Уже больше года Украина ведет активную фазу необъявленной гибридной войны с Российской Федерацией. Это противостояние — вопрос не года-двух, а, очевидно, более длительного периода. При этом именно ближайшие годы могут стать решающими. Мы должны признать, что хотя Украина в течение 2014 г. смогла из практически уничтоженной и деморализованной армии создать боеспособную силу, в затяжном прямом противостоянии с существенно более сильным противником перспективы «более слабого» представляются довольно сомнительными. А Украина объективно обладает меньшими ресурсами (в том числе — финансовыми) и не готовилась годами, в отличие от нашего северного соседа, к этой войне.
В таких условиях Украина должна применять методы, которые традиционно были тактикой более слабых государств на случай противодействия агрессивным действиям более мощных стран: асимметричные ответы, направленные на истощение противника. При этом мы должны продолжать развивать свою оборону на всех возможных театрах военных действий.
Это подводит нас к проблеме, которая уже долгое время остается в общем тренде обсуждения, однако реальных практических действий и целостной государственной политики здесь либо не наблюдается, либо они имеют довольно размытые черты, — кибербезопасностной составляющей национальной безопасности государства.
Ведь киберпространство, хотим мы того или нет, уже стало пятым пространством соперничества (в том числе — геополитического) для всех государств мира.
Киберсоставляющая современных конфликтов
Следует четко понимать, что киберпространство как поле ведения противоборства двух или более сторон будет приобретать все большее значение. Уже сегодня бюджеты ведомств безопасности развитых стран, задействованных в системе кибербезопасности государства (а количество структур, которые в этих процессах задействованы, постоянно увеличивается), составляют миллиарды долларов, и ни одна из стран еще не уменьшала расходов по этим статьям.
Не стоит обманываться, что эти средства вкладываются исключительно в системы «обороны» и «защиты», — неформально почти все государства занимаются разработкой и наступательных кибервооружений.
Даже по состоянию на 2010 г. эксперты отмечали, что более 20 стран разрабатывают кибероружие, в 2012-м таких стран было по меньшей мере 25. И это данные за период, который условно считают началом глобального киберпротивостояния, сегодня перешедшего в более серьезную фазу, вплоть до попыток кибердиверсий против объектов критической инфраструктуры (в частности в Иране). Об объемах и масштабах подготовки развитых государств к киберпротивостоянию свидетельствуют и данные разоблачительных заявлений Э.Сноудена. И хотя большинство из этого уже было известно экспертам либо они об этом догадывались, однако подтверждение этих догадок, а также масштаб программ, реализуемых только АНБ США, свидетельствуют о реальной озабоченности правительства США проблематикой кибербезопасности. При этом следует иметь в виду, что АНБ — не единственная американская государственная структура, реализующая программы по кибербезопасности, а всего стран, обладающих финансовыми, человеческими и инфраструктурными возможностями реализовать такие программы, по данным экспертов, в 2015 г. насчитывается около 140.
Следует признать, что большинство последних активных вооруженных противостояний, так или иначе, сопровождались и противостоянием в киберпространстве. Это было характерно для недавней войны в Ливии, частично — в Сирии, а кибершпионаж и кибердиверсии вообще являются постоянным фоном международных отношений. Работа вируса Stuxnet, разоблачение шпионских вирусов и сетей Duqu, Flame, Gauss, Miniduke, Red October, Wiper — вот лишь неполный перечень известных кибершпионских или кибердиверсионных акций, выявленных с 2011 г., и с каждым следующим годом их становится все больше. И это без учета целенаправленных кибершпионских действий против конкретных государственных или промышленных объектов, цель которых — получить информацию о закрытых разработках (в том числе — новейших исследованихя в сфере ВПК).
Важно отметить, что известный вирус Stuxnet, целью которого была ядерная программа Ирана, его разработчики позиционировали именно как асимметричный ответ на эту программу. То есть развитые государства четко осознают, что кибероружие может оказаться реальным асимметричным инструментом противодействия странам, ставящим под угрозу существующий международный порядок в сфере безопасности.
Трудно говорить о конкретных пропорциях затрат развитых государств на «оборону» и «нападение» в рамках тематики кибербезопасности. Однако ставка на вторую составляющую существенно выше, чем об этом обычно говорят. В свое время один из заместителей министра обороны США, У.Линн, размышляя о балансе между «обороной» и «нападением» в киберпространстве, справедливо отметил: «Вы не знаете, как построить надежную защиту, вы не сможете предотвратить масштабное наступление. И вы не сможете обеспечить необходимый ответ, поскольку эффективное сдерживание чрезвычайно сложно. Таким образом, если вы хотите воспользоваться киберпространством, вы будете делать ставку на наступательные операции ради собственной обороны». Мы должны признать, что такое состояние вещей в проблематике кибербезопасности — объективная реальность, с которой и мы должны считаться.
Скорее всего, попытки выработать какие-то международные системы контроля над кибервооружениями (которые сейчас пытаются инициировать отдельные страны) либо запретить их использование в деструктивных целях еще долгое время будут терпеть поражение (хотя это должно оставаться целью для всех членов международного сообщества).
Это обусловлено рядом характеристик самого кибероружия, которое часто даже невозможно идентифицировать как таковое. Кроме того, атака всегда окажется дешевле и губительнее для противника, а защита — чрезвычайно сложной и дорогостоящей.
Киберсоставляющая необъявленной войны
Еще с момента аннексии Крыма (а по некоторым данным, со времен Евромайдана) Россия использовала кибератаки как составляющую своей гибридной войны против нашего государства. Разнообразные «киберберкуты» с не до конца понятной «пропиской» и составом, а также специальные подразделения структур безопасности нашего противника осуществляли атаки на государственные информационные ресурсы и на персональные данные отдельных политиков и общественных деятелей. Наиболее известные случаи таких действий — DDoS-атаки на правительственные ресурсы (МИД, сайт президента Украины, сайты органов сектора безопасности и обороны), целевые атаки на госорганы с помощью мошеннических электронных писем, попытки нарушить работу системы ЦИК во время выборов президента и на парламентских выборах 2014 г., а также функционирование вируса Uroboros, который, с высокой долей вероятности, идентифицирован как российский. Он имел все признаки использования против Украины кибершпионской акции, а под действие вируса попали веб-ресурсы органов государственной власти (в частности силовых структур), средств массовой информации, финансовых учреждений, крупных промышленных предприятий.
И это на фоне десятков других попыток повлиять на безопасность нашего государства с помощью кибератак. Например, по мнению исследователей компании ESET, против Украины (и частично — Польши) целенаправленно был использован вирус Blackenergy, цель которого — собирать данные с жестких дисков пораженных компьютеров, делать скриншоты экранов пользователей, перехватывать введение данных и многое другое. Ориентировочно, были поражены государственные организации, бизнес-структуры и промышленный сектор. Кроме того, против украинских учреждений был использован вирус Cosmicduke (модификация вируса Miniduke, назначение которого — похищение информации). Есть отдельные данные об использовании вируса Fireeye для шпионажа за украинскими должностными лицами. И это без учета косвенных кибератак с помощью соцсетей с их тысячами «фейковых» аккаунтов для распространения ложной информации о событиях в государстве и провоцирования волнений, а также более традиционных атак с помощью социального инжиниринга.
Таким образом, один из заместителей председателя администрации президента Украины, Д.Шимкив, вполне справедливо отметил в своем недавнем интервью: «Мы сталкиваемся с чрезвычайно серьезными задачами по кибербезопасности… Отбиваться от кибератак нужно уметь».
Кибершпионские или кибердиверсионные акции уже сегодня наносят ущерб нашей обороноспособности. Не секрет, что российские спецслужбы использовали мощности некоторых из крупнейших украинских мобильных операторов для того, чтобы прослушивать телефоны украинских абонентов, определять их месторасположение, получать все необходимые метаданные пользователей. Эта информация используется самым разным образом: от осуществления психологического давления и до использования полученных данных для наведения артиллерии агрессора по позициям украинских военных в зоне АТО.
То есть уже сегодня у нас есть примеры использования агрессором киберпространства (телекоммуникационной составляющей) в деструктивных целях против Украины. Пока что это ограничивается кибершпионскими акциями или DDos-атаками. Однако есть ли уверенность в том, что кибератаки не станут более серьезными и не будут направлены на объекты критической инфраструктуры, представляя реальную угрозу жизни и здоровью значительного количества украинских граждан? Тем более, что 2015 г. не будет спокойнее — уже сейчас украинские безопасностные и экспертные структуры прогнозируют возможность роста количества и качества кибератак против Украины. Ведь Россия последовательно использует наше государство как полигон не только для испытания кинетических видов вооружений и новых тактик ведения войны, но и для оптимизации собственных кибернаступательных возможностей.
Соответственно, защита киберпространства государства от атак, от использования его против интересов национальной безопасности и обороны — одна из приоритетных задач для государства. Причем решения должны быть найдены уже сейчас, а внимание государства к киберпроблематике должно перейти от теории к практике.
Кроме того, следует четко понять, что киберпространство должно стать инструментом нашего асимметричного ответа на агрессию. В свое время экс-руководитель национальной разведки США М.Макконнелл отмечал, что киберсдерживание может служить целям развития безопасного киберпространства, а наличие мощных кибернаступательных потенциалов может выполнять роль сдерживающего фактора в вопросе применения масштабных кибератак против США.
Украина не просто может, а вынуждена стать на аналогичную позицию и перестать концентрироваться исключительно на оборонительных мерах. Имея один из лучших в мире человеческих потенциалов, специалистов по ІТ, способность работать быстро и эффективно, высокую мотивацию к противостоянию внешней агрессии, государство должно делать ставку не только на оборонительные технологии, но и на наступательные, в том числе — на кибервооружения. Противник должен знать, что, пытаясь использовать киберпространство в ущерб национальным интересам Украины, он может столкнуться с масштабным киберответом. Это, в свою очередь, приведет к росту его расходов на оборонные затраты, что и может быть одной из целей асимметричного ответа. Это предложение, очевидно, противоречит всем миротворческим мерам, осуществляемым на глобальном уровне, по демилитаризации киберпространства, однако мы не можем больше делать вид, что не замечаем реальности в этой сфере, заменяя ее неэффективными разговорами.
Акцент на развитие кибервооружений важен еще по одной причине. Мы постоянно обращаемся к нашим западным партнерам с просьбой предоставить нам летальные вооружения для защиты от внешней агрессии. Однако при этом не используем даже тех возможностей, которые у нас есть. Следует честно признать, что получение вооружений от Запада — вопрос неоднозначный, и помощи в создании собственных наступательных возможностей мы, скорее всего, не получим. Аналогично и для кибервооружений. Однако последние мы действительно можем создавать сами, опираясь на собственный потенциал и собственные возможности. Это не отвергает нашего сотрудничества с западными союзниками в сфере развития именно кибероборонных возможностей, однако кибернаступление — зона ответственности только самой Украины.
Состояние и перспективы сектора кибербезопасности Украины
До последнего времени развитие сектора кибербезопасности в Украине было довольно специфическим, а подчас — фрагментарным. Безусловно, эти вопросы не оставались полностью подвешенными, — в разной степени к решению задач в указанной сфере причастны многие государственные структуры, ключевыми из которых являются Госспецсвязь, СБУ, МВД, а также оборонные и разведывательные структуры в пределах своих задач и полномочий.
Однако, несмотря на все, системности в этих процессах все еще мало, а об эффективной координации деятельности говорить трудно. И для этого есть ряд объективных и субъективных предпосылок.
Прежде всего, до сих пор непонятно, кто, собственно, отвечает за тематику кибербезопасности в государстве. С 2011 г. предпринималось много попыток решить этот вопрос на законодательном уровне, в том числе — в рамках профильного закона Украины. Задание разработать такой закон регулярно появлялось в решениях СНБО (в последний раз — в майском решении 2014 г., посвященном вопросам информационной безопасности), однако до сих пор особых сдвигов в этом вопросе не было. Следует честно признать, что одна из причин этого — наличие межведомственных разногласий и сложность поиска компромисса между госструктурами. Каждое из учреждений не желает поступаться своими интересами и полномочиями, считая, что именно оно должно стать ключевой структурой. Чаще всего эта дискуссия сводится к необходимости создать совершенно новую государственную структуру, которая занималась бы именно вопросами кибербезопасности. Названий для нее уже придумали достаточно — от «Службы киберзащиты» до «Агентства по кибербезопасности Украины».
Формально «адвокаты» этой идеи правы: мировой опыт свидетельствует, что в большинстве государств такие структуры есть, и в этих государствах построены жесткие модели управления национальной сферой кибербезопасности. Однако мировой опыт — вещь интересная: в нем, как в Библии, можно найти ответы почти на любой вкус и на все случаи жизни. Наверное, кроме одного — какой должна быть система кибербезопасности для государства, которое реально, а не теоретически находится в состоянии активной войны с заведомо более мощным противником?
И возникает вопрос, действительно ли в стране ситуация настолько стабильна, а в бюджете — так много средств, что государство может позволить себе такое масштабное реформирование (причем с довольно неоднозначным конечным результатом). Ведь речь идет не о смене вывесок, а о серьезном перераспределении функций и образовании новых структур.
В частных разговорах функционеры НАТО, занимающиеся проблематикой кибербезопаснос-ти, когда слышат о необходимости создать структуру или основательно перераспределить полномочия действующих субъектов, справедливо спрашивают: «А у вас действительно идет война, что у вас есть время на такие вещи?» Сегодня западные партнеры готовы нам помогать в развитии киберзащиты нашего государства, однако не в спонсировании имитации институциональных реформ, которые лишь тянут время. Причем в такой помощи то же самое НАТО чрезвычайно конкретно: с этой целью после Уэльского саммита НАТО в 2014 г. создало специальный трастовый фонд для решения вопросов кибербезопасности украинского государства.
Однако для этого нам нужно определиться, кто будет той структурой, которая возьмет на себя ответственность за координацию сектора кибербезопасности. Объективно это не могут быть непосредственные структуры сектора безопасности и обороны, поскольку ни одна из них не имеет достаточных полномочий и возможностей для охвата всего спектра проблем. Наверное, целесообразно было бы возложить дополнительные полномочия координации на СНБО Украины, тем более что после последних нормотворческих мер его полномочия расширились. Однако при этом в рамках Министерства обороны создание киберкомандования также представляется целесообразным, особенно с учетом того, что на сегодня функции киберзащиты и кибернападения в этой структуре рассредоточены между несколькими структурными подразделениями.
Другой критический вопрос — стратегическое планирование в сфере кибербезопасности. До сих пор нет даже документов общего характера по стратегическому видению в государстве проблематики кибербезопасности. Традиционный для всех развитых государств мира документ «Стратегия кибербезопасности» (под разными названиями в разных странах) до сих пор не принят, хотя такие попытки предпринимались, по крайней мере, с 2012-го по 2014 г. Задача этой Стратегии — дать ответ на вопрос о ключевых угрозах национальной безопасности в киберпространстве, приоритетах государственной политики в этой сфере, а также основных шагах, которые необходимо предпринять для нейтрализации угроз. Причем, как и во многих других сферах государственной политики безопасности, нам крайне не хватает координации даже имеющихся ресурсов. Например, у нас есть, по крайней мере, несколько государственных программ, которые занимаются вопросом развития ІТ, однако их взаимосогласованность довольно условна.
Еще одна важная проблема, о которой государство предпочитало долгое время не вспоминать, — взаимодействие между государственными и негосударственными структурами. Де-факто, большинство как действующих, так и проектных нормативно-правовых инициатив строятся на принципах исключительной субъектности государства, тогда как частному сектору оставляют роль статистов и исполнителей всех предписывающих документов. Фактически, частный сектор, несмотря на то, что подавляющее большинство объектов критической инфраструктуры (тем более информационной) принадлежат именно ему, государство не воспринимает как равноправного партнера, а тем более — помощника в усилении обороноспособности страны в киберпространстве.
Трудно сказать, насколько эта ситуация изменилась в течение последнего года. С одной стороны, можно наблюдать рост открытости государственных структур к сотрудничеству. По крайней мере, отдельные инициативы в этом направлении демонстрируют и Госспецсвязь (в том числе — в лице CERT-UA), и СБУ. Однако во многом механизмы сотрудничества не налажены, в частности — из-за бюрократических процедур, которые не позволяют в полной мере привлечь этот потенциал. При этом мы должны признать, что часто разнообразные «киберополчения» могут делать то, чего не в состоянии (по разным причинам) делать государство. Хотя при этом «киберополченцы» (наподобие «Украинских кибервойск») и сами понимают всю «специфичность» собственной деятельности с точки зрения Уголовного кодекса.
И, наконец, государство должно оптимизировать использование научно-технического и человеческого потенциала для указанной сферы. Ключ к успешной защите от кибератак и усилению своих позиций в киберпространстве — это люди. Высокообразованные специалисты, понимающие всю сложность поставленных перед ними задач. У Украины этот ресурс есть — ежегодно выпускаются несколько десятков тысяч ІТ-специалистов, уровень подготовки многих из них отвечает мировому. В то же время, украинские инженеры и программисты создают вполне конкурентоспособные программные и технические продукты, которые могут быть использованы, в том числе, и для усиления кибербезопасности государства.
Однако действительно ли государство использует этот ресурс в полной мере? К сожалению, во многих случаях государство и наука в указанной сфере у нас либо не пересекаются, либо пересекаются довольно условно. С одной стороны, это связано с объективной неспособностью государства обеспечить привлечение многих высококлассных специалистов на государственную службу из-за нехватки соответствующих средств. Показательно, что когда недавно CERT-UA объявил о наборе хакеров и сообщил, что ожидаемая заработная плата составит около 3,5–5 тыс. грн, выяснилось — патриотизм многих специалистов не простирается так далеко, чтобы работать за такую сумму на государственной службе. Это действительно проблема, которую нужно решать. Возможно, созданием особого подразделения в структуре одного из государственных органов с соответствующим уровнем оплаты специалистов. И речь идет не о том, что там должна работать сразу сотня специалистов, пусть это будет крайне малое количество молодых специалистов, которые прошли серию национальных киберсоревнований (что в большинстве развитых государств и является одним из источников поиска таких специалистов) и доказали свой высокий уровень и профессионализм.
Вообще, следует отнестись серьезнее к различным мероприятиям, способствующим заинтересованности молодежи проблематикой кибербезопасности. Нам нужны как уже упомянутые национальные киберсоревнования, так и регулярные хакатоны и другие виды мероприятий, где ведомства безопасности смогут отбирать для себя молодых специалистов на реальной конкурентной основе.
При этом мы должны найти более эффективную форму использования отечественных программных и технических наработок в развитии потенциала кибербезопасности государства. Сразу несколько мощных вузов Украины готовят высококлассных специалистов, и у них уже есть соответствующие технические наработки, которые могут и должны быть внедрены в отечественный сектор кибербезопасности. Собственно, речь идет о формировании комплексного программного и конструкторского обеспечения функционирования государственной системы кибернетической безопасности Украины.
Можно по-разному оценивать нынешнюю готовность государства вести активную фазу вооруженного противостояния с агрессором, однако киберпространство — это место, где мы действительно можем и должны дать достойный отпор противнику. Киберпространство должно стать одним из элементов нашего асимметричного ответа на агрессию, действенным фронтом нашего сопротивления. Государство имеет для этого почти все необходимое, а чего нет у государства, есть у его граждан. Так что наша задача здесь и сейчас — использовать этот ресурс, обеспечив необходимые институциональные, нормативно-правовые и практические изменения подхода государства к тематике кибербезопасности.