Тревожный звонок. Как кибербезопасность всего мира оказалась под угрозой

Майкл Чертофф Экс-министр внутренней безопасности США, сопредседатель Глобальной комиссии по стабильности киберпространства. Если мы не хотим допустить, чтобы новый всплеск киберконфликтов полностью вышел из-под контроля, нам срочно нужны международные действия Недавняя ужасная хакерская атака Sunburst против американских и глобальных целей в очередной раз бросила вызов международному сообществу, требуя реакции на участившиеся кибератаки. Уже год специалисты по кибербезопасности во всём мире наблюдают всплеск хакерских атак на критически важную инфраструктуру, в том числе на организации, занятые борьбой с пандемией COVID-19. Хотя правительства публично осуждают случаи подобного поведения, очевидно, что требуются дополнительные коллективные действия.Международного договора по кибервопросам не существует, а те 11 необязывающих норм ответственного государственного киберповедения, которые были утверждены Генеральной Ассамблеей ООН, отчасти расплывчаты. Постоянно предлагаются различные дополнительные нормы, и это хорошо. Однако нормы — это не договоры, и не следует относиться к ним так, будто они ими являются. Наилучший вариант: сконцентрировать внимание на духе, выраженном в этих нормах, а не только на их букве. Более того, выявленная новая хакерская атака как раз и показывает, почему международный договор о кибербезопасности, скорее всего, не сработает.SolarWinds, ведущая американская компания в сфере управления компьютерными сетями, выпускает платформу мониторинга, которая обеспечивает сотрудникам отделов IT-поддержки доступ к устройствам, на которых она установлена. Недавняя атака на производственную цепочку этой компании позволила взломать функцию обновления её программы с целью установки вредоносной программы под названием Sunburst. Как сообщает техническое издание The Register, SolarWinds используется в более чем 425 компаниях из американского списка Fortune 500, во всех крупнейших телекоммуникационных компаниях США, а также в большинстве ведомств американского правительства (и аналогичным образом используется во многих других развитых странах). Компания кибербезопасности FireEye, чьё сообщение о взломе в начале недели помогло разоблачить эту кампанию хакеров, заявила, что многие организации во всём мире могли оказаться в зоне риска, хотя основной целью этой атаки, судя по всему, были государственные органы США.Правительство США подозревает, что эту атаку совершила российская разведка, а эксперт по кибербезопасности Джефф Мосс утверждает, что обнаружение проводившейся хакерами кампании может спровоцировать их на новые действия.С точностью мы знаем, что атака на SolarWinds осуществлялась на протяжении многих месяцев и совпала по времени с новым этапом межгосударственных переговоров об усилении и прояснении кибернорм. Из восьми норм, которые были предложены Глобальной комиссией по стабильности киберпространства, как минимум одна была явно нарушена: это норма, запрещающая «государственным и негосударственным структурам совершать вмешательство на стадии разработки и производства товаров и услуг». Данная атака могла также нарушить ряд других норм, например, о защите «публичного ядра» (то есть базовой инфраструктуры) мирового Интернета. (Этот же принцип содержится в Парижском призыве к доверию и безопасности в киберпространстве, подписанном более чем тысячью государственных, отраслевых и общественных организаций).Ещё важнее то, что случай SolarWinds может затрагивать как минимум три из 11 норм, одобренных Генеральной Ассамблей ООН, в том числе нормы, призванные защитить производственные цепочки в секторе информационно-коммуникационных технологий, критически важную инфраструктуру и собственно киберзащитников.Некоторые критики могут заметить, что формулировки этих норм настолько расплывчаты, что допускают подобного рода деятельность. Мы не согласны. Кибератаки часто выглядят направленными в некую серую зону между согласованными нормами. Однако это не повод, чтобы их прощать. В 2015 году, через несколько месяцев после появления одобренной при посредничестве ООН нормы, которая защищает критически важную инфраструктуру, было совершено как минимум три атаки, выглядевших попыткой протестировать потенциальные пределы достигнутого соглашения.Например, хакеры почти уничтожили сталелитейный завод в Германии, но можно было утверждать, что они оставили неповреждённой официально зарегистрированную критическую инфраструктуру, частью которой он являлся. Затем была отключена украинская энергосеть, но это было лишь временно и можно утверждать, что в вопросах стран, находящихся в состоянии войны, работают иные правила. Наконец, один из крупнейших частных телеканалов во Франции подвергся атаке и был вынужден прекратить эфир, однако официально этот канал не считался критически важной национальной инфраструктурой.Вялая международная реакция на все эти взломы могла сыграть свою роль в стимулировании ещё более сомнительных и заметных хакерских атак: одна из них была направлена на президентские выборы в США в 2016 году. Эта попытка тоже целилась в серую зону, потому что выборы и их процедуры не были в тот момент официально признаны «критически важной инфраструктурой».Никто не может всерьёз утверждать, что во всех этих случаях не было никаких нарушений, потому что не были явно нарушены действовавшие нормы. Нормы — это не юридические обязывающие правила, в которых решающую роль играют точные формулировки. Скорее, они являются гибкими инструментами: широта возможных интерпретаций может быть их силой, а не слабостью. Они существуют как раз потому, что зачастую очень трудно приспособить существующее международное право к киберпространству, а также потому, что большинство демократических стран не хотят связывать себя международным договором, который будет, несомненно, неадекватно сформулирован и чьё соблюдение будет плохо контролироваться.Случай SolarWinds демонстрирует, почему это так: в киберпространстве всегда будут появляться новые приёмы, разработанные специально для того, чтобы они не подпали под определения любого конкретного текста. Но эта атака показал также, что работа над новыми нормами (хотя бы как в качестве дополнений к уже принятым) могла бы помочь точнее прояснить, какие именно ценности старается поддержать международное сообщество. Подход на основе норм, которые не ограничиваются вечно неполными определениями, позволил бы усилить противодействие вредоносной киберактивности и уменьшил бы желание ею заниматься. Впрочем, в любом случае понадобится политическая воля, чтобы добиваться соблюдения этих норм и наказывать за явные нарушения.Лучший способ отговорить от подобных действий злонамеренные государства и их структуры — действовать коллективно, что позволит гарантировать им неизбежные последствия, тем самым устанавливая общепринятое международное право. В конечном итоге нормы существуют для того, чтобы помогать именно такой реакции и поддерживать её, когда это необходимо, а не препятствовать ей. Если мы не хотим допустить, чтобы новый всплеск киберконфликтов полностью вышел из-под контроля, нам срочно нужны такие международные действия.НВ обладает эксклюзивным правом на перевод и публикацию колонок Project Syndicate. Републикация полной версии текста запрещена.ОригиналCopyright: Project Syndicate, 2020Присоединяйтесь к нашему телеграм-каналу Мнения НВ