Джефф Хоуи - Сдвиг. Как выжить в стремительном будущем

В июле 2014 года с Уолл-стрит в адрес законодателей в Вашингтоне был направлен документ довольно зловещего содержания. Крупнейшая группа индустрии финансовых услуг просила правительство сформировать «совет по кибервойнам» из-за неминуемой угрозы кибератак, которые могут уничтожить громадные объемы данных и привести к краже миллионов долларов с банковских счетов: «Системные последствия могут оказаться губительными для экономики, поскольку утрата веры в безопасность накоплений и активов физических и юридических лиц может спровоцировать масштабную панику среди вкладчиков финансовых институтов, которая может выйти за пределы банков, дилерских фирм и компаний по управлению активами, затронутых ею напрямую».

Как отмечалось в документе, угроза была еще сильнее оттого, что банки полагались на электрическую сеть, которая со своей стороны уязвима с точки зрения безопасности. В том же месяце компания CrowdStrike, занимавшаяся проблемами кибербезопасности, обнародовала следующий факт: группа русских хакеров, известная как «Энергетический медведь», атаковала энергетические компании США и Европы — видимо, в ответ на оппозицию Запада в отношении действий России на Украине. По мнению одного эксперта по безопасности, годами следившего за деятельностью группы, ее уровень организации и материальных ресурсов наводил на мысль о поддержке со стороны властей. Впервые группа заявила о себе в 2012 году, избрав своей мишенью компании по производству электроэнергии, сетевые операторы и операторы нефтепроводов. В то время «Энергетический медведь», по всей видимости, выполнял миссию шпионажа, однако ныне применяемое хакерское ПО дает группе доступ к отраслевым системам управления, которые используют энергетические компании как таковые. Исследователь из Symantec (компании из списка Fortune 500, занимающейся интернет-безопасностью), сказал в интервью Bloomberg News: «Мы весьма обеспокоены возможностью саботажа» [323].

Во второй половине 2012 года американские банки сильно пострадали от повторяющихся атак DDoS (распределенных атак типа отказа в обслуживании): «плохие парни» наводняли целевой сервер сообщениями, перегружая ИТ-инфраструктуру компаний и вызывая принудительное прекращение нормальных операций. И все это, как утверждала финансовая группа, было всего лишь «разогревом» перед гораздо более изощренными атаками «в среднесрочной перспективе». В настоящий момент, как признавала финансовая группа, индустрия плохо подготовлена для самозащиты от подобных атак.

Большие банки и инфраструктурные компании — не единственная их цель. В непрекращающейся игре «кибернападение — киберзащита» нападающая сторона всегда выигрывала, однако в последнее время защита просто-таки разбита наголову. В 2013 году мошенники получили доступ к номерам почти 800 миллионов банковских карт — в три раза больше, чем в 2012 году [324]. Эта гигантская цифра (свыше 10 % мирового населения) — жалкое оправдание масштабности и серьезности проблемы. Приведем слова главного специалиста по информационной безопасности компании из списка Fortune 500: «Мы действуем исходя из предпосылки, что в пределах десяти минут после загрузки нового сервера он будет взят под контроль» — отраслевой жаргон для обозначения успешного проникновения в устройство.

Общая проблема Stuxnet как примера из криптографической области и текущего состояния кибербезопасности не в том, что мы не умеем создавать сильные системы, — скорее, мы не всегда поспеваем за теми, кто совершает на нас атаки, когда речь заходит о принятии на вооружение новых оборонительных стратегий.

В 2012 году Рон Ривест и его коллеги опубликовали работу, где излагался теоретико-игровой подход к кибербезопасности. Целью данной работы было найти оптимальные стратегии для обоих игроков, чтобы каждый из них мог контролировать систему при минимальных затратах. Авторы начали с предпосылки, гласящей, что, как бы ни была сильна система, она все равно будет «взломана». Далее они доказывали, что каждый раз, когда «взломщик» обладает приспособляемостью, лучшая стратегия защиты — это играть «экспоненциально», то есть делать защитный ход (например, поменять пароль или разрушить и восстановить заново сервер) в среднем за одно и то же время, но каждый раз с другими, труднопредсказуемыми интервалами.

Тогда ключевым фактором в оборонительной игре становится способность действовать быстрее нападающего, при этом непредсказуемо: устойчивость против силы. Сегодня компьютерные вирусы-«зловреды» и прочие формы кибератак обладают свойством молниеносного реагирования и обходят защиту практически в тот же момент, как она поставлена. Единственный способ для обороняющейся стороны наверстать упущенное — это признать и оценить тот факт, что современный интернет обладает качеством, схожим с вычислительным узлом других сетей, состоящих из разноплановых элементов, а именно сложностью. «Вредоносные элементы повсеместно встречаются в сложных системах, — говорит эксперт в области кибербезопасности и сотрудник Института Санта-Фе Стефани Форрест. — Это справедливо для биологических и экологических систем, рынков, политических систем и, конечно, интернета» [325].

Действительно, интернет настолько переполнен злонамеренными игроками — тут и украинская кибермафия, и китайские киберпризраки, и докучливые американские хакеры-дилетанты, да мало ли кто еще, — что главным препятствием для всех них являются не режимы безопасности каждой сети в отдельности, а они сами друг для друга. И все чаще первой линией как нападения, так и обороны является автоматизированная система.

В августе 2016 года Агентство передовых оборонных исследовательских проектов (DARPA) организовало свой первый «Всемашинный хакерский турнир» — Cyber Grand Challenge. В ходе 12-часового соревнования машины тестировали защиту друг друга, «патчили» запрограммированные системы для защиты от уязвимостей и «проводили валидацию концепции автоматизированной киберзащиты» [326].

Проблему усугубляет тот факт, что тот, кто осуществляет кибератаку, образно говоря, сам держит колоду карт и сдает их в свою пользу. В отличие от полицейских расследований, хакеры могут не волноваться насчет государственных границ и деталей юрисдикции. Чтобы добиться успеха, атакующий должен всего лишь нарушить «укрепления з a мка» в одном-единственном месте. Король, с другой стороны, должен защищать каждый дюйм стен вокруг своего королевства. Но быстрота реакции и подвижность, с которой действуют хакеры, несравнима с возможностями гипотетического короля.

«Разрыв между электронными коммуникациями, которые осуществляются со скоростью света, и временем, необходимым человеку и его структурам, чтобы отреагировать на проблемы информационной безопасности и защиты личных данных, очень велик и постоянно расширяется», — отмечалось в блог-посте Harvard Business Review, соавтором которого была Форрест. Как утверждали авторы, даже чтобы просто приступить к исправлению данного несоответствия, понадобится перестать воспринимать кибербезопасность как техническую проблему и признать ее политическое и социальное значение [327].