Владимир Соколов, заместитель директора Института проблем информационной безопасности МГУ им. М.Ломоносова.
В середине апреля ряд научных, образовательных, общественных организаций и частных компаний из Беларуси, Болгарии, Германии, Израиля, Индии, Китая, России, США и Японии объявили о создании Консорциума по изучению угроз информационной безопасности и разработке мер для борьбы с ними. Важнейшие из этих угроз сегодня - взрывной рост криминальной активности в Интернете и гонка кибервооружений, нацеленных на жизненно важные системы реального мира, включая транспортные, энергетические, коммуникационные и финансовые сети.
Подписание декларации о создании Консорциума состоялось на Четвертом международном форуме по информационной безопасности и противодействию терроризму, который проходит каждый год в апреле в широко известном спортивном и туристическом центре Германии Гармиш-Партенкирхене. Организатор и инициатор проведения Форума, ставшего первым в мире регулярным мероприятием, где проблемы информационной безопасности обсуждаются во всей полноте — Институт проблем информационной безопасности МГУ им. М. В. Ломоносова. Бессменный председатель оргкомитета Форума - директор института Владислав Шерстюк, в прошлом возглавлявший ФАПСИ (федеральное агентство правительственной связи и информации, отвечавшее за «сигнальную разведку» и обеспечение секретных коммуникаций в стране), ныне помощник Секретаря Совета безопасности РФ.
На Форум прибыли представители ООН, ОБСЕ, Европарламента, Европейского центра по изучению вопросов безопасности им. Дж. Маршалла (кстати, при упоминании о Гармише специалисты сразу вспоминают не о знаменитых трамплинах и горнолыжных трассах, а именно об этом центре с его богатой и до сих пор во многом скрытой историей, ныне управляемом совместно оборонными ведомствами США и Германии), компании ICANN, осуществляющей техническое управление Интернетом, международных кибергигантов Cisco и PayPal, ряда других компаний и университетов. Впервые в работе Форума участвовали эксперты из таких мощных кибердержав, как Индия и Китай.
Однако наиболее заметным сигналом роста значимости Форума и обсуждаемых на нем проблем наблюдатели назвали резкое расширение состава американских участников. В этом году их было около двух десятков (в прошлом — лишь несколько человек), в том числе высокопоставленные чиновники Джудит Строз (директор бюро по вопросам киберотношений Госдепартамента) и Крис Пейнтер (заместитель координатора по кибербезопасности в Белом Доме).
Это явное свидетельство интереса нынешней американской администрации к российским инициативам по международному контролю за безопасностью в киберпространстве.
В центре внимания Форума находились несколько ключевых сюжетов, на которых мы остановимся более подробно.
Объединение на научной основе
Созданный в ходе работы Форума Международный исследовательский консорциум информационной безопасности (МИКИБ) акцентирует исследовательский характер своей деятельности в первом же пункте учредительной Декларации.
В этом его существенное отличие от тех международных объединений, которые заняты оперативным отслеживанием опасных инцидентов в Интернете и ранним предупреждением об угрозах. Задачи МИКИБ совершенно иные — исследования, конференции, публикации. Такой формат позволил объединить партнеров очень широкого спектра — от американской полузакрытой консалтинговой компании по безопасности Global Cyber Risk до Китайского общества дружбы с зарубежными странами, известной в мире влиятельной организации.
Что дает участие в Консорциуме? Директор по международным программам университета штата Нью-Йорк (SUNY) Джон Райдер (John Ryder) считает, что первым практическим результатом подписания им декларации о создании Консорциума станет рост «заметности» научных проектов по кибербезопасности, которые SUNY реализует совместно с МГУ. Сначала «заметности» для высоких чиновников от образования, затем в более широких масштабах. А заметность — это дополнительные грантовые программы, участие в конференциях, расширение проектов. Прагматик Райдер знает, что говорит: еще в 1970-х годах SUNY сумел впервые в США наладить прямое (без участия правительств) сотрудничество с МГУ; можно представить, какой виртуозной оргработы это потребовало в разгар холодной войны.
Что ждут от работы самого Консорциума? Здесь прагматика другого уровня: участники МИКИБ смогут обсуждать такие вопросы, которые невозможно пока вынести на официальные государственные переговоры. Именно на конференциях, семинарах, в совместных проектах участников Консорциума могут быть выработаны и технологически обоснованы подходы и формулировки, которые затем лягут в основу продуктивных международных соглашений. Такие разработки остро необходимы — ведь до тех пор, пока не существует даже общепринятого определения киберпространства, невозможно договариваться о сотрудничестве в нем.
Криминал, анонимность и ботнеты
В последние годы основным средством, используемым криминальными структурами в Интернете, стали так называемые ботнеты — сети компьютеров, инфицированных ботами, особыми вирусами, позволяющими злоумышленнику контролировать работу этих компьютеров извне. Такие «компьютеры-зомби» могут совершенно незаметно для владельца рассылать небольшими порциями спам или участвовать в DDoS-атаках, блокируя сайт-жертву потоком сообщений, которые он не успевает обработать. Технология ботнетов сегодня общедоступна, в Интернете можно найти бесплатное программное обеспечение для их создания. В то же время эта технология достигла большого совершенства, ботнетами часто управляют мощные алгоритмы искусственного интеллекта, а численность таких сетей может включать десятки и даже сотни тысяч компьютеров. Однако и небольшие ботнеты из сотен компьютеров при современной пропускной способности каналов способны обеспечить серьезную атаку, выводящую из строя интернет-портал достаточно крупной компании.
Организация атак с помощью ботнетов также непрерывно совершенствуется. Об этом говорил на Форуме Грег Раттрей (Greg Rattray), главный советник по безопасности в компании ICANN. Программу самого бота-вируса пишут одни люди, управляющую программу сети — другие, а заказчик атаки может вообще не иметь с ними никакой связи. Более того, программные средства, создаваемые для борьбы с атаками ботнетов, могут применяться и для проведения таких атак — такие разработки делались даже в совместных проектах участников Форума. Как в этой ситуации распределяется вина за криминальные действия, что является уликами, как установить исполнителей и заказчиков преступления, как доказать их вину? Технологии выявления и блокирования криминальных компьютерных сетей совершенствуются вместе с совершенствованием ботнетов, но этого далеко не достаточно для эффективной борьбы с преступлениями, совершаемыми с их помощью.
Для такой борьбы необходимо решить более общую проблему, не связанную с тем, используют ли криминальные структуры для своих целей ботнеты или другие технические средства. Центральная задача в том, чтобы правильно соотнести действия, совершаемые программами в Интернете, с преступной деятельностью использующих эти программы конкретных людей, находящихся порой в разных странах за тысячи километров друг от друга. Одно из основных препятствий к решению этой задачи — анонимность пользователей. Российские правоохранители (на Форуме их позицию представлял генерал-полковник Борис Мирошников, возглавляющий «Линию К» МВД РФ, в чьи задачи входит борьба с киберпреступностью) убеждены в том, что от анонимности в Интернете надо избавляться, и как можно скорей. Впрочем, методы, которыми этого проще всего добиться, не всегда приемлемы для общества с определенным уровнем свобод — например, жестко контролируемые и пожизненно присваиваемые персональные коды доступа (такая практика существует в некоторых странах Азии). Тема ухода от анонимности звучала, однако, и во многих докладах американских и западноевропейских исследователей — речь шла о разработке программных инструментов идентификации, использующих криптографию. Есть и радикальные проекты повышения безопасности и прозрачности за счет перехода к принципиально новой архитектуре глобальной сети. Ведь многие беды оттого, что Интернет, как заметил Грег Раттарей, изначально был рассчитан на благонамеренных пользователей — никто не предвидел, что он станет глобальной структурой, сложной экосистемой, объединяющей бизнес, науку, прессу, криминал, культуру...
И уж совсем за рамки информационных технологий выходит еще одна ключевая проблема, возникающая при расследовании киберпреступлений: трудности обмена информацией между полициями разных стран. Типичная ситуация: жертва кибератаки находится на территории одной страны, и полицией этой страны собраны улики, указывающие на подозреваемого, находящегося в другой стране. Но при попытке продолжать расследование вступают в силу законы о защите персональных данных, а часто и другие законодательные положения этих стран, имеющие принципиальный характер — и задержание преступника становится невозможным.
В дискуссии по этому вопросу эмоционально высказались со-ведущие круглого стола по киберпреступности Стюарт Бейкер (Центр Стептоу и Джонсона стратегических и международных исследований, США) и Борис Мирошников. По мнению Бейкера, для выработки универсального соглашения, снимающего подобные проблемы, может потребоваться лет двадцать — поэтому лучше полагаться на оперативное неформальное взаимодействие правоохранителей на основе взаимного доверия. «Договорились ли вы с преступниками, о мои ученые друзья? Будут ли они ждать двадцать лет?» - иронически заметил в ответ генерал Мирошников.
Кибероружие, критические инфраструктуры и вызовы будущего
Никто из серьезных специалистов сегодня не возьмется ответить на вопрос, что такое кибероружие. Специалисты просто избегают обсуждать этот вопрос сколь-нибудь конкретно, и по очень простой причине — это понятие юридически не сформулировано, и ни одно государство пока официально не заявило о наличии у себя подобных средств ведения боевых действий (кстати, понятие «кибервойна» тоже не имеет признанного определения). Однако все понимают, что речь идет о средствах — то ли существующих, то ли чисто гипотетических, - способных вывести из строя компьютеризированные системы управления и связи. В том числе, а может быть, и в первую очередь, не военные, а гражданские — транспорт, электросети, водопровод, все то, что называют критическими инфраструктурами. Причем средства эти настолько мощные, что ущерб от их применения одним государством против другого может оказаться катастрофическим. Так, до самого последнего времени американские военные руководители регулярно напоминали о том, что военная доктрина США предусматривает возможность нанесения ядерного удара в ответ на разрушительную кибератаку.
Существует ли кибероружие с таким потенциалом в реальности, и кто им обладает - вопрос темный. Однако никто не хочет дожидаться, пока это выяснится само собой, и все чаще на международном уровне звучат призывы к серьезным переговорам о предотвращении гонки кибервооружений. Несомненно, инициатива в продвижении таких переговоров принадлежит российским экспертам и дипломатам. Теперь и западные специалисты, в том числе люди бизнеса, все чаще обращаются к этой проблематике. Так, Джоди Вестби (Jody Westby), президент компании Global Cyber Risk, заявила: «Мы устранили цифровой барьер, но при этом создали новый барьер в сфере безопасности», и предложила в своем докладе серию первоочередных шагов, прежде всего в правовом поле, направленных на сдерживание и ограничение военной эскалации в Интернете. Чтобы обсуждать проблематику кибервойны на юридическом языке, придется выработать массу новых понятий, начиная с того, кто такие «киберсолдаты» и что значит «избыточное применение силы в киберпространстве».
Очевидно, что если разрушительное кибероружие существует, то, как и любое другое, оно вполне может оказаться в руках террористов. Подчеркнем, что до сих пор не зафиксировано ни одного инцидента, который можно было бы считать террористическим актом в киберпространстве. Тем не менее, защищенности критических инфраструктур от кибератак потенциальных террористов было посвящено специальное заседание.
Стюарт Бейкер привел весьма неуютные данные — около 75% компьютерных систем управления промышленными объектами связаны с Интернетом или сетями аналогичной архитектуры. Это означает потенциальную уязвимость этих систем ко всем тем опасностям, о которых мы уже говорили. Санджай Гоел, профессор университета SUNY, проанализовал открытые данные о кибератаках на объекты инфраструктуры США. Согласно его выводам, наименее опасны такие атаки на сети водоснабжения. Хотя они достаточно централизованы (353 водопроводные сети обеспечивают водой 44% населения), структура систем управления ими такова, что кибератака может лишь ненадолго прервать подачу воды. Напротив, энергетические сети чрезвычайно узявимы к таким нападениям, причем не только в теории: действиям хакеров приписывают инциденты в системах энергоснабжения Калифорнии в 2001 году, и еще более серьезные происшествия в Бразилии в 2005 — 2009 годах, когда без электричества надолго оставались миллионы людей и крупные промышленные предприятия.
Рост доли альтернативных источников энергии (например, автономных солнечных батарей) снизит подобные опасности (а в США к 2012 году 10% электроэнергии будет поступать из таких источников). Напротив, массовый переход на «умные энергосети» с интеллектуальными счетчиками энергии (правительство США уже потратило на внедрение таких сетей более 8 млрд. долларов) может, по мнению Гоела, создать новые возможности для злоумышленников.
Казалось бы, перечисленного достаточно, чтобы осознать масштабы информационных угроз. Однако интереснейший доклад Марка Гудмана, руководителя направления по киберкриминологии в германском Институте изучения киберпреступности (Cybercrime Research Institute), заставил задуматься о том, что во вполне обозримом будущем нас могут ждать еще более грозные вызовы. Они связаны со стремительно растущим сближением реального и виртуального миров.
Основная жизнь миллионов людей уже сегодня проходит в киберпространстве (обычное, «мясное» пространство нужно им лишь для того, чтобы иногда есть и спать). Большинство этих людей - участники многопользовательских ролевых игр (по «населению» игра World of Warcraft вышла на 75 место в мире, обогнав Израиль, Бельгию, Венгрию, Швейцарию) и других виртуальных миров. Для этих людей виртуальные товары часто более значимы, чем предметы обычного обихода. В результате оборот рынка виртуальной собственности (в том числе «недвижимости» в виртуальных мирах, таких как Second Life [Вторая жизнь]) уже достиг 12-15 млрд. долларов — настоящих, не виртуальных долларов (восемь миллиардов из них приходится на долю китайских пользователей). Криминал все больше интересуется этим рынком с точки зрения отмывания денег, террористические организации могут попытаться использовать его для финансирования операций. Внутренняя экономика виртуальных миров не подпадает пока ни под какое официальное регулирование. Кроме того, игровые миры — идеальное место для планирования террористических операций, поэтому все больше ресурсов приходится вовлекать в их киберпатрулирование. Недавно испанский политик был атакован во «Второй жизни» (в этой киберсреде имеются официальные посольства ряда стран) виртуальными террористами группировки ETA. Ну, а «Армия освобождения «Второй жизни» ведет решительную борьбу за наделение аватаров правами обычных людей.
В свою очередь, киберпространство все больше проникает в обычную реальность. Ожидается, что через три года миллиард пользователей будет входить в Интернет с мобильных компьютеров и телефонов. Отследить действия таких пользователей в сети будет намного сложнее, чем при работе со стационарных компьютеров. Не первый год проходят испытания в силовых структурах разных стран боевые роботы, и уже были трагические случаи — в 2009 году в ЮАР под огнем такого робота погибло 9 человек. Очевидно, что следующий логический шаг - подключение боевых роботов к сетям связи (вполне вероятно, что и к Интернету) для координации совместных действий - дело ближайшего будущего. Риски, связанные с появлением таких сетевых систем, легко себе представить.
Наименее ясна линия развития киберсистем, связанная с повышением их автономности, способности действовать самостоятельно. Возникающие здесь риски напоминают о классическом сюжете «бунта машин». К счастью, признаков такого развития событий пока не видно. Впрочем, Марк Гудман цитировал недавние сообщения о поединке (без участия людей) двух ботнетов, принадлежащих российским преступным группировкам...
Разумеется, многое в прогнозах, приведенных Гудманом, спорно. Бесспорно одно - наиболее серьезные существующие и прогнозируемые киберугрозы имеют глобальный характер, так как основаны на сетевых ресурсах, рассредоточенных по всей планете. Поэтому противостоять таким угрозам можно только на основе самых широких международных соглашений. Дискуссии в Гармише показали, что мировое экспертное сообщество готово делать практические шаги к серьезной проработке таких соглашений. Появление Консорциума деловых, научных и общественных структур, занятых этой работой, можно считать одним из первых таких шагов.
Участники форума практически единогласно решили опубликовать результаты дискуссий в открытой печати, а также продолжить работу на Шестой международной научной конференции по проблемам безопасности и противодействия терроризму, которая пройдет в Московском университете с 21 по 23 октября, и, конечно же, хорошо подготовиться к Пятому (юбилейному) международному форуму по информационной безопасности и противодействию терроризму, который состоится с 18 по 21 апреля 2011 года в г.Гармиш-Партенкирхен.
Мнение автора может не совпадать с позицией редакции