Сотрудники Microsoft признавались, что компания не воспринимала проблемы безопасности всерьез, даже когда подвергалась хакерским атакам. Да и с какой стати? Реальной альтернативы программному обеспечению Microsoft не существовало, и компания купалась в деньгах. Когда появился Linux, а затем Apple стал непосредственным конкурентом, в Microsoft действительно предприняли меры по улучшению качества. Но сначала они наняли множество делегатов и лоббистов, которые выступали на конференциях, перед клиентами, в правительственных организациях и ратовали против совершенствования в сфере безопасности. Для Microsoft гораздо дешевле нанять делегатов и лоббистов, чем разрабатывать более безопасные системы. Это одна из нескольких влиятельных компаний, которых устраивает нынешнее положение вещей и которым невыгодны какие-либо перемены.
6. А я думал, вы этим занимаетесь
Перемены, однако, происходят. Вслед за Соединенными Штатами все больше стран создают наступательные кибервоенные организации. Киберкомандование США несет дополнительную оборонительную миссию — защищать Министерство обороны. Но кто защитит все остальное?
Министерство национальной безопасности защищает федеральные власти США, не имеющие отношения к Министерству обороны. Всем остальным приходится полагаться только на себя. Не существует федерального ведомства, в задачу которого входит защищать банковскую систему, транспортные сети или энергосистему страны от кибератак. Киберкомандование и МНБ полагают, что, защищая правительственных клиентов, они тем самьм немного помогают и частному сектору. Власти считают, что задача обороны частных корпораций лежит на них самих. Правительственные чиновники скажут вам, что частный сектор все устраивает, — он не хочет, чтобы власти вмешивались в его системы. В конце концов, никто в правительстве не знает, как управлять банковскими сетями, сетями железных дорог или энергосистем. Старшие менеджеры крупных компаний (занимающиеся программным обеспечением, безопасностью, связями с общественностью, информационной безопасностью) заявят примерно то же самое: мы готовы тратить на компьютерную безопасность, чтобы защитить себя от киберпреступности, которая грозит нам повседневно.
Однако нельзя от нас ожидать, чтобы мы знали, как защититься от кибервойны в государственном масштабе. Затем они добавляют что-то вроде: «Защита от вооруженных сил других стран — задача государства, за это мы и платим налоги».
На заре эпохи стратегических ядерных вооружений Соединенные Штаты развернули тысячи ракет ПВО наземного базирования, чтобы защитить население и промышленность, а не только военные объекты. Каждый крупный город окружало кольцо ракетных баз Nike, готовых сбить советские бомбардировщики. На заре эпохи кибервойн американские власти предлагают населению и организациям защищаться самостоятельно.
Один мой друг спросил: «Вы можете представить, чтобы в 1958 году Пентагон посоветовал U.S. Steel и General Motors прикупить ракеты Nike, чтобы защититься? А ведь, по сути, именно это сегодня и рекомендует нам президент Обама».
По фундаментальному вопросу — в чьи задачи входит защита американской инфраструктуры в кибервойне — власть и промышленность никак не могли прийти к взаимопониманию. В результате никто не защищает потенциальные мишени, по крайней мере, никто в Соединенных Штатах. В других странах, которые однажды могут стать нашими противниками, оборона, возможно, окажется несколько лучше нашей.
Прорыв в киберобороне
Как мы уже отмечали, Соединенные Штаты, возможно, обладают самыми совершенными и комплексными возможностями для ведения кибервойны, за нами следуют Россия, Китай и, вероятно, Франция. Они находятся во втором эшелоне и отстают совсем немного, и еще около 20 государств, включая Иран и Северную Корею, тоже имеют киберпотенциал. Верен данный рейтинг или нет, ему доверяют сами кибервоины. Можете даже представить, как сидят после работы американские гики, попивают свой «Рэд Бул» и скандируют «Сэ-Шэ-А! Сэ-Шэ-А!», как на Олимпиаде, или «Мы са-мы-е пер-вы-е!», как на футболе. Но верно ли, что мы самые первые? Разумеется, это зависит от того, какие критерии принимать в расчет. В том, что касается наступательного киберпотенциала, Соединенные Штаты, скорее всего, действительно занимают первое место. Но кибервойна не ограничивается одним лишь наступлением. Существует такой показатель, как киберзависимость, — степень зависимости страны от киберуправляемых систем. В двусторонней войне и она имеет значение. Как я узнал, когда спросил о планах кибервойны в Афганистане в 2001 году, для кибервоинов может не оказаться мишеней. В двусторонней кибервойне это дает Афганистану определенное преимущество. Важно, способна ли страна защитить себя от кибервойны. Очевидно, Афганистан может защититься просто потому, что у него нет сетей, но теоретически у страны могут быть и сети, и возможность их оборонять. Оборонительные киберспособности, таким образом, являются существенным критерием: имеет ли страна возможность отключиться от киберпространства всего остального мира или засечь кибератаки, идущие изнутри страны, и остановить их?
Даже если Соединенные Штаты обладают самым совершенным кибероружием, нападение не заменит дыру в защите. Как отметил адмирал в отставке Макконел, «поскольку мы самая развитая в технологическом отношении страна—нити сетей опутывают все наше общество, — мы более других зависимы от этих нитей, а значит, и более уязвимы». Наша экономика связана с Интернетом больше, чем экономика любой другой страны. Все 18 секторов гражданской инфраструктуры, которые Министерство национальной безопасности назвало критически важными, функционируют в Интернете и уязвимы перед внешними кибератаками. Сравните с Китаем, который развивает не только наступательные, но и оборонительные способности. Кибервоины Народно-освободительной армии Китая обязаны и наступать, и обороняться в киберпространстве, и, в отличие от американских военных, под словом «защита» они понимают не только защиту военных объектов.
Я не являюсь сторонником расширения полномочий Пентагона в сфере защиты гражданских систем США, но следует отметить, что не существует никаких других ведомств или подразделений федеральных властей, которые могли бы взять на себя такую ответственность. В свете воздержания от регулирования, которое началось при Клинтоне, продолжилось при Буше и передалось администрации Обамы, от частного сектора не требовалось укреплять безопасность, да и власти не стремились играть в этом активную роль. В Китае сети, образующие интернет-инфраструктуру страны, целиком контролируются правительством, которое либо напрямую владеет ими, либо состоит в тесном сотрудничестве с частным сектором. Никто не обсуждает «цену», когда китайское правительство требует ввести новые меры безопасности. Сети поделены на крупные сегменты между правительством, научным и коммерческим сообществами. Китайское правительство имеет и власть, и средства, чтобы отсоединить китайское интернет-пространство от всего остального мира, что, скорее всего, и сделает в случае конфликта с Соединенными Штатами. Американское правительство таких полномочий и возможностей не имеет. В США Федеральная комиссия по связи обладает законным правом регулировать, но большинство населения предпочитает, чтобы она этого не делала. В Китае правительство может устанавливать и вводить в действие стандарты, но идет гораздо дальше.