Предшественник подобной системы уже существует. Крупнейшие телекоммуникационные компании Verizon и AT&T могут на некоторых участках отслеживать сигнатуры, которые прежде только идентифицировали, но не стремятся перенаправлять вредоносный трафик в «черную дыру» (то есть уничтожать), поскольку клиенты, обслуживание которых при этом будет прервано, могут подать в суд. Пожалуй, провайдеры выиграли бы такую тяжбу, поскольку в соглашении об уровне сервиса с клиентами обычно говорится, что они имеют право отказать в обслуживании, если деятельность клиента незаконна или наносит вред сети. И тем не менее в силу обычной юридической осторожности компании делают для защиты киберпространства меньше, чем могли бы. Вероятно, необходимы новые законы и регламенты для прояснения этого сложного вопроса.
Система «Эйнштейн» Министерства национальной безопасности, которую мы обсуждали в четвертой главе, установлена на некоторых участках сети, где правительственные учреждения соединяются с магистральными интернет-провайдерами. «Эйнштейн» контролирует только правительственные сети. У Министерства обороны имеется аналогичная система, использующаяся в 16 точках, где несекретная внутренняя сеть МО связана с общедоступным Интернетом.
Более совершенная система, с более высоким быстродействием, большей памятью, обрабатывающей способностью и с возможностью внеполосного соединения, может помочь минимизировать или пресечь масштабную кибератаку, если такую систему установить для защиты не только правительства, но и всей магистрали, от которой зависят все сети.
Защитив таким образом магистраль, мы сможем остановить большинство атак, направленных на системы госуправления и частного сектора. Независимая Федеральная комиссия по связи обладает полномочиями вводить правила, обязывающие магистральных интернет-провайдеров устанавливать такую систему защиты. Затраты крупные интернет-провайдеры могут переложить на пользователей и провайдеров меньшего масштаба, с которыми они сотрудничают. Или же конгресс должен выделить фонды для полного или частичного покрытия расходов. Пока власти только начинают двигаться в этом направлении, и то лишь для того, чтобы защитить себя, а не сети частного сектора, от которых зависит наша экономика, правительство и национальная безопасность.
От интернет-провайдеров следует потребовать, чтобы они прилагали большие усилия для сохранения чистоты кибернетической экосистемы. Эд Аморосо, глава безопасности компании AT&T, рассказывал мне, что их центр безопасности видит, когда компьютеры клиентов становятся частью ботяета, рассылающего DDoS-атаки и спам. Они знают, какие абоненты заражены, но не осмеливаются информировать их (а тем более отрубать доступ) из опасения, что пользователи перейдут к другому провайдеру или попытаются преследовать их в судебном порядке за вмешательство в личную жизнь. Это уравнение нужно перевернуть с головы на ноги. Интернет-провайдеров необходимо обязать информировать клиентов сети, когда те становятся частью ботнета. Интернет-провайдеры должны отключать доступ, если клиенты не реагируют на подобные предупреждения. От них следует потребовать предоставления бесплатных антивирусных программ для абонентов, как многие уже делают, чтобы повысить пропускную способность сети. Абонентов, в свою очередь, надо обязать использовать антивирусное ПО (предоставленное провайдером или любое другое на их выбор). Мы ведь не позволяем производителям автомобилей выпускать машины без ремней безопасности. Такая же логика нужна и с Интернетом, поскольку пренебрежение компьютерной безопасностью затрагивает проблему национальной безопасности.
Помимо глубокого инспектирования всех пакетов трафика с целью обнаружения вредоносного ПО и блокирования пакетов, которые запускали распознанные атаки, следует предпринять ряд дополнительных шагов для укрепления системы. Во-первых, затратив относительно немного времени и денег, можно разработать программное обеспечение для идентификации трансформированного мэлвера. Это позволит обнаруживать вариации известных сигнатур, которые могут использовать хакеры, чтобы проскочить глубокое инспектирование пакетов. Во-вторых, помимо магистральных интернет-провайдеров к поиску вредоносного ПО должны подключиться власти и крупные коммерческие структуры (например, банки), также заключив соглашения с центрами обработки и размещения данных. В нескольких крупных хостинговых центрах обработки данных, разбросанных по всей стране, сходятся оптоволоконные кабели крупнейших интернет-провайдеров и осуществляется коммутация. Здесь же находятся серверы некоторых крупных организаций, стоящие блестящими мерцающими рядами за ограждениями или скрытые в строго охраняемых помещениях. Операторы этих центров могут выявлять известное вредоносное ПО — это будет второй уровень защиты. Более того, операторы центров обработки данных или сотрудники фирм по обеспечению компьютерной безопасности могут просматривать данные. Центры имеют возможность предоставлять регулируемые услуги по обеспечению безопасности и отслеживать аномальную активность, причиной которой иногда являются необнаруженные вредоносные программы. В отличие от попыток блокировать мэлвер на входе регулируемые услуги позволяют отслеживать подозрительное поведение и аномальную активность пакетов данных. Тем самым увеличивается вероятность обнаружения более сложных двухэтапных атак и программ «нулевого дня». Эти вредоносные программы можно добавлять в список программ для блокировки. Поиски разумно проводить по тем адресам базы данных, куда проник новый мэлвер, тем самым позволяя системе останавливать крупномасштабную эксфильтрацию данных.
Платя интернет-провайдерам и поставщикам услуг по обеспечению безопасности за проверку данных, власти будут удалены от процесса, чтобы гарантировать прайвеси и поощрять конкурентную борьбу. Помимо оплаты власти должны предоставлять информацию о вредоносном ПО, мотивировать компании обнаруживать атаки, создать механизм, позволяющий гражданам быть уверенными, что их частная информация и гражданские свободы надежно защищены. В отличие от единственной линии защиты, применяемой властями (например, системы «Эйнштейн», созданной Министерством национальной безопасности для защиты гражданских федеральных ведомств), это будет многоуровневая система, работу которой обеспечивают несколько провайдеров, что гарантирует инновации и здоровую конкуренцию среди IT-компаний частного сектора. Если правительству станет известно о надвигающейся или начатой кибервойне, ряд федеральных сетевых операционных центров сможет взаимодействовать с частными IT-защитниками и сетевыми операционными центрами ключевых частных организаций и координировать оборону. Для этого властям придется создать специальную коммуникационную сеть, объединяющую сетевые операционные центры, — строго охраняемую, полностью изолированную и отделенную от Интернета (тот факт, что такая новая сеть понадобится, кое-что говорит об Интернете).
Второй элемент оборонительной триады — безопасность электросетей. Спросите себя, как электрораспределительная сеть может быть связана с киберпространством, — так проще всего понять эту идею. Без электричества многие вещи, от которых мы зависим, не работают вообще или работают недолго. Самое простое, что может сделать хакер, чтобы нанести серьезный удар по Соединенным Штатам, — отключить западную или восточную электросети, которые обеспечивают электроэнергией США и Канаду (в Техасе есть собственная сеть). Дублирующие энергетические системы территориально ограничены и печально знамениты тем, что не включаются, когда больше всего нужны. (Так произошло у меня дома буквально вчера, когда молния ударила по местной электростанции и свет в нашем городке отключился. Мой автоматический пусковой генератор просто не сработал.) Можно ли защитить крупнейшие североамериканские системы, состоящие из сотен компаний по производству и транспортировке электроэнергии?
Да, но не без дополнительного федерального регулирования. Первостепенной задачей такого регулирования должно стать отсоединение управляющей сети энергетических компаний от Интернета, а затем введение обязательной аутентификации для доступа в сеть. Это было бы не так дорого, но попробуйте предложить такую идею компаниям-производителям электроэнергии. Если их спросить, какие активы наиболее важны и требуют особых мер кибербезопасности, они ответят, что 95 % их ресурсов не требуют никакого регулирования. Один специалист по кибербезопасности, сотрудничающий с крупнейшими аудиторскими компаниями, рассказал, что задавал руководству каждой из них один и тот же вопрос: «Могли ли вы во время работы с электроэнергетическими компаниями получить доступ к элементам управления электрораспределительной сети через Интернет?» Все шесть компаний ответили утвердительно. Как много времени на это потребовалось? Не более часа. За этот час они успевали взломать веб-сайт компании, проникнуть в закрытую корпоративную сеть, а затем добраться до систем управления. Некоторые аудиторские фирмы сокращают это время, проникая в телефонную сеть, работающую по интернет-протоколам (телефония на базе IP). Телефоны такой сети обычно связаны с Интернетом. Если они располагаются в диспетчерских, то наверняка связаны и с сетью, которая управляет энергетической системой. Удобно, правда? Более того, кое-где команды компонентам электросети посылаются в незашифрованном виде по радиоканалу. Просто сядьте неподалеку, настройтесь на ту же частоту, и, если ваш сигнал сильнее, отдавайте команды (правда, нужно знать, какое для этого используется программное обеспечение). Федеральная комиссия по управлению энергетикой (FERC) грозилась, что с 2010 года начнет наказывать энергетические компании, киберсистемы которых небезопасны. Но только никто не сказал, как комиссия будет вычислять нарушителей, ведь в FERC нет персонала, способного проводить регулярные инспекции. Однако Министерство энергетики США наняло двух экспертов по кибербезопасности, чтобы те определили, достаточно ли защищены 3,4 миллиарда долларов, выделенные на программу «Умная сеть». «Умная сеть» — идея администрации Обамы сделать электросеть более интегрированной и оцифрованной. Электроэнергетические компании могут претендовать на часть этих денег, если согласны с предложениями Министерства энергетики. В этих предложениях в том числе есть раздел, посвященный кибербезопасности. Однако Министерство энергетики отказывается сообщать, о чем идет речь в этом разделе и кто эти эксперты. Общедоступных стандартов не существует. Если бы они были, налогоплательщики вряд ли согласились бы дать какую-либо часть этих 3,4 миллиона компаниям, не обеспечивающим безопасность своих систем. Но не ждите, что Министерство энергетики введет такие стандарты, ведь это бы означало воспользоваться этой уникальной федеральной подарочной программой и мотивировать людей работать над безопасностью. Такой намек на регулирование очень напоминает социализм, а это не по-американски. Итак, скоро у нас будет еще более «умная» сеть… и еще менее защищенная. Но как же сделать ее умной и защищенной?
