1. Предоставлять аутентичную и достоверную информацию о маршрутизации. Помните, в главе 1 я говорил о протоколе динамической маршрутизации и о том, как государства могут умышленно маршрутизировать интернет-трафик, чтобы осуществлять прослушивание? Интернет-провайдеры могут воспрепятствовать таким действиям.
2. Предоставлять аутентичную и достоверную информацию о доменном именовании, чтобы уменьшить количество краж доменных имен. Таким образом интернет-провайдеры могут предотвратить злонамеренные атаки на службу доменных имен.
3. Взять на себя обязательство не дифференцировать обслуживание трафика в зависимости от содержания данных.
Помимо этого, интернет-провайдеры «первого уровня» могут осуществлять мониторинг трафика (блокировать спам, детскую порнографию и т. д.) и предупреждать атаки, для чего необходимо осуществлять постоянное наблюдение. Мы все будем чувствовать себя более защищенными, если интернет-трафик будет зашифрован на всем своем протяжении. Подробнее об этом поговорим в главе 9.
В 2008 г. неизвестные хакеры взломали компьютерную сеть нефтепровода Баку – Тбилиси – Джейхан в Турции. Они получили доступ к системе управления нефтепроводом{208} и увеличили давление нефти в трубе. В результате произошел взрыв. Злоумышленники также вывели из строя датчики контроля состояния трубопровода и камеры видеофиксации. В итоге операторы узнали о взрыве лишь через 40 минут после того, как он произошел. (Помните, в главе 1 речь шла о новых уязвимостях в схемах соединений? Хакеры проникли в систему управления нефтепроводом через уязвимость в коммуникационном ПО видеокамер.)
В 2013 г. мы узнали, что АНБ проникло{209} в сеть бразильской национальной нефтедобывающей компании, скорее всего, с целью сбора разведывательной информации, а не атаки. Я уже упоминал о взломе иранскими хакерами сети Saudi Aramco, крупнейшей нефтяной компании Саудовской Аравии. В 2017 г. неизвестные сумели вывести из строя{210} систему GPS-навигации, введя тем самым в заблуждение капитанов судов относительно их местоположения.
В 4-й главе я обращал ваше внимание на то, что мы находимся в центре асимметричной гонки кибервооружений. Я писал, что перекос усиливается в связи с участием в этой гонке террористов, а значит, нам нужно надежнее защищать критически важные объекты инфраструктуры в киберпространстве.
Но прежде, чем мы сможем это сделать, нам нужно прийти к мнению, что считать критически важной инфраструктурой. Этот термин многозначен, и его толкование зависит от уровня технологического и социального развития страны. В документах{211}, подготовленных Белым домом и Министерством внутренней безопасности, прописано, что именно США считают критически важной инфраструктурой. В президентской директиве от 2013 г. названо 16 «критически важных секторов инфраструктуры»{212}. Наряду с воздушным транспортом, сферами добычи и хранения нефти, распределения продовольствия к ним относятся торговые центры и стадионы, то есть места массового скопления людей, ЧП в которых, например взрыв, грозит обернуться национальной трагедией, потому что счет жертв пойдет на сотни или тысячи. И все же эти объекты по значимости нельзя приравнять к объектам энергосистемы.
Если в приоритете вообще все, то в приоритете нет ничего. Именно поэтому так важно выделить наиболее значимые секторы инфраструктуры. В Стратегии национальной безопасности США (US National Security Strategy) за 2017 г. в числе критически важных названы шесть областей: «национальная безопасность, энергетика{213}, банковско-финансовая сфера, охрана здоровья и безопасность, коммуникации и транспорт». По моему мнению, из шести перечисленных секторов наиболее значимы энергетика, финансы и телекоммуникации, потому что они служат фундаментом для всех остальных сфер. И уязвимости именно в этих трех системах грозят обернуться катастрофой (о том, с чем связаны риски, мы говорили в главе 5). Следовательно, заботясь о безопасности в этих трех сферах, мы получим максимальную защиту за свои деньги.
Почему же мы не прикладываем больше усилий для защиты критически важной инфраструктуры? На то есть несколько причин.
Причина первая: это дорого. Модель угрозы, от которой нам нужно защищаться, – зачастую оснащенное по последнему слову техники высокопрофессиональное иностранное воинское подразделение.
Причина вторая: политики и общественность преуменьшают гипотетические риски. До тех пор, пока граждане США не столкнутся с настоящей кибератакой на важнейшие инфраструктурные объекты на территории своей страны, ни атака Северной Кореи на сеть Sony, ни атаки на сети других стран, например Саудовской Аравии и Эстонии, ими не будут восприняты всерьез.
Причина третья: политический процесс слишком сложен. Президент Обама выделил 16 секторов критически важной инфраструктуры, чтобы показать значимость каждой отрасли. Любая попытка выделить какую-то одну сферу вызовет недовольство представителей других отраслей. И если я могу сказать, что энергоснабжение и телекоммуникации нужно защищать в первую очередь, потому что они служат фундаментом для остальных отраслей, то правительство не может себе этого позволить.
Причина четвертая: государство не контролирует бóльшую часть критически важной инфраструктуры. Статистические данные о том, что 85 % важнейших инфраструктурных объектов в США находятся в руках корпораций, взяты из документа Департамента национальной безопасности от 2002 г.{214} и кажутся нам весьма приблизительными. Многое зависит от того, о какой отрасли идет речь. Как мы уже говорили, частные компании с бóльшей вероятностью будут рисковать, но экономить на безопасности, чем крупные государственные организации.
Причина пятая: тратить деньги на инфраструктуру неинтересно. Когда государство заявляет об инвестициях в инфраструктуру, как правило, речь идет о строительстве новых объектов (мостов и т. д.), а не о ремонте и восстановлении старых. Расходы на поддержание того, что уже существует, для правительства не в приоритете – посмотрите на нашу полуразрушенную национальную инфраструктуру. И эта проблема приобретает остроту, когда речь заходит о безопасности. Бюджет на безопасность формируется на длительный срок, из-за чего бывает трудно оценить, оправдались ли заложенные на нее средства. Велика вероятность того, что к концу установленного периода политик, планировавший расходы на безопасность, уже не будет занимать пост.
Мысль о том, что нам нужно защищать от кибератак нашу важнейшую инфраструктуру, не нова и не нуждается в обсуждениях. Правительства, промышленные группы и ученые провели множество исследований на эту тему. И, несмотря на это, трудности на пути к решению проблемы огромны. Не углубляясь в детали, хочу сказать, что методы обороны должны быть динамичными, кроме того, в этом мероприятии должны быть задействованы представители самых разных профессий, организаций, учитываться самые актуальные данные и технические возможности. Критически важная инфраструктура состоит из множества сложных систем с мириадами подсистем и подкомпонентов, некоторые из которых существуют на протяжении нескольких десятилетий. Корректировка любой из них потребует больших финансовых вложений, но технически это возможно.
В числе совершенно секретных документов АНБ, раскрытых Эдвардом Сноуденом, была презентация, на одном из слайдов которой был провозглашен девиз Кейта Александера, занимавшего тогда пост директора АНБ. Девиз этот звучит так: «Собирай все». Немного перефразировав его, мы получим лозунг, как нельзя лучше отражающий суть интернета+: «Объединяй все». Хотя, возможно, в основе своей это и не самая удачная идея.
Нам нужно начать разъединять системы. Если мы не можем обеспечить безопасность сложных систем, значит, мы не должны строить мир, в котором все компьютеризировано и взаимосвязано. Именно это я имел в виду, когда в начале данной главы говорил о разработке встроенных алгоритмов безопасности: если мы создаем систему, безопасность которой возможна только при условии ее автономности, этот вариант следует рассмотреть как допустимый.
И хотя кому-то эта мысль может показаться абсурдной, но строительство больших централизованных систем не является неизбежностью. Технологические и корпоративные элиты могут подталкивать нас к объединению систем, но единственный аргумент, который они могут привести в пользу этого, – максимизация прибыли.
Разъединение можно осуществить несколькими способами, один из которых – создание локальных сетей, отключенных от интернета. (Они тоже уязвимы и отнюдь не панацея с точки зрения безопасности.) Это может привести к несовместимости систем и невозможности их дальнейшего соединения. Переход к разъединению может быть постепенным. Мы можем начать с создания локальных коммуникаций. Мы можем выпускать специализированные устройства, отказавшись от идеи превратить все в универсальный компьютер. Мы можем двигаться к менее централизованным и более распределенным системам. Именно для этого и был когда-то задуман интернет.
Возможно, эта мысль требует пояснения. До появления интернета умной была телефонная сеть, в основе работы которой лежали сложные алгоритмы распределения вызовов. А аппараты, подключенные к сети, были глупыми. По такому принципу работали и другие компьютеризированные сети. Интернет перевернул эту модель с ног на голову. Бо́льшая часть «ума» переместилась в компьютеры на периферии сети, а сама сеть стала тупой донельзя. И эта перемена сделала интернет источником инноваций. Кто угодно мог изобрести что-нибудь – фрагмент программы, режим коммуникации, аппаратное устройство и т. д., – и это новшество согласовывалось с основными интернет-протоколами и было готово к подключению. Не существовало ни процесса сертификации, ни централизованной системы утверждения – ничего. Умные устройства – тупая сеть. У студентов, изучавших архитектуру интернета, это называлось сквозным принципом