Кибервойна, ее подрывной характер и стратегическая ценность
21.11.2021Почему кибервойна носит подрывной характер и как это ограничивает ее стратегическую ценность, рассматривает сущность феномена Леннарт Машмайер на страницах warontherocks.
В течение трех десятилетий специалисты по оборонному планированию и аналитики беспокоились о кибервойне. Она не случилась. Вместо этого теперь они опасаются, что кибероперации открывают новое пространство стратегической конкуренции, где противники могут изменить баланс сил, не вступая в войну. Кардинальное изменение кибер-стратегии Соединенных Штатов от сдерживания к постоянному взаимодействию направлено на противодействие этой угрозе. Однако эти текущие ожидания переоценивают как масштабы этой угрозы, так и ее новизну. Исследование автора, недавно опубликованное в журнале «Международная безопасность», показывает, что кибероперации, по сути, являются инструментами подрывной деятельности – недостаточно изученным механизмом, используемым в тайных операциях. Подрывная деятельность имеет большие стратегические перспективы, но сталкивается с оперативной трилеммой, которая ограничивает ее стратегическую ценность. Кибероперации сталкиваются с теми же ограничениями. Таким образом, чтобы оценить их стратегическую ценность, мы не должны путать то, что теоретически возможно, с тем, что осуществимо на практике. В противном случае стратегия рискует бороться с фантомными угрозами.
Программные документы и сообщения СМИ продолжают описывать киберконфликты на языке войны. «Кибервоины» сталкиваются на поле битвы, а государства участвуют в гонке кибервооружений. Однако на практике киберконфликт выглядит иначе. Вместо этого в нем участвуют хакеры – группа ботаников, – которые скрытно, творчески и часто оппортунистически находят способы использовать уязвимости в системах противника. Взлом означает использование систем, чтобы заставить их делать вещи, не предназначенные для их создателей и пользователей. Это не требует применения силы и военной техники. Неудивительно, что кибероперации ведут к насилию и разрушениям. Скорее их зависимость от тайной эксплуатации раскрывает их подрывную природу.
Подрывная деятельность – это ключевой инструмент невоенных секретных операций. Обещает сокрушить врага изнутри, незаметно и без применения силы. Вместо этого подрывная деятельность уничтожает источники силы противника или даже обращает их против противника. Она использует слабые стороны институтов и обществ, чтобы подорвать их целостность и манипулировать ими. Это стратегическое обещание ослабить противника, не вступая в войну, велико, но также есть и подводные камни подрывной деятельности. Действующие лица сталкиваются с серьезными операционными проблемами, которые им необходимо преодолеть, чтобы достичь своих целей. Эти проблемы создают операционную трилемму, ограничивающую ее стратегическую ценность. На практике подрывная деятельность часто бывает слишком медленной, слишком слабой и слишком нестабильной для достижения стратегических целей. То же самое и с кибероперациями.
Исследователи безопасности традиционно изучают войну и средства поддержания мира. Однако государства долгое время также преследовали теневые средства, чтобы получить то, что они хотят, не участвуя в дорогостоящих войнах. Тайные операции – это секретные инструменты государственного управления, которые вмешиваются в дела противника, скрывая личность своего спонсора. Они предлагают лидерам тихую возможность применить власть, когда дипломатия терпит неудачу, а открытая война слишком дорогостоящая и рискованная. После того, как ученые в области безопасности долго пренебрегали этим, новые исследования изучают стратегические преимущества участия в секретных войнах. Тем не менее, существует множество видов тайных операций, и лишь некоторые из них предполагают использование военной силы. Эти невоенные операции опираются на подрывную деятельность.
Подрывная деятельность приводит не к силе, а за счет использования уязвимостей в системах. Через эксплуатацию она либо подрывает целостность этих систем, либо манипулирует ими, чтобы использовать их против противника. Подрывная деятельность времен холодной войны в первую очередь была направлена на подрыв или свержение политических систем, и этот термин стал почти синонимом операций такого типа и связанных с ними смутных опасений. Тем не менее, работа историка Пола У. Блэкстока дает основу для более систематического обозначения, определяя отличительную черту подрывной деятельности в ее опоре на тайную эксплуатацию. Например, операции по смене режима часто используют социальную напряженность для мобилизации групп против правительства. Ключевым примером является организованный ЦРУ переворот в Иране в 1953 году. Другие операции используют неполный суверенитет, поддерживая местных повстанцев для дестабилизации регионов и установления контроля. Самым свежим примером является захват Россией Крыма.
Однако, помимо политических систем в целом, эксплуатация также может быть нацелена на более мелкие учреждения, чтобы проникнуть в них и манипулировать ими. Классическим средством подрывной деятельности являются люди-шпионы, которые могут проникать в цель под прикрытием личности, используя патологии человеческой психологии или недостатки в правилах и практиках безопасности. Печально известная программа «нелегальных агентов» советского КГБ – ключевой тому пример. Эффекты, которые может вызвать подрывная деятельность, зависят от типа целевой системы и могут сильно различаться. Они варьируются от влияния на общественное мнение до саботажа, экономических потрясений и, в крайнем случае, смены режима.
Подрывная деятельность посредством эксплуатации обещает способ ослабить противника с меньшими рисками и затратами, чем секретная война. Тайное использование силы может помочь ограничить риски эскалации и репутационный ущерб. Тем не менее, для этого по-прежнему требуются ружья и пехотинцы. Подрывная деятельность требует гораздо меньше ресурсов, потому что в первую очередь полагается на собственные средства противника, чтобы произвести эффект. Более того, подрывная деятельность скрывает не только личность спонсора, но и саму деятельность (известная как подпольный подход). Следовательно, если все сделано правильно, оно вмешивается, не показывая, что вмешательство имеет место.
Параллели с кибероперациями очевидны. Кибероперации полагаются на эксплуатацию, диапазон эффектов и предполагаемые стратегические перспективы. Соответственно, недавний «интеллектуальный поворот» в исследованиях кибербезопасности подчеркивает параллели между киберконфликтными ситуациями и разведывательными операциями. Джошуа Ровнер утверждает, что киберконфликт – это соревнование разведданных, в котором излагаются стратегические масштабы киберопераций как средства сбора информации и тайного ослабления противников. Однако стратегическая ценность последнего типа операций, а именно тех, которые преследуют активные результаты (т.е. манипулирование и нарушение целевых систем, а не сбор информации), остается неясной. Тем не менее, подобные операции порождают постоянные опасения по поводу киберугроз, которые создают злоумышленники. Изучение подрывной природы киберопераций с активным воздействием проясняет их стратегическое значение. Это также объясняет, почему на практике они не оправдывают ожиданий.
Компьютерные системы подрывают кибероперации, а не социальные системы. Хакерство, основной механизм, который они используют, по определению является подрывным, поскольку включает в себя использование уязвимостей в компьютерных программах. Программы, как объясняет Эриксон, «состоят из сложного набора правил», в то время как «использование программы – это просто умный способ заставить компьютер делать то, что вы хотите, даже если текущая программа была разработана таким образом, чтобы предотвратить это действие”. Обычно хакеры используют такие уязвимости, чтобы получить доступ к системам и установить вредоносные программы, вирусы, которые позволяют им контролировать систему и манипулировать ею. При этом кибероперации обещают средство превратить компьютерные системы, которые привели к столь значительному повышению эффективности в современных обществах, в обязательства, используя их вместо этого для ослабления целевого общества и государства. Более того, в то время как традиционная подрывная деятельность требует инфраструктуры на местах для развертывания и обслуживания агентов-людей, кибероперации могут оказывать влияние полностью удаленно. Следовательно, они обещают еще более низкую стоимость. Более того, они обеспечивают потенциально гораздо больший эффект, поскольку компьютерные вирусы могут распространяться автоматически.
Теоретически эти преимущества наделяют кибероперации почти непреодолимыми стратегическими перспективами, а именно беспрецедентно эффективным способом изменить баланс сил, за исключением войны. Тем не менее, добиться этого на практике сложно. Тот же самый механизм эксплуатации, который делает возможным это обещание, также несет в себе семена неудач. Чтобы объяснить почему, полезно различать тактический, оперативный и стратегический уровни конфликта. На тактическом уровне киберконфликт включает в себя подрыв программного обеспечения и систем. Хакеры часто добиваются успеха, и примеры громких компромиссов, таких как компромисс с SolarWinds, продолжают заполнять газеты, вызывая опасения по поводу распространения кибервойны. Однако на оперативном уровне подрывная деятельность создает определенный набор проблем, которые ограничивают ее эффективность и ограничивают ее стратегическую ценность. Важно отметить, что кибероперации сталкиваются с теми же проблемами.
Секретная эксплуатация создает определенные операционные проблемы, которые ограничивают ее скорость, интенсивность и контроль. Скорость ограничена, потому что субъекты должны разведывать целевые системы, выявлять недостатки, которые пропустили даже их разработчики, разрабатывать средства, способные их использовать, и устанавливать доступ, скрывая при этом всю эту деятельность от жертвы. Обнаружение позволяет жертве нейтрализовать большинство операций, обычно путем ареста или казни вовлеченных шпионов. В кибероперациях жертвы могут «исправлять» уязвимости, удалять вредоносные программы или отключать системы. Существуют пределы того, сколько кибер-подрывных действий можно достичь, потому что интенсивность эффекта зависит от того, какая система таргетируется. Чем выше способность системы сеять хаос – например, причинять физический ущерб и разрушения – тем сложнее становится эксплуатация. Например, манипулирование физическим оборудованием с помощью кибер-средств является очень сложной задачей, и такие системы обычно содержат дополнительные меры защиты для предотвращения такого вмешательства. Зависимость от целевых систем также ограничивает контроль, поскольку целевые системы остаются незнакомыми, а подрывные субъекты имеют контроль только над частями системы. Кроме того, контроль носит временный характер, поскольку жертвы могут по-разному нейтрализовать его, обнаружив подрывную деятельность. Наиболее важно то, что система может неожиданно отреагировать на манипуляции, не сумев произвести желаемые эффекты или произвести непредвиденные эффекты.
Эти ограничивающие переменные представляют собой трилемму. Попытки улучшить одно, как правило, приводят к соответствующим потерям остальных. Например, чем быстрее продвигается процесс, тем меньше времени остается на разведку и развитие и, соответственно, чем более ограничены знания о целевой системе, тем более ограничен уровень контроля и тем выше вероятность отказа или непредвиденных последствий. Эта операционная трилемма ограничивает стратегическую ценность подобных операций. Таким образом, Подрывная деятельность имеет тенденцию быть слишком медленной, слишком слабой или слишком изменчивой, чтобы приносить стратегическую ценность, когда и где это необходимо. То же самое и с кибероперациями.
Рассмотрим Stuxnet. Эта операция, которая на сегодняшний день привела к наиболее сильным последствиям с помощью кибернетических средств, а именно физическое повреждение центрифуг ядерного обогащения, потребовала значительного времени на разработку. Судебно-экспертные исследования показывают, что разработка велась не менее пяти лет. И наоборот, попытка срыва выборов в Украине в 2014 году была предпринята очень быстро, за 2 месяца разработки, но не дала желаемого эффекта, поскольку хакеры упустили из виду наличие резервных копий. Наконец, имеется множество свидетельств потери контроля. Неслучайно один из первых компьютерных вирусов, Morris Worm 1988 года, на самом деле был несчастным случаем – программа была разработана как безвредный инструмент сетевого картографирования, но он вышел из-под контроля и потреблял гораздо больше ресурсов, чем предполагалось, уронив большую часть раннего Интернета.
Точно так же печально известная операция NotPetya 2017 года, в результате которой были остановлены предприятия в 65 странах из-за отключения компьютерных систем, широко рассматривается как «самая разрушительная кибератака в истории». Некоторые предполагают, что этот самораспространяющийся вирус и вызванный им ущерб были тщательно откалиброванным сигнальным инструментом, предназначенным для предупреждения предприятий, работающих в Украине, и / или для создания восприятия Украины как несостоявшегося государства. Однако судебно-экспертные данные показывают, что авторы NotPetya потеряли контроль над его распространением, а не тщательно продуманными усилиями, что привело к значительному сопутствующему ущербу за пределами Украины и даже затронуло государство, стоящее за операцией: Россию. Та же способность к автоматическому самораспространению, которая сделала возможным массовый масштаб NotPetya, привела к потере контроля над его распространением и последствиями. Без контроля мало предсказуемости. А без предсказуемости вопрос о том, будут ли эффекты способствовать достижению стратегических целей, в конечном итоге становится игрой случая.
Следовательно, кибероперации представляют собой не революцию в конфликтах, а эволюцию подрывной деятельности. Они предлагают отличный набор компромиссов по сравнению с традиционной подрывной деятельностью. Вероятно, у них действительно есть масштабное преимущество по сравнению с традиционными подрывными действиями, поскольку вирусы могут автоматически распространяться по сети. Тем не менее, этот потенциал автоматического распространения, вероятно, также увеличивает риск потери контроля. Таким образом, кибероперации имеют ряд явных преимуществ и недостатков, но в целом они сталкиваются с той же операционной трилеммой, что и традиционная подрывная деятельность. Эта ситуация имеет два основных значения для киберконфликта и его изучения.
Во-первых, кибероперации выполняют независимую стратегическую роль в качестве альтернативы войне, когда дипломатия терпит неудачу, но редко обеспечивает стратегическую ценность. Их стратегическое обещание делает их очень привлекательными, если не непреодолимыми для лидеров, даже когда их недостатки становятся более очевидными. То же самое применимо и к традиционной подрывной деятельности. На протяжении всей холодной войны лидеры продолжали делать выбор в пользу попыток смены режима, несмотря на свою ужасающую репутацию. Следовательно, мы можем ожидать, что субъекты продолжат частое развертывание киберопераций. Соответственно, мы, вероятно, продолжим видеть частые вторжения и, реже, сбои. Некоторые из этих сбоев будут достаточно большими, чтобы произвести стратегически значимые эффекты. Тем не менее, из-за связанных с этим проблем мы также можем ожидать, что кибероперации редко будут приносить значительную стратегическую ценность для их спонсоров. Они будут слишком медленными, слишком слабыми и слишком непостоянными, чтобы в большинстве обстоятельств целенаправленно, предсказуемо и своевременно изменить баланс сил.
Во-вторых, и, следовательно, формирующаяся стратегия США по постоянному взаимодействию может оказаться – по крайней мере частично – ошибочной. Его основная идея заключается в том, что государства подчиняются структурному условию взаимосвязанности, которое ставит участников в постоянный контакт и, следовательно, требует стратегии постоянного взаимодействия, чтобы преобладать. На практике это включает в себя постоянные усилия по компрометации инфраструктуры злоумышленника, внесению трений в их операции и нарушению их там, где это возможно. Настойчивость важна. Однако это только одна составляющая успешной подрывной операции. Например, без достаточного учета требований секретности стратегия рискует выдать элемент неожиданности, который имеет решающее значение для успеха. Чем настойчивее человек занимается, тем более предсказуемым он рискует стать. Более того, цель постоянного взаимодействия – повысить стабильность за счет установления и усиления негласно согласованных правил поведения – что наиболее важно, ограничения интенсивности воздействия. Тем не менее, скорее, чем молчаливо согласованные правила, трилемма, с которой сталкиваются все операции по подрывной деятельности, является более вероятной причиной низкой интенсивности наблюдаемых нами киберконфликтов. Слишком сильное замещение противников может привести к обратному эффекту стабилизации конфликта, так как это может увеличить ощутимые выгоды от принятия большего риска.
Короче говоря, кибероперации не открывают новое стратегическое пространство, а скорее предлагают новые инструменты для реализации стратегий подрывной деятельности. Таким образом, объяснение и преобладание киберконфликтов не требует новой стратегической теории. Скорее, основание на существующих знаниях о стратегиях подрывной деятельности и их ограничениях обещает ключевые идеи. Кибероперации разделяют не только стратегические перспективы, но и операционные проблемы подрывной деятельности. Трилемма между скоростью, интенсивностью и контролем ограничивает реальную стратегическую ценность, которую они могут принести в большинстве случаев. Многие современные мысли и разработки стратегии сосредоточены на том, что теоретически возможно, но трилемма ограничивает то, что практически осуществимо. Признание этих ограничений имеет решающее значение для четкого понимания стратегической роли киберопераций и разработки эффективных стратегий, которые максимизируют их ценность в рамках ограничений трилеммы.
Автор:
Леннарт Машмайер – старший научный сотрудник Центра исследований безопасности ETH Zurich. Он имеет докторскую степень в Университете Торонто и является сопредседателем коалиции Intel FIRST Threat, а также Европейского семинара по кибербезопасности. Вы можете подписаться на него в твитере – @LenMaschmeyer.
