Ричард Кларк - Третья мировая война. Какой она будет

В отличие от существующей конвенции по киберпреступности конвенция по кибервойне обяжет страны следить за тем, чтобы интернет-провайдеры прекращали обслуживать людей и устройства, участвующие в атаках, и сообщали о них властям. Такое условие означало бы, что интернет-провайдерам придется выявлять и блокировать «черви», ботнеты, DDoS-атаки и прочую злоумышленную деятельность. (Процесс идентификации вредоносного ПО не так сложен, как проверка информационных пакетов, он может быть реализован через анализ потоков—вы просто продвигаетесь по сети и обращаете внимание на «острые» импульсы или критические паттерны.) Если стране не удается успешно привлекать интернет-провайдеров к сотрудничеству, в международном соглашении должна быть предусмотрена процедура, которая перекладывает ответственность на другие государства. Интернет-провайдер может быть занесен в международный черный список, и тогда все страны—участники конвенции обязаны будут заблокировать работу этого провайдера до тех пор, пока он не подчинится и не разберется с ботнетом и другими вредоносными программами.

Такое международное соглашение отчасти решило бы проблему атрибуции с помощью перекладывания ответственности. Даже если взломщика определить не удастся, появится кто-то, ответственный за прекращение атаки и расследование. Большинству стран даже не придется создавать новые отделы для киберрасследований. Такие страны, как Китай и Россия, способны устанавливать личности хакеров и быстро пресекать их деятельность. Как сказал Джим Льюис из Центра стратегических и международных исследований, «если какой-нибудь хакер из Петербурга попробует взломать сеть Кремля, ему хватит пальцев на одной руке, чтобы сосчитать оставшиеся часы жизни». Будьте уверены, то же самое ждет любого жителя Китая, который попытается проникнуть в сеть Народно-освободительной армии. Если Китай и Россия подпишут подобное соглашение о кибервойне, они не смогут больше обвинять в DDoS-атаках своих граждан и спокойно бездействовать. Неспособность быстро действовать против хакеров приведет к тому, что страна будет признана нарушителем и, что более важно, другие государства откажутся от услуг проблемных интернет-провайдеров. Государства имеют возможность остановить такой дефектный трафик, но в отсутствие правовых рамок делают это очень неохотно. Соглашение не только позволит странам блокировать такой трафик, но и обяжет их это делать.

Но этого недостаточно, чтобы полностью решить проблему атрибуции. Российская ботнет-атака может пойти из Бруклина. Тайваньский хакер способен атаковать сайты китайского правительства, сидя в интернет-кафе в Сан-Франциско. Но по условиям такого соглашения Соединенным Штатам пришлось бы пресечь действия ботнета и начать активное расследование. В случае с гипотетическим тайваньским агентом, вторгшимся в китайскую сеть, Китай, обнаружив это, должен будет обратиться в ФБР и Секретную службу США с просьбой помочь китайской полиции отследить преступника в Сан-Франциско. Если его найдут, то привлекут к суду за нарушение американского закона. Конечно, любая страна может сказать, что ищет хакера, а в действительности этого не делать или провести расследование и не обнаружить виновного. Когда обнаружен ботнет, управляемый через интернет-провайдера конкретной страны, государство может потребовать время на принятие мер. Чтобы понять, действительно ли что-то предпринимается, понадобится международная следственная комиссия. Специалисты, действующие в рамках этой комиссии, будут представлять отчеты странам — участницам конвенции о том, действует или нет конкретное государство в духе соглашения. Можно создавать международные инспекционные группы, сходные с группами, работающими в рамках Договора о нераспространении ядерного оружия, запрета на химическое оружие и Европейского соглашения о безопасности и сотрудничестве. Такие группы могут приглашаться для содействия в проверке кибератаки, нарушающей соглашения. Они помогут определить, из какой страны была запущена атака. При добровольном согласии стран-участниц международные эксперты могут размещать отслеживающее потоки оборудование на ключевых узлах, ведущих в сети стран, чтобы облегчить обнаружение и поиск атак.

Международные эксперты могут руководить центром, с которым будут связываться государства, считающие, что подвергаются кибератаке. Представьте, что на израильскую сеть в три часа утра по тель-авивскому времени обрушивается DDoS-атака с ботнетов провайдера в Александрии (Египет). В Израиле, как и во всех странах — участницах нашей гипотетической конвенции, есть постоянно действующий центр кибербезопасности. Сотрудники израильского центра информируют международный центр, расположенный, скажем, в Таллинне, что кибератака началась с конкретного интернет-провайдера в Египте. Международный центр связывается с египетским центром в Каире и требует немедленно расследовать, обнаружены ли ботнеты этого интернет-провайдера в Александрии. Международные эксперты могут засечь, сколько времени понадобится Египту на обнаружение и пресечение атаки. Возможно, они смогут проследить потоки трафика, идущего через маршрутизаторы, соединяющие Египет с остальным миром, и обнаружить ботнет. Египет будет обязан представить отчет о расследовании. Если инцидент подтвердится, международные эксперты вышлют следственную группу для помощи и наблюдения за действиями властей, которая подготовит отчет для стран — участниц соглашения.

К странам, пренебрегающим правилами, следует применять санкции. Помимо отказа других стран работать с провайдером-нарушителем могут последовать санкции со стороны международных организаций. В качестве более решительных мер предложим отказ в предоставлении виз должностным лицам страны-нарушителя, ограничение исходящего и входящего в страну кибертрафика или отключение страны от международного киберпространства на определенный срок.

Такие проверки и меры не решают проблему атрибуции. Они не помешают злоумышленникам представить невиновную страну источником кибератаки. Однако они осложнят возможность проведения некоторых видов кибератак, установят международные нормы, обяжут страны оказывать содействие и создадут международное сообщество экспертов для совместной борьбы с кибервойной. Важно помнить, что организация атак такого масштаба требует усилий государственного уровня, и только несколько государств обладают такими возможностями. Список потенциальных нападающих невелик. Атрибуция — главная проблема киберпреступности, но что касается войны, расследование и традиционная разведка быстро сократят число подозреваемых.