В целом я считаю, что наш тридцатилетний опыт контроля над вооружениями во многом позитивен, но далеко не всегда он был панацеей и порой превращался в фарс. Чтобы определить, созрела ли та или иная сфера для контроля над вооружениями, нужно проверить, действительно ли обе стороны заинтересованы сократить инвестиции в нее. Если одна из сторон предлагает прекратить то, что на самом деле хочет продолжать, скорее всего, она собирается участвовать в контроле над вооружениями ради пропаганды или обманным путем старается ограничить потенциального противника в области, в которой, по ее мнению, ее могут превзойти.
Ограничить кибер-войну?
Все это снова возвращает нас к кибервойне. Чтобы определить нашу государственную политику по отношению к контролю над кибервооружением или ограничениям в сфере киберактивности, мы прежде всего должны спросить себя, дает ли это новая форма ведения войны такие преимущества США перед другими странами, поскольку нам бы не хотелось испытать какое-либо международное давление. Если мы считаем, что обладаем таким односторонним преимуществом, нам не стоит задавать себе вопросы о том, какого рода ограничения можно установить, возможен ли контроль над их соблюдением и т. д. Ранее я выдвинул предположение о том, что для США было бы лучше, если бы кибероружие никогда не существовало, учитывая все наши уязвимые места. Прежде чем обратиться к теме кибервоенного контроля, давайте рассмотрим четыре фактора, в силу которых мы более уязвимы, чем страны, способные использовать кибероружие против нас.
Во-первых, сейчас Соединенные Штаты больше зависят от киберуправляемых систем, чем наши вероятные противники. Одни страны, такие как Южная Корея или Эстония, возможно, больше используют Интернет для покупок. Другие, допустим Арабские Эмираты, имеют больше мобильных интернет-устройств на душу населения. Но нигде компьютерные сети так широко не используются для управления энергетическими сетями, трубопроводами, авиалиниями, железными дорогами, распределением потребительских товаров, банковской системой и работой военных подрядчиков.
Во-вторых, лишь в некоторых странах (среди которых, пожалуй, нет наших потенциальных противников) важнейшие национальные системы принадлежат и управляются частными компаниями.
В-третьих, нет других таких промышленно и технологически развитых стран, в которых владельцы и управляющие частных компаний обладают достаточным политическим весом, чтобы предотвращать или ослаблять государственное регулирование своей деятельности. Американская политическая система основана на хорошо финансируемом лоббировании и добровольном финансировании политических кампаний, и частные промышленные группы обладают в ней большой властью, особенно когда дело касается попыток государственного регулирования.
В-четвертых, американские военные весьма уязвимы перед кибератакой. Вооруженные силы США сетецентричны, то есть доступ возможен к базам данных и далее к управлению любой военной организации. Вместе с доступом к информационным системам появилась и зависимость от них. Маленьким предвестником грядущих проблем стали события конца 2009 года. Иракские повстанцы использовали для наблюдения за источниками видеосигнала американских беспилотных самолетов Predator через незашифрованные каналы связи программу стоимостью 26 долларов. Хоть это напрямую и не угрожало американским войскам, обнаружение проблемы подняло ряд вопросов об излюбленном новом оружии Пентагона. А что, если бы кто-нибудь создал помехи в незашифрованном сигнале, заставив беспилотный самолет вернуться домой? Американские военные лишились бы одного из самых ценных инструментов, а дешевая готовая программа превзошла бы продукт, в исследования и разработку которого вложены миллионы долларов. Вооруженные силы США помимо зависимости от сетей больше зависят и от частных подрядчиков, чем любой вероятный противник. Даже если сети военных были бы защищенными и надежными, подрядчики, которые часто полагаются на общедоступный Интернет, этим могут похвастаться не всегда. Все эти асимметрии, взятые вместе, говорят о том, что если бы мы начали кибервойну, противник нанес бы нам больший ущерб, чем мы ему. При таких асимметричных уязвимостях некоторые эффективные ограничения возможных действий противника отвечают интересам США. Однако чтобы перевести теорию в практику, потребуется определить, какого рода деятельность должна быть разрешена, а какая запрещена.
Нередко в переговорах о контроле над вооружениями сложно достичь соглашения по поводу самых основ, например, что именно мы хотим ограничивать. Я месяцами сидел за столом переговоров со своими советскими коллегами, пытаясь дать определение понятию «военный персонал». Здесь нам не нужны такие промедления. Давайте примем определение, использованное мною в первой главе, но сформулируем его на языке договоров: «Кибервойна — это несанкционированное проникновение, предпринятое правительством, по его поручению или при его поддержке, в компьютерную сеть другой страны или любая другая воздействующая на компьютерную систему деятельность, цель которой — добавить, изменить, фальсифицировать данные или вызвать нарушение работы или повреждение компьютера, сетевого устройства или объектов компьютерных систем управления».
Учитывая это определение и асимметричные уязвимости США, рассмотрим, можно ли применить к киберпространству успешный опыт контроля над другими формами вооружений или нужны новые идеи, применимые только к данной сфере, чтобы сформировать базис для контроля над кибервооружениями? На какие просчеты прошлого мы должны обращать особое внимание, думая об ограничениях кибероружия? Какие международные соглашения, ограничивающие некоторые аспекты кибервойны, были бы выгодными для США, а также выполнимыми и поддающимися адекватной проверке?
Граница… шпионаж ипи война?
Любое возможное международное соглашение об ограничении или контроле над кибервооружением должно начинаться с определения рамок. Что оно охватывает и что обходит вниманием? В определение кибервойны, которое я привел выше, не входит кибершпионаж. Грамотный хакер, проникающий в сеть с целью сбора информации, не добавляет и не изменяет данные, не стремится повредить или вывести из строя сеть или физические объекты, которыми управляют из киберпространства.
Однако же российское предложение о контроле над кибервооружениями имеет очень широкие рамки и предусматривает запрет того, чем Российская Федерация занимается каждый день, — шпионажа посредством хакерства. Главный пропагандист российского предложения Владислав Шерстюк в прошлом руководил работой хакеров. Будучи директором ФАПСИ, генерал Шерстюк был коллегой директора Агентства национальной безопасности США. Его карьерный опыт не обязательно означает, что генерал Шерстюк неискренен в своем стремлении запретить то, чем он долгие годы занимался. Технические различия между кибершпионажем и деструктивной кибервойной настолько минимальны, что, возможно, генерал Шерстюк считает, что четкую грань провести невозможно. Или же он пересмотрел свои взгляды. Может быть, он полагает, что кибершпионаж ставит Россию в невыгодное положение. Однако, вероятнее всего, генерал, как и все, кто видел кибершпионаж в действии, с большой неохотой согласился бы отказаться от него.
Кибершпионаж, с одной стороны, значительно проще традиционного шпионажа. Сложно преувеличить, как трудно завербовать надежного шпиона и внедрить его в организацию, чтобы он (или она) смог копировать и прорабатывать существенные объемы ценной информации. К тому же всегда есть опасения, что предоставленный материал сфальсифицирован, а шпион является двойным агентом. Лучшие операции контрразведки всегда начинались с предположений о том, куда противник мог внедрить своих шпионов, после чего с ними выходили на контракт. Агент отсылал не самые важные данные, добавлял кое-какие сфальсифицированные материалы, вследствие чего сведения становились как минимум бесполезными.
Как я проанализировал в книге «Ваше правительство подставило вас» (Your Government Failed You), Соединенные Штаты не особенно сильны в использовании шпионов, или, как называют американцы, «разведке людьми». Причины этого в сложности задачи, нашем нежелании доверять людям, которые могли бы стать хорошими шпионами, нежелании многих американцев становиться внедренными агентами и способности других стран обнаруживать наши попытки шпионажа. Эти особенности глубоко укоренились и обусловлены культурой, они подтверждались шестьдесят с лишним лет и вряд ли изменятся.
Но мы необыкновенно сильны в электронном шпионаже. По сути, наши способности в кибершпионаже компенсируют несостоятельность традиционной разведки. Таким образом, если заставить Соединенные Штаты отказаться от кибершпионажа, это значительно снизит наши возможности сбора данных и поставит нас в невыгодное положение по сравнению с другими странами.
