На сайте одного из ведущих в США новостных изданий, U.S. News & World Report имеется раздел под названием "Дискуссионный клуб". В этом Клубе редакция собирает известных интеллектуалов и авторитетных экспертов для обмена мнениями по актуальным проблемам современности. В июне этого года, в частности, дебаты велись вокруг горячей темы "Нужен ли международный договор по кибервойне?".
Самым любопытным итогом этой дискуссии стало то, что никаких споров не получилось. Потому что практически все участники обсуждения (за исключением единственного голоса) дружно и аргументированно пояснили, что никаких международных договоров-соглашений относительно кибервойны заключать не следует. А если вдруг прочие страны все же сумеют договориться об ограничении подобной активности, то и в этом случае Соединенным Штатам все равно не следует к этим договоренностям присоединяться...
Единодушие в дискуссионном клубе журнала — далеко не то же самое, что генеральная линия политического руководства страны. Однако показательно, что в данном случае обозначилось практически полное совпадение взглядов условного "общества" и условного "правительства". Хорошо известно, что на протяжении всей примерно 15-летней истории международных усилий по контролю за кибервооружениями позиция сменяющих друг друга американских госадминистраций остается вполне четкой и непоколебимой: никакими соглашениями и ограничениями в этой области США себя связывать не намерены.
По этой причине "дебаты" в редакции U.S. News & World Report можно считать особо интересными, поскольку они в развернуто-популярной форме дают обоснования для столь негибкой и настораживающе воинственной позиции одной из наиболее мощных держав планеты.
Перед ознакомлением с содержанием любых дебатов уместно вспоминать известного русского философа Владимира Соловьева, который отличался не только богатейшей эрудицией, но и умением в высшей степени логично выстраивать аргументы для доказательства своих идей. При этом Соловьев отлично понимал, что сила стройной логики — это же и ее слабость. Ему определенно доставляло удовольствие смущать своих знакомых логическими парадоксами. Сначала он с помощью сильных и глубоких аргументов доказывал одну точку зрения, а как только слушатель с нею соглашался, то тут же выстраивал другую строгую логическую цепочку из иных, не менее убедительных аргументов, которые доказывали совершенно противоположное утверждение.
Иначе говоря, при наличии навыков и умения логически обосновать можно что угодно — не только полезность кибервойн без правил, но даже целесообразность массового уничтожения мирного населения. В истории известно немало и таких примеров.
Никаких договоров
Поскольку вышло так, что практически все участники дискуссии пришли к единой точке зрения, нет большого смысла уточнять их регалии, имена и должности, — всю эту информацию можно найти на сайте журнала. Здесь же в обобщенном виде будут просто изложены ключевые аргументы выступавших.
Договор по кибербезопасности — это просто плохая идея, которая никогда не будет работать. На фоне нынешней шумихи вокруг Flame, Stuxnet и прочих массово распространившихся в сетях вредоносных программ [предположительно сработанных спецслужбами США и Израиля] представитель правительства России призвал к международному договору о глобальной кибербезопасности. Это, в принципе, плохая идея, которая восходит еще к 1990-м годам. В тот период и американские ученые предлагали некий комплексный юридический инструментарий для обеспечения кибербезопасности, причем дальним предком этой инициативы стал небезызвестный пакт Келлога — Бриана 1920-х годов (Kellogg-Briand Pact), в котором государства отвергали войну в качестве инструмента политики.
Сколь эффективно тот пакт сработал, все хорошо представляют. Вот и в договоре о всеобщей кибербезопасности примерно столько же смысла. В тех же 1990-х Россия также предлагала идею кибердоговора и внесла свой проект на данный счет в ООН. С тех пор это стало ежегодно повторяющимся упражнением, которое никогда не может достичь консенсуса.
Кибердоговор поначалу получил поддержку в Генеральной Ассамблее ООН, однако дальше дело не двинулось, потому что кибердоговоры нельзя воплотить в жизнь. Никто не знает, как проверять выполнение требований такого договора и контролировать накопленные кибервооружения. Здесь слишком трудна задача контроля, слишком легко жульничать.
Кроме того, так и не удалось разрешить очень важные проблемы с определением важнейших понятий — возможно, потому что эти проблемы просто неразрешимы. Например, чтобы ограничивать вооружения, надо прежде договориться, что под этим понимать. Однако по сию пору в мире нет строгого определения того, что такое "информационное оружие" (в зависимости от контекста, в эту категорию легко могут попадать и подросток с ноутбуком, и некоторые газеты/журналы). Нет четкой грани между кибервойной и кибершпионажем, а договориться о запрещении шпионажа — это изначально бесперспективная затея. Наконец, та же Россия является одним из главных оппонентов реального договора о сотрудничестве в области борьбы с киберпреступлениями (ибо множество стран трактует понятие "киберпреступление" принципиально иначе, нежели власти США).
Кибероружие — это гуманная альтернатива обычным военным ударам. Всякие договоренности в этой области помешали бы странам использовать такое "ненасильственное оружие", а это в свою очередь повлечет за собой увеличение человеческих жертв. Иначе говоря, имеется сильный довод за то, чтобы не ограничивать кибератаки. США и Израиль смогли без насилия затормозить и отбросить назад ядерную программу Ирана с помощью Stuxnet без единой человеческой жертвы. Если сравнивать этот метод с альтернативными ракетными ударами дронов, которые гарантированно приводят к людским потерям, то кибервойна, при правильной тактике, может оказаться скорее заслуживающей поощрения. И Соединенные Штаты сделали бы большую глупость, списав со счетов оружие, которое можно применять столь эффективно и ненасильственно.
Традиционные подходы к контролю над вооружениями к кибервойне не применимы. Подобный договор не способен ограничить поведение "субнациональных образований" (типа террористических групп или организованной преступности), которые также имеют возможности для ведения кибервойны. Инструменты кибервойны технически сложно отличить от инструментов кибершпионажа, а шпионаж не является нелегальным занятием по международным законам (поскольку все страны этим занимаются). Проверка и ответственность сторон трудно достижимы, поскольку очень сложно установить, кто именно устроил атаку уровня "военных действий". Наконец, верификация соблюдения договора, который запретил бы инструменты кибервойны, была бы практически невозможной.
В таком кибердоговоре нет никакой необходимости. По той причине, что кибервойна пока что не продемонстрировала свою опасность для людей и для их собственности в той же мере, что другие типы военных действий. Наиболее на сегодняшний день тяжелая по последствиям кибератака, которую можно трактовать как пример кибервойны, — это атака Stuxnet против иранских центрифуг для обогащения урана. Причем даже в данном случае имеется широкое расхождение оценок относительно того, был ли червь Stuxnet примером кибервойны. Но как бы там ни было, последствия этой знаменитой ныне кибератаки радикально отличаются от традиционных "кинетических" атак обычными военными средствами. Хотя в будущем возможности серьезного ущерба отрицать нельзя, предстоит еще выяснить, что будут из себя представлять кибератаки с эффектами, хотя бы приближающимися к традиционным, кинетическим ударам обычными вооружениями (посмотрите "Крепкий орешек — 4, вам Брюс Уиллис все объяснит. — ехидное прим. ред.).
Ограничения на кибервооружения не только не будут работать, хуже того, они могут навредить кибербезопасности. Производство кибервооружений чрезвычайно сложно выявлять. Это по определению скрытая от посторонних активность, которая не порождает ничего, что могли бы отслеживать внешние наблюдатели. Особенно если тестовые полигоны не подключены к Интернету (а здравый смысл диктует, что именно так это должно быть). Более того, люди, создающие подобные вещи, обычно работают на агентства государственной безопасности, где к вопросам секретности и защиты операций подходят очень серьезно. В итоге может получиться, что предлагаемые ограничения на разработку кибервооружений окажутся даже вредными. Ибо в сердцевине этой деятельности находится выявление уязвимостей в программном обеспечении — а та же самая работа требуется и для укрепления защиты ПО.
Соглашений по ограничению кибервооружений не будет по той же причине, почему нет международных договоров о запрещении шпионажа. Кибероперации, как и другие типы разведывательных и тайных операций, происходят скрытно и незаметно. По этой причине международный договор по кибервооружениям стал бы чем-то вроде международного договора против шпионажа и тайных мероприятий. Но такого рода соглашения абсолютно неработоспособны, поскольку сама подобная деятельность устроена так, чтобы избегать выявления и определения ее организаторов.
Всестороннего договора по кибервооружениям не будет и по той причине, что это совершенно не в интересах (очень небольшого числа) государств, которые реально способны эффективно создавать подобного рода оружие, приходить к общим определениям и договариваться о мониторинге, о работоспособных механизмах контроля, о честных обязательствах воздерживаться от его использования...
Одинокий голос за
Единственным участником дебатов, вполне четко и однозначно высказавшимся за немедленные шаги к заключению международных договоров по ограничению кибервооружений, стал Брюс Шнайер — известный американский криптограф и эксперт по компьютерной безопасности.
Аргументы Шнайера на данный счет в несколько сокращенном пересказе звучат примерно так:
Международный договор о запрете кибервойн — это единственный способ совладать с угрозой. Такой договор не остановит кибератаки полностью, однако это будет шаг в правильном направлении.
Сейчас мы находимся в начальной стадии гонки кибервооружений. Дело это не только дорогостоящее и дестабилизирующее, но и угрожающее самим основам того Интернета, которым мы пользуемся повседневно. Кибердоговор — это единственное, чем можно переломить тенденцию.
Если почитать прессу и послушать выступления политиков, то все мы уже находимся посреди кибервойны. Но если вспомнить, что обычно принято понимать под словом "война", то подобные заявления просто абсурдны. Однако ныне определение кибервойны вполне умышленно расширяется до такой степени, чтобы включать в себя и шпионаж в интересах государств, и потенциальные террористические атаки в киберпространстве, и крупномасштабные криминальные схемы мошенничества, и даже атаки незрелых подростков-хакеров против правительственных сетей и критических инфраструктур. Именно такое расширенное определение активно проталкивается с разных концов и военными, и правительственными подрядчиками, которые одновременно набирают на этом влияние в структурах власти и делают деньги на страхах публики перед кибервойной.
Опасность этого подхода в том, что для военных проблем предполагаются и военные, естественно, решения. Мы уже начинаем видеть, как милитаристы разных стран обретают все больше власти в киберпространстве. Это и крупномасштабный мониторинг сетей, и военный контроль за интернет-стандартами, и даже идеи военного господства в киберпространстве. Прошлогодние дебаты по поводу "рубильника-выключателя для Интернета" — это пример именно такого подхода. Речь идет о таких мерах, которые могли бы применяться в период военных действий, однако они не имеют никакого смысла в нынешнее мирное время.
Гонки вооружений произрастают из неведения и страхов, неведения относительно возможностей другой стороны и страхов того, что возможности врагов могут быть больше, чем ваши. Как только кибервооружения появляются в арсенале, возникает сильная мотивация к их практическому применению. Оба инструмента, Stuxnet и Flame, наносили вред не только тем компьютерам и сетям, против которых создавались.
Любые бэкдоры, встраиваемые в интернет-системы военными и спецслужбами, делают всех нас более уязвимыми для преступников и хакеров. И это только вопрос времени — когда из-за этого случится какая-нибудь действительно большая неприятность. Быть может, из-за неуравновешенности некоего младшего офицера, возможно, из-за действий частного лица, а может, и вообще по случайному стечению обстоятельств. И если ставшая жертвой атаки нация решит вдруг ответить адекватными мерами, то мы вполне можем оказаться в условиях уже реальной кибервойны.
Международное сотрудничество и договоры — это единственный способ обратить данный дестабилизирующий процесс. Полное запрещение кибервооружений — это, конечно, хорошая цель, но почти наверняка недостижимая. Более вероятны такие договоры, которые обяжут стороны воздерживаться от применения оружия первыми, запретят кибероружие "широкого спектра действия", а также обяжут иметь лишь такие вооружения, которые самоуничтожаются по окончании боевых действий. Договоры, ограничивающие тактику и задающие пределы для накопления вооружений, могли бы стать следующей фазой соглашений. В частности, следует запретить кибератаки против гражданских инфраструктур. Международный банкинг, к примеру, можно было бы объявить полностью запрещенным для атак.
Да, конечно, воплощение договоренностей в жизнь будет делом непростым. Все помнят, наверное, как легко было прятать средства химической войны. Скрывать от проверок кибервооружения будет еще легче. Однако опыт холодной войны всех нас многому научил: как договариваться о контроле за ядерным оружием, о сокращении химических и биологических вооружений. Уже сам акт вступления в переговорный процесс ограничивает гонку вооружений и пролагает дорогу к миру. И даже если договоры нарушаются, мир все равно более безопасен, потому что эти договоренности существуют, а тем, кто их нарушает, придется нести ответственность.
В силовых структурах США утвердилось мнение, согласно которому договоры о кибервооружениях не отвечают главным интересам Америки. Считается, что в настоящее время США имеют в киберпространстве военное преимущество и терять его не следует. Однако так ли это?
Америка, пишет компетентный в подобных вещах Шнайер, возможно, имеет преимущество в наступательных средствах — хотя и это спорный тезис, — но точно не располагает какими-либо преимуществами оборонительного свойства. Особо же важно то, что сильно зависимая от сетей американская экономика в принципе куда более уязвима.
По этим причинам гораздо разумнее было бы прекращать нагнетание кибервоенных страхов и потихоньку начинать переговоры об ограничении милитаризации киберпространства и о наращивании международного сотрудничества в борьбе с киберкриминалом. Благодаря этим шагам мы все не станем защищеннее, словно по волшебству, однако именно так мир делают более безопасным.