НЕ так давно многие мировые научные центры перечисляли возможные очаги конфликтов в мире в 2022 году. Наиболее вероятным большинство считает военное столкновение на Украине. Другой возможный конфликт – между Китаем и США по поводу Тайваня. Называют также удар Израиля по Ирану.
К этому списку можно добавить еще несколько горячих и тлеющих точек.
Противостояние с участием крупных держав выглядит все более опасным. Более того, государства яростно соревнуются, даже если они не воюют напрямую. Они борются с кампаниями по дезинформации, вмешательством в выборы, экономическим принуждением и использованием мигрантов. Крупные и региональные державы соперничают за влияние, часто через местных союзников, в зонах боевых действий.
На фоне столь высокой напряженности в мире нельзя не упомянуть еще одно из полей противоборств – кибер-пространство. Уязвимости в кибербезопасности представляют собой постоянную угрозу. То, как государства воспринимают и интерпретируют риск и неопределенность в киберпространстве, сильно различается. Хотя перспективы неконтролируемой эскалации или опасения по поводу «кибер-Перл-Харбора» могут быть преувеличением, реальность по-прежнему заключается в том, что лица, принимающие решения на уровне государства, оценивающие условия и действия, предпринимаемые в киберпространстве, в настоящее время способствуют нестабильности и поощряют рискованное поведение.
В январе 2022 г. был опубликован отчет Исследовательской группы Конгресса США «Кибербезопасность: политика сдерживания», в котором рассматривается политика сдерживания, способы ее реализации и варианты для Конгресса. Автор доклада – Крис Джайкаран, аналитик в области кибербезопасности Исследовательской службы Конгресса США – отмечает, что многие директивные органы рассматривают сдерживание как движущую политическую позицию для противодействия атакам в киберпространстве. Тем не менее, сдерживание нападений остается недостижимой целью, поскольку страны расходятся во мнениях относительно приемлемого поведения, а преступные группы множатся.
Политика сдерживания опирается на установленные правила поведения, способность обнаруживать их нарушения и возможность применения санкций против нарушителей.
Киберпространство бросает вызов устоявшейся стратегии сдерживания. Традиционно сдерживание опирается на несколько известных субъектов, обладающих ресурсами для развития и поддержания потенциала (а также на намерение его использовать), и на историю применения известных санкций в случае нарушения норм.
Комиссия по киберпространству (Cyberspace Solarium Commission, которая была учреждена Конгрессом в 2019 г. и названа по аналогии с проектом «Солярий», созданным президентом Д. Эйзенхауэром в 1953 г. для определения согласованной стратегии военно-политического сообщества США по противодействию Советскому Союзу – прим. авторов) продвигала стратегический подход «многоуровневого киберсдерживания» угроз в киберпространстве. Этот подход в виде концепции был представлен в отчете Комиссии и повторен в последующих официальных документах, в которых было сделано 109 рекомендаций для Конгресса и президента Соединенных Штатов.
Что касается норм, то две рабочие группы ООН согласовали 11 норм ответственного поведения государств в киберпространстве. Однако эти нормы находятся в зачаточном состоянии, и еще предстоит увидеть, как страны будут придерживаться и следовать этим нормам. Чтобы усилить возможности реагирования на атаки, Европейский Союз разработал «Инструментарий кибердипломатии», описывающий действия, которые могут ожидать преступники, если они проводят кибератаки против государств-членов ЕС.
Наконец, чтобы лучше структурировать федеральное управление киберсдерживанием, Конгресс и исполнительная власть Соединенных Штатов добивались создания в Государственном департаменте бюро, ответственного за дипломатию в киберпространстве. Такое бюро могло бы возглавить усилия, связанные с установлением норм, иностранной помощью, и меры укрепления доверия. Однако у политиков остаются нерешенными вопросы, в том числе о том, как бюро будет координировать свои действия с другими федеральными агентствами, многие из которых обладают значительными техническими возможностями и уже участвуют в международных форумах, и в какой степени бюро будет нести ответственность за представление Соединенных Штатов на многосторонних форумы для решения вопросов кибербезопасности.
В докладе отмечается, что правительство Соединенных Штатов уже давно стремится эффективно сдерживать (или останавливать) кибератаки и реагировать на атаки таким образом, чтобы предотвратить негативные последствия. Эти цели кажутся труднодостижимыми, поскольку частота кибератак, от мелких до значительных, со временем увеличивается. Атаки показывают, что сдерживание в киберпространстве труднодостижимо. Существуют нюансы, связанные с кибератаками, которые переворачивают прежние представления о политике сдерживания. Несмотря на проблемы, многие рассматривают сдерживание как необходимый шаг к установлению порядка в киберпространстве и как основу для будущих действий. Политики продолжают следовать стратегии сдерживания киберпространства и кибератак.
Комиссия по кибербезопасности
Целью Комиссии по киберпространству является «выработка консенсуса в отношении стратегического подхода к защите Соединенных Штатов в киберпространстве от кибератак, чреватых значительными последствиями», а её мандат включает рассмотрение вопросов сдерживания как одного из вариантов защиты США – наряду с продвижением нормативных режимов и срывом враждебных атак. Мандат предписывает Комиссии ей: рассмотреть и принять решение о том, какие режимы, основанные на нормах, должны стремиться установить Соединенные Штаты; как Соединенные Штаты должны обеспечивать соблюдение этих норм; какой ущерб Соединенные Штаты должны быть готовы нести в рамках стратегии сдерживания или постоянного отрицания; какие атаки требуют ответа в рамках стратегии сдерживания или постоянного отрицания; и как Соединенные Штаты могут наилучшим образом реализовать эти стратегии.
В своем итоговом отчете Комиссия выступила за стратегический подход многоуровневого киберсдерживания и предложила три способа достижения этого конечного состояния: формирование ответственного поведения в киберпространстве (shapebehavior); недопущение получения противниками выгод с помощью кибератак (denybenefits); повышение издержек за счёт поддержания угрозы возмездия (imposecosts). Эти компоненты уже составляют основу американского подхода к киберсдерживанию, и доклад Комиссии по киберпространству переосмысливает их как часть стратегии.
Факторы сдерживания
Стратегии кибербезопасности отрицания и сдерживания – это разные подходы к достижению одной и той же цели: более безопасной цифровой среде. Эти стратегии не исключают друг друга. Как следует из рекомендаций Комиссии, отдельные виды деятельности могут служить обеим стратегиям, а сочетание видов деятельности может иметь мультипликативный эффект. Как правило, стратегии сдерживания в киберпространстве направлены на то, чтобы повлиять на поведение противника, отговаривая его от участия в нежелательных действиях. Напротив, стратегии отрицания направлены на улучшение технологий, процесса или практики, чтобы снизить вероятность успеха кибератаки. Министерство обороны разработало описания «опровержения» и «сдерживания», которые используются в этом отчете в контексте кибербезопасности для классификации действий и предоставления основы для обсуждения вариантов политики.
Отрицание – это действие, направленное на воспрепятствование или отказ противнику в использовании территории, территории персонала или объектов. Это может включать разрушение, удаление, загрязнение или возведение препятствий.
Сдерживание предотвращает действия противника за счет представления реальной угрозы неприемлемого противодействия и веры в то, что стоимость действия перевешивает предполагаемые выгоды.
Определение отрицания можно интерпретировать как предотвращение использования противником чего-либо. Если вдуматься, многие потенциальные действия в области кибербезопасности удовлетворяют этому определению. Например, нарушение работы интернет-инфраструктуры противника (например, ботнета) препятствует злонамеренному использованию им киберпространства в качестве домена, а правильная настройка и обслуживание собственных информационно-коммуникационных технологий (ИКТ) лишает злоумышленника возможности использовать их.
Определение сдерживания можно интерпретировать как воздействие на противника таким образом, чтобы предотвратить его злонамеренное поведение. В этой модели сдерживание опирается на нормы и продемонстрированные возможности. Странам необходимо будет понять, какое поведение другие страны считают приемлемым, а какое неприемлемым (нарушающим) поведением. Правительству потребуются инструменты и возможности влиять на поведение других правительств, а также негосударственных субъектов, другим странам нужно будет поверить, что эти возможности будут использованы, и о намерениях правительства необходимо будет сообщить потенциальным противникам. Можно утверждать, что для киберпространства эти условия зарождаются или не существуют.
Традиционная политика сдерживания опирается на несколько условий: разработка, поддержание и использование определенных наступательных возможностей требует больших затрат; существует ограниченный набор участников с такими возможностями; если субъекты решат использовать возможности, то они понесут известные последствия; и есть история соблюдения норм, на которую можно положиться.
Киберпространство в свою очередь, характеризуется обратными этим условиям: стоимость входа для потенциальных злоумышленников низка; существует множество потенциальных злоумышленников (как государственных, так и негосударственных); ответные последствия успешных кибератак неоднозначны или неизвестны; и нет долгой истории соблюдения норм.
Именно по этой причине некоторые предполагают, что сдерживание в киберпространстве не является жизнеспособной стратегией. Комиссия признала, что аналогии сдерживания времен «холодной войны», вероятно, неприменимы в киберпространстве, однако посчитала, что некоторые формы сдерживания могут быть достижимы, особенно за счет улучшения мер безопасности и формирования поведения.
Эксперты по кибербезопасности могут помочь определить и сформулировать проблемы, которые следует учитывать при изучении стратегий сдерживания, но спектр действий, доступных государственным органам для оказания влияния на противников, намного шире, чем в сфере кибербезопасности. Потребуются эксперты в разных областях, чтобы обеспечить междисциплинарные решения для эффективных стратегий сдерживания. К экспертам, к которым следует обратиться за консультацией при разработке мер сдерживания, относятся эксперты по конкретным странам (например, России, Китаю, Северной Корее и Ирану), а также эксперты по потенциалу, который стремятся использовать политики (например, дипломатические, разведывательные, военные или экономические). Эта позиция подкрепляется экспертами по кибербезопасности, которые рассматривают кибератаки как вызов для компьютерного сообщества, но решения которого не могут быть чисто техническим. Правительство Соединенных Штатов уже давно придерживается политики, согласно которой ответы на кибератаки будут пропорциональными, но не могут ограничиваться только операциями в киберпространстве. Эксперты считают, что правительство США не полностью приняло эту позицию, но это может быть необходимо для сдерживания будущих кибератак.
Ограничения, связанные с реагированием на кибератаки только в киберпространстве
Правительству необходимы исследования и операционная безопасность для обнаружения, разработки и развертывания наступательных кибервозможностей таким образом, чтобы их можно было многократно использовать и проводить скрыто. Это особенно верно для атак на системы с регламентированными процедурами безопасности, например, в иностранном правительственном агентстве.
В момент обнаружения атаки доступ к взломанным системам может исчезать, могут быть собраны доказательства, которые связывают атаку с теми, кто за ней стоит, и дополнительные операции, которые они выполняют, могут стать уязвимыми, особенно если они используют общую операционную инфраструктуру или методы, тактику или процедуры. В случае, если Соединенные Штаты раскроют свои инструменты и возможности в рамках публичного дискурса, они также могут потерять возможность их использования. Для публичных дебатов о возможностях также важно учитывать разницу между обычным оружием и наступательными кибервозможностями в киберпространстве. Защита от этого оружия может также использовать какой-либо другой инструмент, применяемый в этой области. Например, баллистическая ракета может быть перехвачена противоракетной системой в воздухе до того, как она поразит намеченную цель. Однако наступательные кибервозможности обычно используют уязвимость в отношении поля боя или уязвимость в отношении самой системы или сети. Таким образом, защита от кибератаки может включать в себя разработку и использование нового инструмента, или исправление существующей системы, чтобы смягчить эффект наступательного киберинструмента.
Нормы
«Нормы, – утверждают некоторые специалисты, – можно понимать как правила поведения, запрещающие или поощряющие определенные действия». Проблема нормативного поведения в киберпространстве заключается в том, что киберпространство – это область, в которой происходят действия, а операции в киберпространстве – это инструменты национальной власти, которые страны могут использовать по своему выбору. Поскольку Конгресс Соединенных Штатов изучает кибератаки и ответы на них, полезно рассмотреть двойственность того, что киберпространство является одновременно областью и возможностью. Например, кибератаки могут происходить в киберпространстве (атаки с целью кражи данных и личных данных) и могут происходить против самого киберпространства (атаки на поставщиков облачных услуг). В обоих случаях используются и повреждаются информационные и коммуникационные технологии (ИКТ). Именно этот вред государства могут попытаться сократить с помощью норм.
Разработка норм в контексте сдерживания кибератак еще больше осложняется тем фактом, что кибероперации могут происходить во всем спектре конфликтов, начиная от локальных ненасильственных инцидентов и заканчивая гораздо более серьезными, с потенциально летальными последствиями.
Использование военного потенциала в ответ на преступную деятельность не является нормативным. Однако неоднократные кибератаки заставили политиков исследовать новые способы использования возможностей, поскольку злоумышленники активизировали атаки, и последствия этих атак стали более серьезными. Одним из таких случаев является борьба с программами-вымогателями, приводящих к разрушению инфраструктуры США, которое может угрожать гражданскому населению (например, атака программ-вымогателей на больницу). В ответ лица, принимающие решения, задействовали военные возможности, чтобы узнавать о бандах, занимающихся программами-вымогателями, и действовать против них.
Количество кибератак может увеличиться, поскольку страны рассматривают киберпространство как новую операционную область без установленных правил взаимодействия. В такой слабой среде возможности проверить технику, тактику, и процедуры многочисленны как для атак, так и для ответов. Национальный совет по разведке оценил перспективы международных норм и классифицировал их:
– Обмен информацией и общение;
– Меры по обеспечению возможности проведения инспекций и наблюдателей;
– «Правила дорожного движения» для управления военными операциями;
– Ограничения на военную готовность и операции.
Меры укрепления доверия связаны с соглашениями о контроле над вооружениями, но отличаются от них. Контроль над вооружениями включает в себя соглашения об отказе от исследований, разработки, производства, развертывания или использования определенного оружия, особенностей оружия или применения оружия. Набор возможных действий, которые могут предпринять государства, широк, но основное внимание следует уделить потенциальным преимуществам и недостаткам конкретных мер по укреплению доверия, связанных с ИИ.
Продвижение норм
В 2019 году Совет по оборонным инновациям США предложил Министерству обороны США ряд принципов ИИ, которые Министерство обороны приняло в начале 2020 года. Хотя эти принципы, несомненно, имеют внутреннюю аудиторию в оборонном сообществе США и технологическом секторе, они также служат в качестве примера государственного обнародования норм о надлежащем использовании ИИ в военных целях. Принципы искусственного интеллекта Министерства обороны США включали требование, чтобы системы ИИ Министерства были ответственными, справедливыми, отслеживаемыми, надежными и управляемыми. Точно так же несекретное резюме стратегии ИИ Министерства обороны, опубликованное в 2019 году, призывало к созданию систем ИИ, которые были бы «устойчивыми, надежными и безопасными».
Государствам необходимо поощрять нормы ответственного использования ИИ, включая внедрение и использование технологий таким образом, чтобы это отражало понимание технических рисков, связанных с системами ИИ. Хотя изложение таких принципов – это не то же самое, что внедрение эффективных бюрократических процессов для обеспечения их соблюдения, тем не менее, их ценность в том, чтобы государства публично сигнализировали другим (и своим собственным бюрократическим структурам) о важности ответственного использования ИИ в военных приложениях.
Нормы поведения
Страны могли бы договориться о письменном своде правил или принципов внедрения ИИ в военные системы. Эти правила и принципы, даже если они не имеют обязательной юридической силы, тем не менее могут выполнять ценную сигнальную и координационную функцию, позволяющую избежать некоторых рисков при внедрении ИИ. Кодекс поведения, заявление о принципах или другое соглашение могут включать широкий спектр как общих, так и конкретных заявлений, в том числе о любых или всех перечисленных выше мерах укрепления доверия.
У широкого кодекса поведения есть несколько потенциальных недостатков.
Во-первых, более широкий кодекс поведения, которому не хватает специфики некоторых мер, обсуждавшихся выше, может подорвать импульс к более широкому сотрудничеству, а не послужить строительным блоком.
Во-вторых, при обсуждении кодекса поведения возникнет риск того, что разногласия по поводу некоторых деталей могут подорвать все усилия или привести к выбору форума, в результате чего страны затем начнут вести собственные диалоги о кодексе поведения. Возможно, именно это и произошло в киберпространстве, где несколько различных текущих процессов диалога о кодексах поведения не привели к существенному успеху.
Таким образом, можно предположить, что стимулы могут привести к менее формальному кодексу поведения, разработанному как структурный элемент, а не к чему-то, что могло бы заставить страны ограничивать возможности.
Ограничения ИИ
Риск несчастного случая является серьезной проблемой для военных приложений ИИ. Конкурентное давление может увеличить риск несчастных случаев, заставляя военных сокращать испытания и быстро развертывать новые системы с поддержкой ИИ. Государства могут использовать различные варианты для снижения рисков, связанных с созданием ненужных стимулов для ускоренного тестирования и оценки, включая публичное заявление о важности Т&Е, повышение прозрачности процессов Т&Е, продвижение международных стандартов Т&Е и обмен гражданскими исследованиями по безопасности ИИ.
Кроме того, ИИ сделает автономные системы более функциональными, а их более широкое использование может создать риски для стабильности, особенно при развертывании в оспариваемых районах. Чтобы снизить эти риски, государства могли бы принять МД, такие как «дорожная карта» для поведения автономных систем, признать маркировку систем для обозначения степени их автономии и соблюдение запретных географических зон для автономных систем.
Использование ИИ в военных целях сопряжено с многими рисками, в том числе с тем, как ИИ может изменить характер ведения войны. Политики должны осознавать эти риски, поскольку страны начинают интегрировать ИИ в свои вооруженные силы, и они должны стремиться по возможности снижать эти риски.