Шейн Харрис - Кибервойн@. Пятый театр военных действий

Соединенные Штаты ни разу не подвергались крупным кибератакам, результатом которых могло бы стать нарушение работы ключевых объектов инфраструктуры. Однако в начале 2012 г. некоторые чиновники заволновались, решив, что то, чего они так долго боялись, может произойти. В марте того года по меньшей мере 20 компаний, обслуживающих газовые трубопроводы в США, обратились в Министерство внутренней безопасности с информацией о подозрительных электронных письмах, отправленных сотрудникам этих компаний. Письма приходили от якобы знакомых людей или коллег – обычный метод фишинга. Некоторые сотрудники – до сих пор неизвестно, сколько их было – открыли эти письма и запустили таким образом шпионское ПО в корпоративные сети операторов трубопроводов. У хакеров не было доступа к системам управления трубопроводами, однако они опасно приблизились. Если бы операторы отключили свои системы управления оборудованием от Интернета, возможно, они оказались бы в безопасности. Хотя, конечно, всегда остается риск того, что ничего не подозревающий сотрудник может принести вредоносную программу на внешнем носителе.

Руководители ФБР, АНБ и Министерства внутренней безопасности самого высшего уровня находились в состоянии боевой готовности. Взломщик, который получит контроль над трубопроводами, сможет нарушить подачу природного газа или вывести из строя систему управления, что приведет к аварии или даже взрыву. Соединенные Штаты покрыты сетью газовых труб общей протяженностью более 300 000 км, а природный газ составляет примерно треть в общем энергобалансе страны. До сих пор не было ни одной подтвержденной кибератаки, которая привела бы к уничтожению трубопроводной системы. Однако во времена холодной войны ЦРУ якобы установило вредоносное ПО на оборудовании трубопроводной системы Сибири. Этот трубопровод взорвался в 1982 г. Теоретически существовала возможность удаленного изменения давления внутри трубопровода. Атаку такого рода АНБ провело на иранском атомном объекте.

Как только газовые компании передали властям информацию о том, что их сети зондируются, чиновники тотчас же отправили на предприятия «летучие» команды для сбора сведений с жестких дисков и анализа сетевых лог-файлов. Источник электронных писем был отслежен. Оказалось, что все эти письма рассылались в рамках одной операции, которая, по оценкам аналитиков, началась в декабре 2011 г. По словам бывшего сотрудника правоохранительных органов, который занимался этой проблемой, предприятия непрерывно сообщали об обнаружении шпионов в своих сетях. Тем не менее истинные цели операции ускользали от аналитиков. Пытались ли взломщики собрать информацию о конкурентах в сфере трубопроводного бизнеса, относящуюся, например, к поиску новых поставщиков газа или строительству новых установок? Или они пытались прервать поток газовой энергии, внедрив вредоносную программу, которая могла бы позднее в определенный день уничтожить трубопровод?

Для того чтобы это выяснить, государственные следователи решили не делать публичных заявлений, а тихо наблюдать, за какой именно информацией пришли взломщики. Это был рискованный ход. В любой момент хакеры могли начать вредоносную атаку на корпоративные сети и украсть или стереть ценную информацию. Кроме того, оставался шанс, пусть небольшой, что объектом атаки станут сами трубопроводы. Это повлекло бы за собой катастрофические экономические последствия и даже могло бы привести к гибели людей, оказавшихся рядом с местом взрыва. Власти провели закрытые встречи с отдельными компаниями, чтобы выяснить степень их информированности. Госструктуры поделились с персоналом, обеспечивающим корпоративную безопасность, «стратегиями уменьшения ущерба», передав им известные адреса электронной почты, с которых были отправлены фишинговые сообщения, и конкретные IP-адреса, доступ к которым операторам трубопроводов следовало закрыть. Однако власти не очистили сети от шпионов и не дали указания компаниям, как это сделать. 29 марта группа экстренного реагирования, базирующаяся в Министерстве внутренней безопасности и работающая в тандеме с АНБ, опубликовала на секретном правительственном сайте предупреждение для всех операторов трубопроводных сетей, в котором предписывалось позволить шпионам искать интересующие их сведения и не вмешиваться до тех пор, пока их действия не угрожают работе трубопроводной системы. Торговые ассоциации, представляющие нефтегазовые компании, были предупреждены госчиновниками из Вашингтона и получили указания сохранять детали проводимой операции в секрете.

Реакция на «трубопроводный взлом» продемонстрировала высокий уровень влияния властей на кибероборону в энергетическом секторе. Газовые компании и их лоббисты в Вашингтоне следовали указаниям и инструкциям государственной власти. В течение всего срока расследования властям удавалось успешно держать информационную блокаду в прессе и других СМИ. Серьезная кампания, направленная против жизненно важных объектов американской инфраструктуры, шла полным ходом уже несколько недель, а о ней практически никто не знал. Информация о взломе сетей газовых операторов впервые просочилась в сводки новостей в мае, через два месяца после начала государственной операции по ведению наблюдения.

Государство также влезло и в другие отрасли энергетики. Тем летом Министерство внутренней безопасности и Министерство энергетики организовали секретный брифинг по киберугрозам для руководителей электроэнергетических компаний, предложив им временный допуск к закрытой информации. Цель брифинга состояла в том, чтобы дать руководству больше информации об угрозах для их отрасли. Осведомленность компаний энергетического сектора об опасностях, грозящих их сетям, была значительно ниже, чем в других отраслях экономики. Лучше всего были подготовлены финансовые организации, которые регулярно делились друг с другом информацией и создали систему для обмена сведениями о вторжениях и методиках взлома, используемых хакерами в закрытых, секретных сетях. Энергетические компании, напротив, боялись показаться слабыми в глазах своих конкурентов, они опасались, что, раскрыв сведения о своей недостаточной кибербезопасности, предоставят конкурентам информацию о своих будущих планах развития.

Вместе с тем госчиновники становились все более нетерпеливыми. В конгрессе сторонники нового закона, регулирующего стандарты кибербезопасности для коммунальных компаний, продолжали проталкивать свое детище, в качестве аргумента указывая на поток взломов, обрушившийся на газовые компании. Той осенью их усилия в конечном итоге провалились, что подготовило почву для президентских указов Обамы, направленных на максимально возможное в рамках его полномочий укрепление киберобороны. Властями поощрялось внедрение компаниями стандартов безопасности и методик защиты, разработанных Национальным институтом стандартов и технологий, который проводил консультации с большой группой экспертов индустрии и агентов разведки. Компании были вольны игнорировать рекомендации властей. Однако, если бы их инфраструктура была повреждена в результате предотвратимой кибератаки, они могли быть привлечены к гражданской или даже уголовной ответственности, и тогда им пришлось бы объясняться в суде, почему они сами подвергли себя опасности.