусы и транспортные компании. Относится ли экспресс-почта UPS к жизненно важной инфраструктуре? Если считать, что перечисленные виды деятельности завязаны на грузоперевозки и своевременную доставку товаров и услуг, то вполне может быть.
Своим указом Администрация Обамы давала понять конгрессу и представителям бизнеса, что она не собирается ждать, пока выйдет новый закон, усиливающий влияние власти в Интернете. Приказ поручал федеральным службам начать более интенсивный обмен информацией о киберугрозах с компаниями; Министерству торговли и Национальному институту стандартов и технологии разработать рамочные стандарты безопасности, внедрение которых в коммерческих компаниях должно поощряться; министру внутренней безопасности составить список критических инфраструктурных объектов, на которых происшествия в сфере кибербезопасности «могут привести к катастрофическим последствиям в региональном или национальном масштабе».
Белый дом все еще был готов бороться за новый закон о кибербезопасности. А между тем президентский указ Обамы имел серьезные последствия: он дал военным зеленый свет на подготовку к кибервойне.
Президентский указ вместе с секретной директивой президента Обамы, подписанной им пятью месяцами ранее и не публиковавшейся в открытой печати, четко показал, что руководить национальной обороной во время кибератаки будут военные, а также как вооруженные силы приводятся в действие в случае вторжения иностранной армии в США или когда иностранные ракеты летят к американских городам, кибервойска страны будут подняты для защиты против цифровых атак и нанесения ответного удара.
Указ позволил Министерству обороны легко расширить программу обмена секретными данными об угрозах и включить в нее не только оборонную промышленность, но и те «жизненно важные инфраструктурные объекты», список которых составлялся властями. В отдельной директиве, известной под кодовым названием PDD-20, было сформулировано, как и при каких условиях военные могут вступить в кибервойну и кто может отдавать на этой войне приказы.
Любая кибератака может быть проведена только по приказу президента. Но в чрезвычайной ситуации президент может делегировать эти полномочия министру обороны. Например, если электростанции грозит атака и нет времени, чтобы получить одобрение президента на проведение оборонительных действий, в том числе выполнение контрудара по источнику атаки, то приказ может отдать министр обороны.
Однако PDD-20 на самом деле не совсем о киберобороне. Директива поручает военным составить список зарубежных целей «национального значения», атаковать которые кибероружием для США будет проще или эффективнее, чем оружием обычным. Эти цели в некотором смысле подобны высокоприоритетным целям в Советском Союзе во времена холодной войны. Именно туда бомбардировщики должны были сбрасывать свои бомбы в случае войны. В PDD-20 не были указаны конкретные объекты, однако национальное значение, естественно, имели телекоммуникационные системы; сети оперативно-командного управления, используемые вооруженными силами; сети финансовых организаций; системы противовоздушной обороны и управления полетами; жизненно важные инфраструктурные объекты, такие как электрические сети. Это те же объекты, которые бы стали мишенями для иностранной армии в кибервойне на территории США.
В директиве также давались указания другим правительственным министерствам и службам, включая Государственный департамент, ФБР, АНБ, Министерство финансов и Министерство энергетики, о разработке планов ответных действий против «длительной злонамеренной деятельности в киберпространстве, направленной против интересов США» на случай, когда «сетевая защита или методы законного принуждения оказываются недостаточными или не могут быть использованы вовремя». Армии также следует проводить подобные атаки под руководством президента.
Для армейских командиров и гражданских чиновников директива PDD-20 играла роль правил дорожного движения для кибервойны. Она стала ключевым документом, в котором были сформулированы правила ведомственного подчинения, определены сферы ответственности и общие принципы. В ней говорилось, что Соединенные Штаты будут вести кибервойну в соответствии с нормами международного права в период вооруженных конфликтов: удары должны сопровождаться минимальными сопутствующими разрушениями и должны быть соразмерны угрозе или масштабам атаки на Соединенные Штаты. Кроме того, военные должны действовать осторожно, чтобы не повредить и не разрушить те сети, которые соединены с объектом атаки. Вирус или червь, созданные для атаки на электростанцию в Иране, не должен уничтожить станцию в Китае. «Мы не хотим начинать третью мировую войну», – сказала Анна Барон-ДиКамилло, высокопоставленный чиновник в Министерстве внутренней безопасности, которая работала с Министерством обороны над координацией ответных действий на кибератаки в Соединенных Штатах.