Военно-сетевой комплекс похож на своего промышленного предшественника в том, что касается делегирования некоторых вопросов национальной безопасности. Вооруженные силы не занимаются созданием вооружений и средств обороны, они платят компаниям за эту деятельность, и так было с момента основания республики. Тем не менее государство всегда обладало монополией на применение силы. И здесь военно-сетевой комплекс круто сворачивает с дороги истории. Возможности корпораций по сбору информации не уступают возможностям государства. Компании разрабатывают средства обнаружения угроз, разыскивают уязвимости нулевого дня, а затем используют их в своих интересах. Эйзенхауэр увидел в военно-промышленном комплексе появление пугающей силы и власти, но он не смог предсказать, что корпорации будут конкурировать с государством в вопросах ведения военных действий.
Рынок созрел для сложных и надежных технологий кибербезопасности. Каждый раз, когда становилось известно об очередной громкой утечке данных, особенно такого масштаба, как похищение сведений о дебетовых и кредитных картах у компании Target в 2013 г., которое затронуло почти треть населения США и на целую неделю захватило заголовки новостей, все больше компаний будут испытывать острую необходимость в предотвращении утечек информации. В 2013 г. федеральные власти уведомили более трех сотен компаний о том, что их сети были взломаны, – огромное число, но это, скорее всего, малая часть реальной картины. Здесь учтены только те вторжения, которые были обнаружены властями или компаниями, занимающимися компьютерной безопасностью. Владельцы ключевых объектов инфраструктуры находятся в особенно уязвимом положении. В декабре 2013 г. министр энергетики Эрнест Мониз заявил, что в прошедшем году большая часть кибератак в Соединенных Штатах была направлена против энергетической инфраструктуры, в которую входят компании, владеющие и управляющие электрическими сетями, а также контролирующие производство и распределение нефти и природного газа. До настоящего времени эти атаки заключались в попытках проникновения в сети, которые управляли энергетическими объектами, или в компьютеры, расположенные в офисах владеющих этими объектами корпораций. Однако, по словам Мониза, «нет никаких сомнений», что Соединенные Штаты будут страдать от крупных атак, несущих угрозу частичного отключения энергосетей. «Совершенно определенно, что дело дойдет до кибератак. Я бы не хотел допустить отключение энергосети. Нужно признать, что мы участвуем в гонке, целью которой является укрепление нашей обороны… Нам предстоит еще очень много работы».
Несомненно, государство принимает участие в этой гонке, и кое-чем оно может поддержать компании: давать больше конкретной и полезной информации о том, откуда исходят угрозы; оказывать давление на провайдеров, чтобы они закрывали доступ к известным враждебным источникам; в конце концов, предпринять наступательные действия для отражения надвигающейся атаки в случае, когда она может быть обнаружена заранее. Не все из предложенных решений потребуют новых изменений законодательства. Администрация может принять эти меры в рамках полномочий исполнительной власти. Однако энергетические компании, а также компании, играющие менее заметную роль в экономике, по-прежнему смогут полагаться только на свои силы при отражении атак хакеров, ежедневно угрожающих пробить их оборону. Государство просто не в силах защитить все сети, число которых стало слишком велико, а географическое распространение – слишком обширно. Даже в случае если бы план Кита Александера по установке специального оборудования в сетях каждого банка претворился в жизнь.
Противники не успокаиваются. С сентября 2013-го по март 2014 г. на банки было совершено более трехсот DDOS-атак, вроде той, что обрушила сайты и вызвала массовую панику в финансовом секторе (организацию атаки приписывают Ирану). Власти хорошо осведомлены об этих атаках – их число было указано в отчете АНБ. Если компании собираются защищать себя, им придется делиться некоторой информацией с властями относительно того, что происходить в их сетях. Кроме того, у них есть более мощный стимул взять заботу о безопасности в собственные руки и защитить себя самостоятельно.
В итоге повышенная безопасность станет привлекательным потребительским качеством, особенностью, которую банки, интернет-провайдеры и другие компании, имеющие дело с персональными данными, будут использовать для привлечения клиентов точно так же, как автопроизводители используют в рекламных целях подушки безопасности и ABS. Фактически это уже происходит. American Express, которая долгое время позиционировала себя не столько как кредитную организацию, сколько как закрытый клуб, годовой взнос за членство в которой дает особенные привилегии (статус, более высокий кредитный лимит), в 2013 г. запустила на телевидении и в Интернете серию рекламных роликов, расхваливающих систему «информационной безопасности», которая отправляет оповещения на мобильный телефон клиента всякий раз, когда Amex регистрирует подозрительное списание, которое может оказаться мошенничеством. В одном из роликов опрятный, хорошо одетый горожанин, возвращаясь в свои элегантные апартаменты, проходил мимо охранников на входе в здание, будучи при этом в поле зрения камер наблюдения, а мимо пролетали полицейские машины. И закадровый комментатор спрашивал: «А кто обезопасит нас в сети, где мы тратим более двух миллиардов долларов ежегодно?» Ответ: «American Express обезопасит с помощью своего алгоритма, который изучает характер ваших личных трат и выявляет аномалии». (Между прочим, закадровый текст произносила актриса Клэр Дэйнс, которая сыграла в сериале Homeland канала Showtime роль оперативной сотрудницы ЦРУ, пытавшейся предотвратить очередную террористическую атаку в США.)
Конечно, кредитные компании уже много лет использовали системы обнаружения мошеннических операций, но позиционировать их как престижный и модный сервис они начали совсем недавно. Таким образом, компания реагировала на растущее понимание своих клиентов того факта, что они и их деньги уязвимы для киберпреступников. Наш стильный владелец кредитки получает оповещение на свой айфон и, стоя посреди оживленной улицы, сообщает American Express, что он не совершал девять секунд назад покупок в интернет-магазине электроники на сумму $1245. Он спокойно наслаждается обедом в кафе и уверенно кладет на стол свою карту Amex, зная, что он – «член более безопасного мира». Смысл этого ролика однозначен. Вы можете себя обезопасить. (И вам следует хотеть себя обезопасить.) Но это будет стоить вам денег.
В феврале 2014 г. Администрация Обамы выпустила ряд руководств и рекомендаций, описывающих практический опыт обеспечения кибербезопасности, и призвала компании прислушаться к ним. Однако Администрация не стала принуждать к их соблюдению, и внедрение этих рекомендаций оставалось для компаний делом добровольным. Как сказал высокопоставленный представитель Администрации, «в конечном счете именно рынок является двигателем бизнеса, и именно рынок определяет, будут ли компании следовать этим инструкциям или нет».
Вместе с тем коммерческие компании ответственны за большинство инноваций в сфере кибербезопасности – за появление новых средств и методов безопасного хранения данных и проведения кибератак на их противников. Компании, специализирующиеся на кибербезопасности, будут привлекать наиболее опытных и квалифицированных сотрудников, поскольку уровень зарплат в коммерческих фирмах намного выше, чем в государственных агентствах и военных ведомствах. Государство никогда не сможет предложить конкурентный уровень зарплат квалифицированным техническим специалистам. Государственные и военные ведомства будут привлекать талантливых сотрудников обещаниями необычной и полной приключений работы – шпионаж, военные операции – и будут апеллировать к чувствам долга и чести, которые всегда сопутствуют службе на благо общества. Однако этого будет недостаточно, чтобы справиться с теми проблемами безопасности, с которыми столкнется государство, особенно в гражданских агентствах, где иногда уровень безопасности все еще ужасающе низок. И в качестве примера вы скорее всего назовете Министерство по делам ветеранов, в котором регулярно теряли информацию о пациентах, в том числе их номера социального страхования и другие важные сведения, и вряд ли назовете ЦРУ, в котором используются довольно надежные методы защиты. Еще стоит отметить, что те государственные службы, где конфиденциальность информации о гражданах наиболее уязвима, как правило, защищены хуже остальных.