Едвард Лукас

Система, що не працює

28 Грудня 2020
Уявіть: хтось зробив копію ваших ключів і впродовж дев’яти місяців вдирається у ваш дім та офіс, коли йому заманеться, а також стежить за вашими найінтимнішими приватними словами та вчинками. Ви ніколи не дізнаєтеся, скільки про вас пронюхали і чи припинили цю діяльність. Саме в таку халепу потрапили близько 18 тисяч людей.

У загальних рисах такий вигляд мала хакерська атака на компанію з програмного забезпечення SolarWinds, яку майже напевно здійснили за вказівкою Служби зовнішньої розвідки Росії. Атака випливла на поверхню минулого тижня й не була зухвалою чи деструктивною (постраждали тільки репутації). Хакери порушили безпеку компанії в Остіні, штат Техас, яка продає нудні, але важливі системи, за допомогою яких функціонують комп’ютерні мережі. Росіяни зазіхнули на оновлення програм, які компанія розсилала клієнтам. Програми, що зазнали атаки, встановлювалися автоматично й давали росіянам змогу вільно копирсатися в мережах.

 

То не була кібератака у звичному сенсі. Не йшлося про викрадення технічних таємниць для того, щоб їх скопіювати (улюблена тактика Китаю). Не було зашифрованих даних, щоб вимагати викуп (найпоширеніший і найприбутковіший злочин хакерів). Не стало метою зашкодити мережам (як учинила Росія в Естонії 2007 року) чи здійснити атаку на важливі для інфраструктури комп’ютерні системи (як РФ зробила в Україні 2017 року). Викрадену інформацію не злили в інтернет у політичних цілях (як вчинив Кремль, щоб зашкодити передвиборчій кампанії Гілларі Клінтон 2016 року). Не було поширення дезінформації, щоб збити виборців із пантелику. Мета виявилася простою: доступ до інформації клієнтів SolarWinds, зокрема установ і міністерств уряду США, і, як можна припустити, їхніх союзників, зокрема Великої Британії. Мотиви невідомі. Можливо, це зроблено для того, щоб дізнатися більше про роботу систем? Або щоб рознюхати професійні невдоволення чи особисті слабкості, які можна використати для шантажу й лестощів, вербуючи людські ресурси? Найтривожнішим є варіант, що хакери можуть спричинити безлад у майбутньому, пошкодивши або трохи змінивши дані. Навіть викрита хакерська атака має пропагандистську цінність, адже підкреслює статус Росії як наддержави в кіберсвіті.

 

Читайте також: Тактичні успіхи чи стратегічні провали


Пафосні розмови про контрзаходи з боку новообраного президента Джо Байдена й інших політиків США є абсурдними, лицемірними й небезпечними. Атакувати у відповідь цивільну інфраструктуру в Росії було би несправедливо й нелегально — а також могло би спричинити удар у відповідь.


Адже шпіонаж такого штибу є морально нейтральним. Кожна країна, що може викрасти таємниці, робить це. Упродовж десятиліть ЦРУ (із допомогою британців і німців) потай володіла швейцарською компанією Crypto — світовим лідером із постачання систем секретного зв’язку. Слід припускати, що ми можемо прочитати кожне таємне слово, яке передали за допомогою продукції Crypto. Звісно, ми могли би посилити власну шпигунську діяльність проти Росії — проте публічні заяви зроблять такі заходи менш дієвими. Наша головна дипломатична мета — запровадити норми і правила, що стримують деструктивне використання інтернету. Це не запобігає шпіонажу, що загалом робить світ безпечнішим: коли знаєш багато про свого опонента, зменшується ризик прорахунків, які призводять до війни.

Наша головна дипломатична мета — запровадити норми і правила, що стримують деструктивне використання інтернету. Це не запобігає шпіонажу, що загалом робить світ безпечнішим: коли знаєш багато про свого опонента, зменшується ризик прорахунків, які призводять до війни 


Сіаран Мартін, колишній глава британського центру кібербезпеки GCHQ, а нині фахівець Оксфордського університету, стверджує, що замість «грандіозних планів таємної цифрової боротьби» нам потрібно «повністю переосмислити ринки й регуляції». Одне слово, ця атака спрацювала, бо не працюють наші системи. Клієнти SolarWinds діяли не під примусом. Вони купували продукцію компанії, бо довіряли й воліли заощадити. Тепер за це розплачуються. Із часів зародження інтернету ми незмінно ставимо зручність, дешевизну й можливості вище за безпеку. Такий підхід спрацьовує в короткостроковій перспективі, а також спрощує життя тим, хто націлився на доступність, конфіденційність і надійність наших даних. Отож невипадково наші комп’ютери і програмне забезпечення переважно ненадійні, а коли вони нас підводять, то результати часто катастрофічні. 

 

Читайте також: Пат для диктатури


Викладач інженерії безпеки в Кембриджському університеті Росс Андерсон стверджує, що «сира економіка й викривлене інституційне стимулювання» надають перевагу атакам замість оборони. Тому, хто знайде прогалину в програмному забезпеченні чи в «залізі», краще продати інформацію органу розвідки, безпековій компанії або кримінальному угрупованню, аніж сповістити виробника. Потужну кіберзброю зазвичай погано охoроняють. У 2017 році хакерська група Shadow Brokers викрала великий запас хакерських інструментів, розроблених американськими агентствами. У шпигунському світі знищення іранської центрифуги або викрадення китайської таємниці дасть такий поштовх кар’єрі, що її не порівняти із клопотами щодо протоколів збереження даних.


Можуть допомогти ринкові сигнали. Якщо впадуть ціни на акції, розлючені клієнти піддадуть ризику кар’єри директорів у корпораціях. Страхові компанії допомагають підвищувати стандарти, бо не хочуть викидати гроші на судові позови, хоча для кібербезпеки ще належить багато чого зробити. Регуляції — краща ставка. Наші правила щодо залізничної й повітряної безпеки значно кращі за правила охорони важливих продуктів у сфері ІТ. Ніхто не змушує нас цим нехтувати. Ми самі собі це заподіяли. А наші вороги збирають плоди.