Информационный удар: чем могут ответить США на «российские кибератаки»

7 октября 2016 года Министерство внутренней безопасности США и Управление национальной разведки США в совместном заявлении напрямую обвинили российское руководство в причастности к организации серии кибератак на инфраструктуру американской избирательной кампании. Речь прежде всего идет о взломе почтовых серверов Национального комитета Демократической партии США, в результате которого тысячи электронных писем были похищены и до сих пор поэтапно публикуются на сайтах DCLeaks и Wikileaks.

Но главная новость в том, что официальное обвинение российских властей в причастности к кибератакам серьезно меняет ситуацию вокруг российско-американских отношений в киберпространстве и создает новые варианты ее развития. До сих пор Вашингтон предъявлял аналогичные обвинения лишь Ирану, КНДР и Китаю. Громкое заявление в адрес России обусловливает необходимость дальнейших действий — и они уже были анонсированы. 14 октября вице-президент США Джозеф Байден в интервью телеканалу NBC сообщил, что американские власти в ответ на кибератаки «пошлют сигнал господину Путину» «в удобное время и при тех обстоятельствах, которые обеспечат достижение наибольшего эффекта».

Чтобы понимать, как реально может выглядеть американский «ответ» на «российские государственные кибератаки», нужно учитывать несколько общих соображений.

Киберарсенал США

Бессмысленно гадать, какие именно векторы и сценарии атак, образцы программ и технические средства собираются использовать американцы. Теоретически, находящийся в их распоряжении арсенал почти безграничен. Он включает в себя колоссальную базу уязвимостей и закладок, в том числе в оборудовании и программах, поставляемых в Россию западными вендорами, знание критических уязвимостей в популярных средствах шифрования сетевого трафика (пакет OpenSSL, например), а также в реализациях глобально применяемых американских стандартов шифрования (стандарт AES и алгоритм RSA), используемых в большинстве коммерческих решений по всему миру, включая российский рынок. Сюда добавляется бесконечный набор эксплойтов, троянов, руткитов, средств удаленного доступа, прочего передового вредоносного ПО и других средств эксплуатации уязвимостей почти для всех популярных программных платформ и сетевых протоколов. Для «железа», включая сетевое оборудование, разработан не менее широкий арсенал программно-аппаратных врезок, имплантов и модулей, исполняющих скрытые функции.

Согласно разоблачениям Сноудена и более поздним утечкам информации, военные и спецслужбы США могут эксплуатировать «скрытый функционал» и уязвимости в системах не только «своих», но и других крупнейших западных вендоров. Например, речь может идти о продукции Siemens, как это уже было в ходе внедрения семейства вредоносного ПО на объекты, связанные с ядерной программой Ирана, включая применение червя Stuxnet для саботажа процесса обогащения урана на комбинате в Натанзе.

Таким образом, «ресурсная база» американских спецслужб очень велика и теоретически позволяет планировать атаки не только на российские гражданские объекты (включая критически важные объекты атомной отрасли, ТЭК, транспортной инфраструктуры и пр.), но и на военные, еще полностью ​не охваченные импортозамещением, вплоть до систем автоматизированного управления войсками разного уровня.

Сдерживающие факторы

Однако на практике использование этого арсенала серьезно ограничено в силу целого ряда причин.

Первая причина в том, что ситуация со взломом серверов Демократической партии явно не дотягивает до вооруженной атаки, а ответ США, по их же логике, должен быть пропорциональным. При том что четких критериев для определения компьютерного инцидента как вооруженной атаки нет ни на уровне ООН, ни в НАТО, ни в самих США. В недавних документах Пентагона есть лишь общие слова и условные ориентировочные примеры. Общий принцип таков: к неправомерному использованию силы и тем более вооруженной атаке может быть приравнен компьютерный инцидент, который напрямую ведет к массированному разрушению инфраструктуры и/или человеческим жертвам. Так что никакой ответной кибероперации в военном понимании этого термина от американцев нам ждать не стоит. Никто не будет выводить из строя российские АЭС.

Вторая причина, делающая «военные» варианты ответной кибероперации крайне маловероятными, — всеобщее отсутствие понимания того, как работает в киберпространстве управление эскалацией. АНБ, ЦРУ и Киберкомандование не представляют — и не могут представлять, — как в Кремле отреагируют на попытку демонстрации силы через кибератаку, которая, например, отключит свет на военной базе на Камчатке или временно парализует грузовую ж/д ветку на Транссибе. Дело в том, что и США, и Россия закрепили за собой право не ограничивать ответ на кибератаки, достигающие порога использования силы, киберпространством. А поскольку публичных и взаимно признанных пороговых значений и критериев ни у кого нет, никто не понимает, когда именно противник решит перейти от дуэли в сети к ракетному удару. В диалоге между двумя ядерными сверхдержавами такое гадание на кофейной гуще — непозволительная роскошь, и в Вашингтоне это хорошо понимают.

Третья причина в том, что США сами очень уязвимы, если дело дойдет до атак на критически важные объекты. Американский бизнес гораздо дальше российского продвинулся в оптимизации производственных процессов за счет развития «умных» сетей и удаленного управления технологическими и производственными процессами. Судя по известному проекту Shodan ICSRadar, показывающему мировую онлайн-карту автоматизированных систем управления, которые забыли «закрыть» от доступа через интернет, большинство таких систем располагается на территории США. И этот фактор собственной уязвимости в Белом доме тоже учитывают — а также признают, что до конца не знают возможностей предполагаемых хакеров — «наемников» российских спецслужб.

Наконец, есть и четвертая причина. Вопреки текущей политической ситуации Россия остается весомым рынком для американских IT-компаний, начиная от социальных сетей, разработчиков мобильных устройств, приложений и экосистем управления онлайн-контентом и заканчивая поставщиками программного и аппаратного обеспечения во всевозможных нишах. Экономические связи слишком значимы, чтобы пренебречь ими. Кроме того, такая операция противоречила бы установке Вашингтона на то, что адресатом «сигнала» должен быть именно российский режим, а не рядовые граждане и пользователи. Белый дом начиная еще с 1990-х годов выступает гарантом свободы и открытости интернета, а также продвигает доверие к нему как к единой связной системе на глобальной арене. Любая попытка атаки, нацеленной на нарушение связности в масштабах Рунета, будет означать подрыв собственных принципов. По той же причине невозможно на практике представить кибератаку АНБ на глобальную систему межбанковских расчетов SWIFT с целью отключить от нее российские банки — такой ход бьет по цепочке доверия и бизнес-интересов глобального банковского сектора, включая банки в самих США.

Чего можно ожидать?

Может сложиться впечатление, что всемогущие АНБ, ЦРУ и США в целом бессильны вообще что-либо сделать — но это не так.

Например, вовлечение партнеров США по НАТО в совместную программу по борьбе с «российской киберугрозой» способно привести к обострению отношений Москвы и ее европейских партнеров. Деградация взаимодействия с США в части обмена данными и совместного предупреждения киберинцидентов — видимо, уже состоявшийся факт. С Европой речь идет скорее о нереализованных возможностях. Трансграничное взаимодействие на государственном и частном уровне с Европой необходимо нам не только для борьбы с кибермошенничеством и другими угрозами, но и для поддержания на мировом уровне собственной инфраструктуры. Европу принято считать мягкотелой в плане ответа на вызовы безопасности, но стоит напомнить, что в ответ на кибератаки на электронную инфраструктуру Эстонии в 2007 году уже через год был создан довольно мощный и активный Центр обмена передовыми практиками киберобороны в Таллине, не слишком склонный к сотрудничеству с Россией.

Второе потенциально чувствительное направление удара — вторжение в почтовые серверы и базы данных российских спецслужб (ФСБ, ФСО, СВР) и военных ведомств (ГРУ) с целью найти и опубликовать подтверждения их прямых связей и контактов с хакерами и киберпреступниками. Независимо от того, насколько реальны подозрения американцев, технически такая атака реальна и не выходит за рамки указанных выше ограничений. Стоит отметить, что помимо спецслужб целью АНБ и ЦРУ могут стать ведомства, госкорпорации и частные компании, которых за рубежом подозревают в связях с киберкриминалом или разработке средств для осуществления кибератак. Например, «Ростех», который два года назад якобы заказывал сотрудникам частной российской компании разработку «DDoS-пушки» в порядке «добровольно-принудительного сотрудничества».

Вскрыть и опубликовать доказательства якобы имеющего место сотрудничества российских госструктур с хакерами — очевидная цель, чтобы подкрепить заявления американского руководства и оправдать саму операцию. Пока аргументы властей США выглядят малоубедительно. Первичное расследование кибератак на Демократическую партию вела частная компания Crowdstrike, в отчете которой описаны использованные хакерами техники взлома, но не приводятся серьезные доказательства их связи с российскими госструктурами. Однако публикация данных, уличающих российские власти в связях с киберкриминалом, может иметь и более серьезную цель — снова задействовать механизмы санкций.

В целом именно попытки поиска и похищения данных, способствующих подрыву репутации России на международной арене и одновременно дающих США правовое «плечо» для расширения режима антироссийских санкций, стоит считать самым вероятным направлением действий американских спецслужб. В определенном смысле «российская угроза» развязывает США руки для поиска удобных для них фактов по целому ряду международных вопросов, где есть конфликт российско-американских позиций. Это в том числе вопрос о том, имело ли место вмешательство российских военных и спецслужб в конфликт на Украине, и в частности в катастрофу «Боинга» над Донбассом. Например, привлекательной целью для спецслужб США могут выглядеть почтовые серверы, персональные коммуникации руководства и внутренние сегменты производственной сети компании «Алмаз-Антей». Атака на концерн может рассматриваться как способ убить сразу двух зайцев: во-первых, попытаться найти улики по делу о «Боинге», во-вторых, послать сигнал о том, что стратегические компании российской оборонной отрасли уязвимы.

Таких примеров может быть масса и за рамками украинского сюжета. Внутренние сети и переписка МИД могут стать объектом атаки с самыми разными целями: найти и обнародовать факты сотрудничества российского руководства с режимами и организациями, находящимися под международными санкциями (КНДР, «Хезболла» и проч.), покрывательства Кремлем военных преступлений режима Асада в Сирии, подпитки системной коррупции в международных спортивных организациях, трансграничных инфраструктурных проектах («Южный поток»), нарушения международных режимов торговли оружием, ядерными технологиями и т.д.

Существуют ли в реальности выгодные для американской администрации факты и данные — вопрос отдельный. Но ответ на него никак не коррелирует с риском для сетей и инфраструктуры российских госорганов, спецслужб, стратегических предприятий, а также отдельных дипломатов, чиновников и топ-менеджеров.

Выводы неутешительны. Российско-американское взаимодействие в киберпространстве сползает от более-менее конструктивного диалога сложных партнеров, каким оно было до середины 2014 года, к неконструктивной, тлеющей «политической кибервойне», как метко выразилась глава отдела внешней политики «Коммерсанта» Елена Черненко. «Политическая кибервойна» не переходит грань открытого конфликта и не вырастает в военные кибероперации. Она, подобно торфяному пожару, медленно тлеет где-то на глубине, отравляя отношения на поверхности, и, подобно торфяному пожару, она может продолжаться годами и устойчиво воспроизводить себя — пока кто-то извне не наберется воли и не потушит ее.