Немного наберётся тем, способных вызвать негативную реакцию ещё до того, как превратиться в статью. «Кибернетическое 11 сентября» к ним, несомненно, относится. Первый отклик на этот материал я получил от главреда, когда на бумаге не было ещё ни строчки: моего коллегу беспокоила явная искусственность идеи крупного «цифрового» террористического акта против гражданских объектов и населения. И в этом нет ничего удивительного. Присмотритесь: нынче каждый, кто пророчит киберапокалипсис, так или иначе на нём зарабатывает. Продаёт антивирусы, делает политическую карьеру, «осваивает» бюджетные деньги и т.д. Светило отечественной ИТ-безопасности Евгений Касперский в этом смысле — идеальный пример: его регулярные апокалиптические прогнозы явно полезны прежде всего для его же собственного бизнеса.
Но, как говорится, имеющий уши да услышит. За последние пару недель произошло несколько событий, требующих внимания вне зависимости от того, как вы лично воспринимаете серьёзность цифровой угрозы. Больше того, рискну утверждать, что и оценка этих событий может быть только одна. Но давайте по порядку. А начать позвольте всё с того же Касперского.
Желаете — считайте его легендой, желаете — параноиком, но едва ли кто-то в здравом уме станет отрицать его уникальный опыт. Так что пропустите прогнозы, но прислушайтесь к образной оценке технической сложности компьютерных вирусов, данной Евгением на днях на конференции Digital-Life-Design в Мюнхене. Вирусы 90-х он сравнил с велосипедами, нынешнюю криминальную заразу — с автомобилями, прогремевший в Иране Stuxnet — с космическим кораблём, а Red October с — орбитальной станцией. Это сравнение, может быть, слегка популистское, зато замечательно иллюстрирует экспоненциальный темп нарастания сложности цифровой заразы. И последствий её применения, конечно же. Ведь вы же не думаете, что современные вирусы, на написание которых потрачены сотни человеколет, решают те же задачи, что и самоделки десятилетней давности?
О последствиях там же, на DLD, говорил финн Микко Хиппонен, занимающий один из высших постов в F-Secure Corp. Он не открыл Америки, когда сообщил, что из хулиганских игрушек вирусы превратились в инструмент шпионажа, вымогательства, давления. И вряд ли был сильно оригинален, когда заявил, что мир вступил в первую фазу гонки кибервооружений: одни страны таким оружием уже обзавелись (ведь заказал же кто-то и кто-то сделал Stuxnet, Red October и прочих; см. «Duqu: загадочный зверь«), другие, видя эффективность, горят желанием цифровое оружие заполучить.
Зато его сравнение Stuxnet с приснопамятным «проектом Манхэттен» делает очевидным важнейший факт, которого многие пока ещё не понимают или не желают понимать. По словам Хиппонена, ребята, трудившиеся над Stuxnet, точно знали, что их детище способно убивать (будь то несчастные случаи на фабрике по обогащению урана или репрессии инженеров после атаки на завод). Знали, но продолжали работать. Что ставит их в один ряд с учёными, трудившимися над первой атомной бомбой. Всё! Граница между чистой наукой и военщиной пройдена, компьютерные вирусы отныне проходят по разряду «оружие». И в грядущих войнах, в том числе и между странами развивающимися, вирусы, конечно же, будет применены — как и полагается оружию — в том числе против гражданских объектов и населения.
После такого уже не кажется ни дурацким, ни натянутым термин «11 сентября в цифровом мире», которым оперирует Джанет Наполитано, министр внутренней безопасности США. Не далее как в минувший четверг она в очередной раз заявила, что масштабная кибернетическая атака на критически важную инфраструктуру (в том числе газовые, электрические, водные коммуникации) — лишь вопрос времени, и вероятность нанесения такого удара с каждым днём только растёт. Последствия крупного теракта с применением цифрового оружия могут оказаться сравнимы с последствиями масштабного природного бедствия, вроде недавнего урагана Сэнди (см. «Нью-Йорк, кино и ураган Сэнди«). Многие коммунальные объекты возможно как минимум временно вывести из строя, ввергнув тем самым в хаос целые регионы. Но никто не знает максимальной амплитуды. Хорошие уязвимости нулевого дня — давно уже предмет торга (см. «Знание — сила«), так что и предсказать, какие карты на руках у людей, готовящих воображаемый цифровой теракт, никто не в силах.
Неблагоприятное стечение обстоятельств способно привести к катастрофическим последствиям даже там, где изначально предполагался запас прочности: вспомните Фукусиму! Следовательно, к цифровым терактам необходимо готовиться. И вот тут начинается самое интересное, потому что, хоть необходимость подготовительных процедур осознана и принята многими развитыми странами, в каждом отдельном случае меры принимаются свои.
Соединённые Штаты, где коммунальные объекты в значительной степени принадлежат частному бизнесу, нарезают круги вокруг идеи сотрудничества бизнеса со спецслужбами. Грубо говоря, схема следующая. Государство делится частью секретной информации о текущей ситуации с компаниями, эксплуатирующими важные гражданские объекты, а те, в свою очередь, обязываются законом облегчить спецслужбам мониторинг, следственные мероприятия, а также самостоятельно заботиться о защите своих ИТ-систем, удовлетворяя некоторым стандартным критериям. Увы, первая попытка подвести под эту идею законодательную базу провалилась: законопроект CISPA был отвергнут в прошлом году на протестной волне, поднятой проектами SOPA/PIPA/ACTA, — из-за опасений в ущемлении гражданских прав. Теперь похожий механизм хотят реализовать в чуть менее агрессивном виде, предлагая компаниям, которые согласятся добровольно участвовать в национальной системе противодействия кибератакам, некоторые льготы. Что, впрочем, не снимает вопроса о возможных злоупотреблениях спецслужб новыми, расширенными полномочиями.
В России, где работают по-старинке, «от царя», гражданина традиционно никто ни о чём не спрашивает. На днях, когда выяснилось, что Red October проник и в российские госучреждения (по крайней мере, так это видят западные СМИ), Президент поручил Федеральной службе безопасности создать «государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». Похоже, речь идёт только об объектах, подконтрольных государству, но, как и всегда у нас, вопросов больше, чем ответов: о масштабах, методах, правах и обязанностях новой структуры ничего не известно.
Наконец, в Азии идут своей дорожкой. Вести из азиатского региона просачиваются с трудом: мешают языковой, культурный, технологический барьеры. Но ясно, что за последние месяцы там оформилась идея коллективного противостояния цифровой угрозе. Япония вместе с десятью странами ASEAN строит единую региональную структуру противодействия кибертеррору — и уже в наступившем году могут начаться совместные учения, обмен информацией и технологиями в рамках такого партнёрства. Страна восходящего солнца, очевидно, играет в этой схеме главную роль и придерживается весьма радикальных методов, которые, впрочем, имеют мало общего с американскими или российскими. В прошлом году было много разговоров о создании Японией антивирусного вирусного оружия, а на днях тамошнее Национальное управление полиции сообщило, что намерено установить и поддерживать контакт с сообществом белых хакеров — энтузиастами, которые помогут в поимке вирусописателей, определении источников атак и пр.
Юго-Восточная Азия больше других на планете заинтересована в скорейшем создании киберщита. Ведь львиная доля интернет-атак проводится с территории соседнего Китая — самой большой неизвестной в глобальном кибертеррористическом уравнении. Никто не знает в точности, какой интеллектуальной мощью располагают кибервооружённые силы КНР, каковы их задачи, как и где они тренируются. Это, если хотите, завязка для следующего глобального конфликта. И отдельного разговора.