Книга: Кибервойн@. Пятый театр военных действий
Назад: 9. Американская картечь
Дальше: 11. Корпоративная контратака

10. Секретный ингредиент

С того самого момента, как Барак Обама принял на себя бремя президентства, он был атакован плохими новостями о состоянии американской государственной киберобороны. Он уже провел секретное совещание с Майклом Макконнеллом в Чикаго, где директор разведслужбы представил ему свою версию жуткой истории, рассказанной Бушу в 2007 г. Во время предвыборной кампании китайскими шпионами были взломаны электронные почтовые ящики сотрудников избирательного штаба Обамы и его оппонента, сенатора Джона Маккейна. Теперь, когда 44-й президент США занял свое место в Овальном кабинете, Центр стратегических и международных исследований – уважаемый аналитический центр в Вашингтоне – опубликовал всеобъемлющий и обескураживающий аналитический отчет о кибербезопасности США. Авторы отчета, которые провели как минимум 16 закрытых встреч с высшими военными и государственными руководителями, описали несколько ужасающих компьютерных взломов, информация о которых была рассекречена. Среди описанных случаев были взлом электронной почты министра обороны Роберта Гейтса; заражение компьютеров Министерства торговли шпионской программой, которую, по мнению нескольких независимых экспертов, китайские хакеры установили на ноутбук министра торговли Карлоса Гутьерреса во время его официального визита в Пекин; компьютерные взломы в Госдепартаменте, вследствие которых были утеряны терабайты информации. Однако, по словам члена команды, работавшей над отчетом, эти и прочие взломы, перечисленные в итоговом документе, составляли лишь 10 % от общего количества слабых мест в системе безопасности, обнаруженных авторами. Остальные случаи были слишком секретными и, может быть, слишком тревожными, чтобы обсуждать их публично.
Участники совещания, среди которых были высокопоставленные представители АНБ, руководители некоторых крупнейших технологических и оборонных предприятий, члены конгресса и эксперты в области кибербезопасности, продолжавшие работать в новой Администрации, хвалили инициативу «нового Манхэттенского проекта», реализация которой была начата Бушем. Однако они признали, что дело продвинулось не слишком далеко. Администрации Обамы следовало взять прежние достижения за основу и установить правила, которые бы требовали от определенных отраслей промышленности и ключевых объектов инфраструктуры усиления и поддержания их кибербезопасности. «Это стратегическая проблема одного уровня с проблемами оружия массового уничтожения и глобальным терроризмом, за решение которых основную ответственность несет федеральное правительство, – написали участники совещания. – Неспособность Америки защитить киберпространство – это одна из самых срочных и неотложных проблем национальной безопасности, стоящих перед новой Администрацией… Это битва, в которой мы проигрываем».
Иностранные шпионы неотступно работают над получением доступа к средствам коммуникации, записям речей и текстам политических меморандумов высокопоставленных членов новой президентской Администрации. В первый же год пребывания Обамы на посту президента китайские хакеры начали кампанию, направленную против чиновников Госдепартамента, в том числе госсекретаря Хиллари Клинтон. Хакеры разыграли чрезвычайно искусную комбинацию. Пятеро сотрудников Госдепартамента, которые вели переговоры с китайскими чиновниками о снижении выброса парниковых газов, получили фишинговые электронные письма, где в качестве отправителя был указан знаменитый вашингтонский журналист Брюс Стокс. Стокса в Госдепартаменте знали хорошо, поскольку он писал о проблемах международной торговли и изменении климата. Кроме того, он был женат на Венди Шерман, занимавшей должность посла. Она была высшим политическим советником Билла Клинтона по Северной Корее, а позже заняла третью по значимости государственную должность и вела переговоры с Ираном по ядерной программе в 2013 г. Дипломатический представитель США в Китае по вопросам изменения климата Тодд Стерн тоже был старым другом Стокса. В теме электронного письма было указано «Китай и изменение климата», и казалось, что это обычное письмо с вопросами от журналиста. А в теле сообщения содержались комментарии, имевшие отношение к работе получателей письма и их текущим делам. Кем бы ни был отправитель этого сообщения, он изучил Стокса и знал сеть его друзей и источников достаточно хорошо, чтобы составить электронное письмо в его стиле. Это письмо содержало вирус, способный скачивать документы со служебных компьютеров и отслеживать электронные коммуникации владельцев этих компьютеров, и до сих пор не ясно, открывал ли его кто-то из получателей или нет.
В 2009 г. один из руководителей команды Хиллари Клинтон получил от своего коллеги из соседнего офиса электронное письмо. В письме было вложение, которое, по словам отправителя, имело отношение к прошедшему недавно совещанию. Получатель не мог вспомнить, что это было за совещание, и не был уверен, что оно вообще имело место быть. Он отправился к коллеге в соседний офис и спросил его о письме, которое тот только что отправил.
«Какое письмо?» – спросил коллега.
Благодаря подозрительности молодого сотрудника шпионы лишились возможности установить программу для слежки на компьютерах в офисе Хиллари Клинтон. Этот случай стал напоминанием о том, насколько продвинутыми и искушенными стали шпионы. Кроме того, он показывал, что противник выстраивает схему взаимоотношений сотрудников Администрации, чьи имена крайне редко попадают в прессу. Китайские шпионы отточили эту методику за последующие годы и постоянно пользуются ей. Чарли Крум, генерал ВВС в отставке, который руководил Агентством оборонных информационных систем, а теперь занимает пост вице-президента по кибербезопасности в Lockheed Martin, говорит, что кибершпионы будут тщательно изучать сайт компании в поисках имен сотрудников, встречающихся в пресс-релизах, отмечать все публичные появления руководителей и использовать другие самые незначительные крупицы информации, которые могут помочь им детализировать свой подход к потенциальной цели атаки. В прошлом шпионам приходилось следить за людьми на улицах и потрошить мусорные баки, чтобы раздобыть такие подробности.
Перед лицом опасности иностранного кибершпионажа, угрожающей команде президента, и тревожных сигналах о состоянии американской обороны Обама, как только занял пост главы государства, дал понять, что намеревается сделать кибербезопасность одним из высших приоритетов. В своей речи, произнесенной в мае 2009 г. в Восточном зале Белого дома, он сказал: «Мы знаем, что кибервзломщики зондируют наши электросети и что в других странах кибератаки погружали в темноту целые города». Обама не сказал, где это произошло, однако сотрудники разведки пришли к выводу, что два аварийных отключения электроэнергии в Бразилии в 2005 и 2007 гг. были устроены хакерами, получившими доступ к SCADA-системам, которые управляли электрическим оборудованием.
До выступления Обамы американские чиновники, в редком случае соглашаясь на упоминание в прессе своего имени, по большей части только намекали, что электрические сети подвергаются опасности. Владельцы и операторы электрооборудования опровергали слухи об отключениях электроэнергии, вызванных действиями хакеров, в том числе в США, называли подобные слухи спекуляциями и абсурдом и цитировали результаты официальных расследований, в которых отказы обычно объяснялись природными явлениями (например, падением дерева на линию электропередачи или скоплением грязи на проводах). Но теперь президент признавал, что американские электросети уязвимы и что в некоторых странах кошмар кибернетического блэкаута стал реальностью.
«Моя Администрация будет внедрять новый всесторонний подход к обеспечению безопасности американской цифровой инфраструктуры, – заявил Обама. – Этот новый подход начинается с самого верха, с моей личной ответственности: с нынешнего момента отношение к нашей цифровой инфраструктуре – сетям и компьютерам, от которых зависит повседневная жизнь, – будет таким, каким оно должно быть, – это наши стратегические государственные активы. Защита этой инфраструктуры станет приоритетом национальной безопасности. Мы должны быть уверены, что эти сети безопасны, надежны и отказоустойчивы. Мы будем обнаруживать, предотвращать, сдерживать атаки против объектов этой инфраструктуры и быстро восстанавливать их после любого повреждения или уничтожения».
Обама заявил, что защита киберпространства – это государственная задача.

 

Кит Александер одобрил выступление. Для него единственным вопросом оставалось, кто именно в правительстве возьмется за такую геркулесову задачу.
Вскоре после назначения на пост директора АНБ в 2005 г. Александер посетил штаб-квартиру Министерства внутренней безопасности. Она представляла собой комплекс зданий в респектабельном пригороде Вашингтона Cathedral Heights, где криптографы ВМС США во время Второй мировой войны помогли взломать шифр «Энигмы». Александер привез свернутый лист бумаги, чтобы передать его Майклу Чертоффу, бывшему федеральному прокурору и судье, который был назначен новым министром внутренней безопасности чуть раньше в этом же году. По закону министерство должно координировать политику кибербезопасности на уровне правительства, защищать компьютерные сети гражданских государственных служб и сотрудничать с компаниями в области защиты жизненно важных объектов инфраструктуры. Сфера ответственности была огромной и размытой. Защита инфраструктуры была лишь одной из множества задач, делегированных министерству, которому на тот момент исполнилось всего два года. Среди прочего оно должно было заниматься патрулированием государственных границ, проверкой авиапассажиров и грузов, восстановлением неработающей государственной иммиграционной системы, а также предотвращением новых неожиданных террористических атак в США.
В защищенном от прослушки кабинете Александер развернул свой лист во всю длину стола для переговоров. На нем была изображена огромная диаграмма, отражающая всю вредоносную деятельность в Интернете, о которой в тот момент знало АНБ. Послание Александера можно было трактовать двумя способами. Он пришел, чтобы помочь молодому министерству справиться со своей миссией по обеспечению кибербезопасности. С другой стороны, возможно, он был не столь благодушен и намекал, что без помощи АНБ Министерству внутренней безопасности не справиться и что лучше ему отойти в сторону и позволить экспертам взять власть в свои руки. Правда была в том, что Министерство внутренней безопасности не могло составить такую диаграмму, какую только что показал Александер. Министерство испытывало недостаток в опытных сотрудниках, бюджетных средствах, глобальной архитектуре наблюдения, бюрократической и политической поддержке Вашингтона и не могло работать на уровне АНБ.
Александер и его помощники считали, что отказать в посильной помощи министерству будет проявлением безответственности и даже халатности. Однако это вовсе не означало, что они уступают ему ведущую роль в вопросах кибербезопасности. АНБ подчинялось Министерству обороны, и его полномочия распространялись на защиту государства от иностранных атак как на земле, так и в воздухе, на воде и в компьютерных сетях.
Чертофф и Александер хорошо сработались, как говорит бывший чиновник, имевший дело с ними обоими. Министр, кажется, был счастлив позволить киберсолдатам из Форт-Мида взять руководство на себя. Александер провел следующие четыре года за строительством киберармии АНБ, кульминацией чего стали операция «Американская картечь» и создание Кибернетического командования. В 2009 г. Обама назначил министром внутренней безопасности бывшего губернатора Аризоны Джанет Наполитано. Александер велел своей команде предоставить Наполитано и ее помощникам любую помощь и консультации, какие им только могли потребоваться. Но у него не было намерения оставить поле боя. Не сейчас, когда он готовился начать свою крупнейшую кампанию.

 

Александер уже видел, как «Инициатива оборонной промышленности» (Defense Industrial Base, DIB) позволяет властям получить доступ к информации из корпоративных компьютерных сетей. Компании превратились в цифровых разведчиков киберпространства, а информация, которую они поставляли, помогала АНБ пополнять свой каталог цифровых угроз – список известных вредоносных программ, хакерских методов и подозрительных интернет-адресов. Александер любил называть эту инициативу «секретным ингредиентом». На старте программа DIB включала всего 20 компаний. Теперь же Александер хотел использовать модель DIB в новых отраслях, в том числе в энергетической и финансовой, и привлечь для участия в программе еще около 500 компаний.
Внутри АНБ план получил название «Транш 2» (Tranche 2). Операторы «ключевых объектов инфраструктуры» – а к ним легко можно отнести электроэнергетические компании, операторов атомных электростанций, банки, производителей программного обеспечения, транспортные и логистические компании и даже медицинские учреждения и поставщиков медицинского оборудования, если поставляемая ими техника может быть взломана удаленно – все они должны будут направлять свой входящий и исходящий трафик для сканирования провайдеру интернет-услуг. Провайдер с помощью сигнатур, полученных от АНБ, будет искать вредоносные программы или признаки кибершпионажа со стороны иностранных государств. Такова была версия изначального плана Александера по превращению АНБ в информационно-аналитический центр по обнаружению киберугроз. Само АНБ не стало бы заниматься сканированием, но оно предоставило бы все необходимые для этого сигнатуры. Таким образом, агентству удалось бы избежать подозрений в том, что оно пробивает себе путь в частные компьютерные сети, хотя именно оно при этом управляло бы всей операцией. Если сканер обнаружит угрозу, обратятся к аналитикам АНБ, чтобы те дали ей свою оценку. Они решат, нужно ли заблокировать трафик, или его можно пропустить, или необходимо провести ответную атаку на источник угрозы.
Агентство к тому времени уже разработало систему для сканирования Tutelage, которая могла изолировать электронное письмо, содержащее вирусы, и поместить в своего рода цифровую чашку Петри, где аналитики могли бы изучить его, не заражая другие компьютеры. Эта система была «сигнализатором, караульным и снайпером», и именно ее АНБ использовало для наблюдения за своими интернет-шлюзами в 2009 г. Теперь Александер хотел сделать эту систему частью программы Tranche 2, фактически выдвинув сотни компаний и операторов инфраструктурных объектов на новый фронт кибернетических войн.
Эта программа заставила некоторых членов Администрации Обамы занервничать. Президент совершенно ясно дал понять, что намеревается защищать киберпространство как ключевой государственный ресурс. Но он сомневался, можно ли спустить АНБ «с поводка», насколько можно ослабить контроль за агентством. Обама никогда не испытывал теплых чувств ни к агентству, ни к Александеру. И хотя он ценил и пользовался широкими возможностями, которые могло предложить АНБ, тем не менее культура шпионажа, кажется, была ему чуждой.
Летом 2009 г. официальные представители Пентагона предложили проект «исполнительного акта», который бы позволил военным проводить контратаки на компьютеры, генерирующие вредоносный трафик не только в военных системах, но и в сетях частных предприятий, обслуживающих ключевые объекты инфраструктуры, такие как электрические станции. Шаг был экстраординарным. До сих пор правительство лишь оказывало помощь компаниям, предоставляя им информацию о хакерах и вредоносном ПО, которую они могли использовать для укрепления своих средств защиты. Теперь же АНБ хотело получить полномочия на выполнение ответных ударов по тем хакерам, которые проводили атаки на ключевых представителей американского бизнеса, в случае если эти атаки могли привести к человеческим жертвам – например, в результате аварии энергосистемы или нарушения работы системы управления воздушными полетами – или когда опасности подвергались американская экономика или национальная безопасность. Такой набор критериев был слишком размытым и давал возможность для широкой интерпретации. Можно ли, к примеру, считать враждебным актом, подвергающем опасности экономику США, массированную DDOS-атаку на американские банки, ведь она не направлена на похищение денег и не разрушает банковскую систему, а только нарушает ее работу?
Администрация Обамы сократила предложенный законодательный акт, но незначительно. Обама не стал препятствовать АНБ наносить ответные киберудары. Он только потребовал от агентства, чтобы оно получало одобрение президента или министра обороны на подобные действия.
Возможно, чувствуя, что на безусловную поддержку Обамы положиться не получается, Александер представил свой план программы Tranche 2 на Капитолийском холме законодателям, которые контролировали многомиллиардный бюджет его агентства. Александер рассказал, что он поддерживает законодательную инициативу, которая обяжет компании делиться своими данными с назначенными правительством анализаторами трафика. Однако это предложение, по крайнем мере в его нынешней форме, не поддерживает Администрация. В 2011 и 2012 гг., когда законопроект проходил согласование в конгрессе, советникам Белого дома пришлось несколько раз предупреждать Александера о недопустимости выступлений от имени президента и предостерегать от раздачи обещаний, выполнение которых Администрация не могла гарантировать.
«Там, в центре, довольно злы на меня», – робко сказал Александер на одном из совещаний с конгрессменами. Однако это не остановило его от более жестких действий. Александер был довольно слабым оратором, но в небольших аудиториях он мог быть очаровательным и убедительным. Он вступил в союз с лидерами демократов и республиканцев и с Сенатским комитетом по разведке. Законодатели давали ему столько денег, сколько он хотел, и выделяли новые бюджеты на кибербезопасность. Надзор конгресса за деятельностью АНБ был минимальным и ненавязчивым. Александер выигрывал войну на Капитолийском холме. Однако в Администрации президента у него были недруги.

 

Джейн Холл Льют в начале 2009 г., к моменту своего появления в Министерстве внутренней безопасности в качестве нового заместителя министра, обнаружила, что борьба за контроль над кибербезопасностью уже завершена и победителем стал Александер. Многие ее коллеги уже давно пришли к выводу, что АНБ – это лучший вариант, поскольку оно было единственным агентством, обладавшим исчерпывающим каталогом сигнатур компьютерных угроз, включавшем описание вредоносного ПО, хакерских методов и подозрительных интернет-адресов. Они знали, что эта информация тщательно собиралась при проведении секретных и дорогостоящих разведывательных операций, что придавало этим сведениям весомость. Они также знали, что Министерство внутренней безопасности не располагало подобным объемом информации, не говоря уже о том, что там едва ли нашлась бы серьезная команда профессионалов в области кибербезопасности. В 2009 г. там работали 24 специалиста-компьютерщика, тогда как в Министерстве обороны их было больше 7000, причем большая часть работала в АНБ. Чрезвычайный наблюдательный центр Министерства внутренней безопасности не мог отслеживать сетевой трафик в реальном времени, что делало его практически бесполезным в качестве системы раннего обнаружения кибератак. Фактически министерство играло роль PR-службы, которая убеждала компании следовать правилам «кибернетической гигиены», лучше следить за собственными сетями и делиться информацией с властями. Но это были всего лишь символические жесты, а не реальные действия.
Чиновника, отвечавшего за перспективы развития кибероборонной миссии министерства, Льют впервые встретила, когда он вручил ей свое заявление об уходе. В марте Род Бэкстром уволился в знак протеста против того, что он описал как вмешательство АНБ в политическую деятельность, которая, по закону, была прерогативой Министерства внутренней безопасности. «АНБ фактически руководит деятельностью министерства в сфере кибербезопасности», – написал Бэкстром с резким упреком. Агентство разместило своих сотрудников в штаб-квартире министерства и внедрило свою закрытую технологию. А недавно руководители АНБ предложили перевести Бэкстрома и его команду – всех пятерых – в штаб-квартиру агентства в Форт-Мид.
«Во время моей работы на посту директора мы не были склонны отдать центр под руководство АНБ», – писал Бэкстром. Он предупредил Льют, Наполитано и высших президентских советников по вопросам национальной безопасности, в том числе и министра обороны Роберта Гейтса, что, если АНБ отпустят с привязи, оно весьма грубо и жестко обойдется с неприкосновенностью частной жизни и гражданскими свободами и внедрит в министерстве культуру скрытности и секретности.
Льют не была киберэкспертом. Она была армейским офицером в отставке и в прошлом руководила миротворческими силами ООН. Но, будучи по факту главным операционным руководителем министерства, она отвечала за осмысленность его непрозрачной кибернетической политики. Очевидно, битва с АНБ должна была продолжиться. (Наполитано не хотела поступать на эту должность и, вероятно, не имела для нее нужной квалификации. У нее не было своих онлайн-аккаунтов, и даже по работе она не пользовалась электронной почтой. Она фактически была технофобом.)
Льют довольно долго вращалась среди руководителей разведслужб и могла уже сделать выводы о том, что они получают большую часть своей власти благодаря секретности и созданию видимости своего всезнания. Она не соглашалась с общепринятой точкой зрения, что только АНБ имеет необходимый багаж знаний для защиты киберпространства. «Представьте, что телефонная книга Манхэттена – это вселенная вредоносного ПО, – сказала она однажды своим коллегам. – У АНБ есть всего лишь одна страница из этой книги». Льют считала, что многие компании уже располагают информацией о наиболее важных угрозах: они вынуждены собирать информацию о них, поскольку хакеры и иностранные государства каждый день пытаются взломать сети. Частные охранные компании, разработчики антивирусных программ и даже журналисты собирали и анализировали данные о вредоносных программах и других киберугрозах и либо продавали эту информацию, либо публиковали ее на общедоступных ресурсах. Софтверные компании выпускали автоматические исправления для известных дыр безопасности в своих программах. АНБ отслеживало всю эту информацию. Почему все полагают, что разведданные агентства не содержат уже известные всем сведения? «Информация шпионского агентства может быть полезной, но она не всегда требуется компаниям для обеспечения собственной защиты», – говорила Льют. Нужно, чтобы компании обменивались друг с другом тем, что они знают, создали своего рода интернет-версию соседского надзора.
Льют была не единственной, кто считал, что Александер слишком дорого продал свой «секретный ингредиент».
«Есть предположение, что если какая-то информация засекречена, то это правдивая информация. Но это далеко не так, – говорит высокопоставленный чиновник из правоохранительных органов, который спорил с руководителями АНБ на нескольких совещаниях по вопросу лидирующей роли агентства в защите компьютерных сетей предприятий. – Мы можем представить политикам информацию с грифом секретности, ниже чем “совершенно секретно”, а они скажут “Нет, у нас есть сверхсекретный отчет, и в нем отражена истина”. И это трудно опровергнуть, поскольку АНБ не выкладывает на стол факты, как оно получило эту информацию и является ли она уникальной. Политики и граждане не получают точных сведений об угрозе и не видят всей картины».
Даже когда Александер встречался с высшими руководителями крупнейших технологических компаний, в том числе Google, которые довольно много знали о кибершпионах и атаках и имели финансовую заинтересованность в том, чтобы их остановить, он и тогда пытался убедить их, что информация от АНБ лучше и важнее. «Его позиция была такова: “Если бы вы только знали то, что знаем мы, вы бы очень испугались. Я тот единственный, кто может вам помочь”», – говорит бывший высокопоставленный чиновник, занимавшийся вопросами безопасности.
«Александер убедил многих законодателей и политиков, что у АНБ есть монополия в этом вопросе и что все должно решаться в Форт-Миде, – говорит бывший чиновник Администрации, который работал в области кибербезопасности. – И он использовал эту фразу – “секретный ингредиент”. Я тогда находился по другую сторону тайны. Не было там никакого “секретного ингредиента”. Это все полная чушь».

 

Первые два года работы Льют в Министерстве внутренней безопасности сохранялось незначительное напряжение. В феврале 2011 г. это напряжение проявило себя в публичной борьбе за сферы влияния. На конференции по вопросам оборонной промышленности, которая проходила в Колорадо-Спрингс, родном доме Академии ВВС США, Александер заявил, что АНБ должно играть лидирующую роль в защите киберпространства – пятого театра боевых действий. Он потребовал новых полномочий для обеспечения защиты от разрушительных атак на Соединенные Штаты. «Не в моей власти прекратить атаки на Уолл-стрит или промышленность, и этот изъян нужно исправить», – сказал он. Александер бросил перчатку, фактически объявив американское киберпространство милитаризованной зоной.
Александер планировал выступить с похожей речью через восемь дней на одной из крупнейших ежегодных конференций по компьютерной безопасности в Сан-Франциско. Конференцию должны были освещать крупнейшие газеты и профильные СМИ. Льют осадила его на ходу. 14 февраля, за три дня до его выступления, она вместе с другим руководителем Министерства внутренней безопасности опубликовала статью на сайте Wired, влиятельного журнала о технологиях. «Сегодня некоторые наблюдатели настойчиво и все громче бьют в барабан войны, призывая готовиться к битве, и даже утверждают, что Соединенные Штаты уже находятся в состоянии кибервойны, фактически проигрывая в ней, – написала Льют. – Мы с этим не согласны. Киберпространство – это не зона военных действий».
Это был прямой удар по Александеру. «Несомненно, здесь имеют место конфликты и злоупотребления, но киберпространство – это принципиально пространство гражданское, – писала Льют, – общие интересы, библиотека, место для торговли, школьный двор, мастерская – новая, восхитительная веха в человеческом опыте, образовании и развитии. Отдельные элементы всего этого являются частью американской оборонной инфраструктуры, которая должным образом охраняется солдатами. Но все же основная часть киберпространства – территория гражданская».
Александер был неудержим. Он выступил с речью, как и было запланировано, и повторил все те же тезисы. Через несколько дней он нанес ответный удар по Льют. «Есть много ребят, которые говорят, что им нравятся технические возможности АНБ… но они не хотят, чтобы АНБ влезало в защиту их сетей», – сказал Александер на конференции в Вашингтоне, посвященной внутренней безопасности, обеспечение которой было сферой деятельности Министерства внутренней безопасности. Он в штыки воспринял предположение не рваться его агентству на передовую, а отойти в сторону и оказывать помощь, только когда об этом попросят. Александер даже припомнил линию Мажино – длинную полосу железобетонных укреплений, построенных Францией на границе с Германией в 30-х гг. ХХ в. Он предположил, что Соединенные Штаты рискуют проиграть, если недооценят хитрость своих врагов и сосредоточатся исключительно на стратегическом подходе к собственной обороне. (Нацисты преодолели линию Мажино, обойдя ее с флангов. К такому повороту Франция не была готова, что в итоге привело к завоеванию страны в течение шести недель.)
Борьба за сферы влияния разгоралась. Белый дом все-таки отменил план Александера Tranche 2, и не потому, что Обама решил, будто АНБ не справится с защитой киберпространства, а потому, что план слишком сильно напоминал масштабную государственную программу наблюдения за гражданами. Администрация не отказывалась от основной идеи Александера. Просто было принято решение использовать существующую программу DIB, которая тоже была государственной программой по наблюдению, и проверить, смогут ли интернет-провайдеры отслеживать трафик с помощью секретной государственной информации – того самого «секретного ингредиента» АНБ. Это было компромиссное решение. АНБ не получит доступ к сетям компаний, но оно будет сливать им информацию через интернет-провайдеров.
Весной 2011 г. 17 оборонных предприятий добровольно согласились участвовать в пилотной программе. АНБ передавало информацию о цифровых угрозах трем крупным интернет-провайдерам – компаниям CenturyLink, AT&T и Verizon. Последние две из этого списка были близко знакомы с системой наблюдения АНБ, поскольку участвовали в массовой прослушке телефонов американцев вскоре после терактов 11 сентября. И во всех трех компаниях обычным делом было передавать ФБР и АНБ электронные письма и онлайн-данные своих клиентов.
В пилотной программе акцент был сделан на две контрмеры: изоляции входящих электронных писем, зараженных вредоносными программами, и предотвращении взаимодействия исходящего трафика с интернет-адресами злоумышленников. Большинство организаций отслеживали только входящий трафик и игнорировали данные, которые отправлялись из их систем. Хакеры использовали эту недоработку и часто маскировали похищаемые документы компаний под обычный исходящий трафик, прежде чем отправить эти документы на сервер, находящийся под управлением хакеров.
Пилотная программа прошла успешно. Независимый анализ, выполненный Университетом Карнеги-Меллона, одним из ведущих научно-исследовательских институтов в стране, показал, что интернет-провайдеры справились с получением и надежным сохранением секретной информации о цифровых угрозах. Но для хваленых кибервоинов из Форт-Мида были и плохие новости: из полученной от АНБ информации компании не узнали практически ничего нового. Этот факт подтверждал выводы Льют и других экспертов, которые сомневались в эффективности «секретного ингредиента» Александера.
Большая часть информации АНБ устаревала к тому моменту, когда она поступала получателям. Из 52 случаев вредоносной активности, обнаруженной во время работы пилотной программы, только два были результатом использования информации от АНБ. В остальных случаях компании справились сами, поскольку потратили несколько лет, чтобы построить свою систему сетевого наблюдения и укрепить собственную кибероборону.
АНБ могло несколько утешить то, что эти компании улучшили свою защиту, благодаря своевременному подключению к программе DIB в 2007 г., когда от них потребовали передавать информацию об угрозах и принимать государственную помощь, если они хотели продолжить работать в оборонной отрасли. Однако пилотная программа отсекла аргументы Александера о том, что только его агентство имеет необходимую квалификацию для защиты нации.
Не требовалось университетского образования, чтобы это понять. Еще в 2010 г. руководители корпораций начали задавать вопросы, действительно ли АНБ настолько продвинутое, как об этом говорит Александер. Во время совещания с гендиректорами в штаб-квартире Министерства внутренней безопасности Александер выступил с презентацией каталога сигнатур цифровых угроз, составленного АНБ. Как говорит один из участников совещания, гендиректор Google Эрик Шмидт наклонился к сидящему рядом с ним и прошептал: «Иными словами, он хочет сказать, что они потратили все эти деньги и в итоге получили только это? Мы все ушли уже намного дальше». Компания Google, как и многие другие крупные компании, часто подвергавшиеся атакам хакеров, имела собственные источники информации и уже начала операции по сбору сведений о хакерах из Китая. Источниками информации могли выступать частные компании, работающие в сфере компьютерной безопасности, такие как Endgame, продающие информацию об уязвимостях нулевого дня. Вместе с тем Google применяла и иные подходы: например, использовала более сильные алгоритмы шифрования данных своих пользователей и делала шаги в сторону внедрения протокола SSL, обеспечивающего сквозное шифрование для всех, кто пользуется сервисами Google. Шмидт сказал, что сами по себе сигнатуры цифровых угроз «больше не работают. Угрозы появляются не там, где АНБ устанавливает свое оборудование». Хакеры постоянно меняют методы своей работы и ищут новые точки входа. Они знают, что власти следят за ними, – именно поэтому они и меняют свою тактику.
Для Google, как и для других крупных компаний, имел значение не какой-то один «секретный ингредиент», но целое рагу из методов и технологий, рецепт которого постоянно менялся. Вообще говоря, компании относились к безопасности очень серьезно, вкладывая деньги в защиту своей информации и нанимая внешних экспертов для решения сложных задач.
Тем не менее Александер продолжал упорствовать. В 2011 г. он отправился в Нью-Йорк, где встретился с руководителями некоторых крупнейших финансовых организаций страны. Там, в конференц-зале на Манхэттене, он возомнил, что снова оказался в тайном кабинете Пентагона, как в 2007 г., и рассказывал титанам индустрии, какая огромная проблема стоит перед ними. Правда, ему простили это заблуждение.
АНБ уже делилось некоторой информацией о цифровых угрозах с банками через некоммерческую организацию, которая получила название Центра анализа и обмена информацией и была создана по инициативе самих банков. Эта система не работала в реальном времени, но она помогала банкам не отставать от современных тенденций в сфере безопасности и иногда получать ранние предупреждения о типах вредоносного ПО и методах взлома. Другие компании тоже создавали подобные центры для объединения своих коллективных знаний, однако считалось, что банки достигли лучших результатов в этой деятельности, поскольку могли потерять очень много (миллиарды долларов ежегодно вследствие киберкраж), а кроме того, их работа сильно зависела от сетей передачи данных.
Александер рассказал банкирам, что хочет расширить программу обмена информацией DIB и на банковский сектор, но на этот раз использовать одну хитрость. Александер объяснял, что будет намного легче обеспечить защиту компаний, если они позволят АНБ установить в своих сетях оборудование для наблюдения. Выкинут посредника. Дадут аналитикам из Форт-Мида прямую линию на Уолл-стрит.
В комнате повисла тишина. Руководители скептически переглядывались. Неужели этот человек говорит серьезно?
«Они подумали, что он сумасшедший, – говорит финансовый директор, присутствовавший на том совещании и встречавший Александера раньше. – Ведь он вел речь о частных сетях. Атаки, которые мы наблюдали в финансовом секторе, обычно проводились в Интернете в точке взаимодействия с клиентами – на сайты онлайн-банков или на сайт Nasdaq». Эти сайты подвергались в последние годы так называемым DDOS-атакам, которые перегружают серверы информационными запросами, что приводит к нарушению их работы, но не уничтожает данные о счетах, хранящихся на внутренних банковских компьютерах. Бо́льшая часть этих данных передается по сетям, которые не имеют соединения с глобальным Интернетом или эти соединения крайне ограничены. «Просто сказать, что банки открыты для атак из Интернета, будет неправдой. И Федеральная резервная система, Министерство финансов, биржевые брокеры, платежные системы – все они отлично разбираются в общей инфраструктуре финансовых услуг и в том, как она работает. Александер этого не понимал совершенно».
Компании, оказывающие финансовые услуги, не были равнодушны к киберугрозам. Две трети американских банков сообщили, что они подвергались DDOS-атакам, говорится в одном исследовании. Однако Александер предлагал компаниям взять на себя неоправданный риск. Он пытался внедрить в их компьютеры своих шпионов. Если бы о такой операции стало известно, политические последствия были бы чудовищными. Более того, компании могли понести ответственность за незаконную слежку, если бы агентство установило свое оборудования без судебного предписания.
Даже если бы банки пустили АНБ в свои сети, остается весьма спорным вопрос, как много агентство могло сообщить им того, чего они еще не знали из своих источников. Многие крупные американские банки создали собственные службы безопасности для отслеживания банковских краж и мошеннических действий с кредитными картами. Суммы денег, которые финансовые организации ежегодно теряют вследствие киберпреступлений, варьируют, по разным оценкам, в диапазоне от сотен миллионов до миллиардов долларов в зависимости от типа и масштаба преступления. Розыском хакерских банд, которые пытаются проникнуть в банковские сети и украсть деньги или осуществить мошеннические транзакции с кредитных карт, занимается ФБР, и бюро старается делиться с финансовыми организациями получаемой информацией. Однако зачастую специалисты из корпоративных служб безопасности опережают федеральных агентов.
В 2009 г. в штаб-квартире ФБР в Вашингтоне прошла встреча, на которой присутствовали около 30 чиновников из правоохранительных органов и разведслужб и сотрудники служб безопасности ведущих американских банков. «Всю первую часть встречи мы пытались выяснить, как происходит обмен информацией между службами финансового сектора и государственными службами, – говорит Стив Чабински, который был помощником заместителя директора ФБР по вопросам кибербезопасности, а теперь работает в частной компании CrowdStrike. – Все только глубоко вздыхали».
«Вы хотите от нас честности? – спросил представитель банковского совета по обмену информацией, созданного для общения между банками и властями. – Обмен осуществляется не лучшим образом. Мы добровольно передаем вам всю нашу информацию и ничего не получаем взамен».
ФБР возражало, утверждая, что только что передало банкам информацию о цифровых угрозах, в том числе список подозрительных интернет-адресов, связанных с киберпреступниками. На создание этого отчета было потрачено много усилий. Некоторые из представленных в нем сведений имели служебный гриф или даже были засекречены.
«Хорошо, – ответил представитель банка, – если это все, что вы можете, то мы в затруднительном положении. Ведь все эти сведения нам уже известны».
Банки обмениваются информацией друг с другом и покупают ее у частных информационно-аналитических компаний. Правительственные чиновники начали осознавать, что они не владеют монополией на сбор информации. Чабински сказал, что ФБР решило передавать банкам сводки о тех делах, которыми оно занималось, чтобы банки могли оценить глубину знаний бюро. Оказалось, что банки отслеживали каждое дело из этого списка, за исключением одного. Хакеры нацелились на сеть автоматического клирингового центра – электронной системы, которая обрабатывала основную массу транзакций, в том числе прямые депозиты, платежи по кредитным и дебетовым картам, электронные переводы средств между счетами. После кражи списка имен и паролей людей, использующих сеть, воры могли перевести деньги с множества счетов на общую сумму $400 млн. Банки уже были осведомлены, что хакеры охотились на клиринговую сеть, но не знали о масштабах атаки и конкретных методах похищения учетных данных. ФБР смогло определить, что это были за методы. Банки были благодарны за представленную им информацию. Они смогли устранить слабые места в своих системах безопасности. Но это был редкий случай, когда ФБР знало что-то, чего не знали сами банки.
Спецслужбы неохотно затевают преследование киберпреступников, особенно когда мошенники находятся в странах со слабым законодательством в сфере киберпреступлений, с которыми у США нет договоренностей об экстрадиции подозреваемых. «Русские предупредят хакеров о том, что мы следим за ними, и предложат изменить имена, так что нам будет труднее их найти», – говорит один из руководителей правоохранительных органов, работавший над расследованием киберпреступлений. В результате банки оказываются в незавидном положении, когда им приходиться рассчитывать только на свои силы в противостоянии с криминалом, амбиции и масштабы активности которого растут изо дня в день. Правоохранительные органы показали свое бессилие в сдерживании преступной деятельности.

 

Руководители финансовых организаций не поддержали план Александера по установке наблюдательного оборудования в их сетях. Но не смогли остановить его более масштабную кампанию. Вернувшись в Вашингтон, он пролоббировал решение о передаче АНБ полномочий по защите других критических отраслей экономики. Первым в списке был электроэнергетический сектор, следующим шло коммунальное водоснабжение. «Он хотел возвести стену вокруг важнейших организаций Америки… и установить оборудование для наблюдения в их сетях», – говорит бывший чиновник Администрации. Программа Tranche 2 была мертва, а пилотная программа DIB подорвала исключительную репутацию АНБ, но Александер активно продолжал свою работу. И главным образом, при поддержке Администрации президента. Пилотная программа удержалась от полного провала. Некоторые чиновники Администрации, в том числе из Министерства внутренней безопасности, говорили, что программа показала возможность организации передачи информации компаниям через отобранных властями посредников. Оказалось, что для защиты киберпространства они могут работать в союзе, каким бы непростым он не был. И хотя данные АНБ позволили выявить всего две уникальные угрозы, это все же лучше, чем ничего, утверждали эти чиновники.
Министерство внутренней безопасности получало номинальный контроль над расширяющейся DIB и открывало доступ к программе для необоронных компаний, благополучие которых было признано важным для национальной и экономической безопасности США. Правительство выбирает компании, нуждающиеся в особой защите, а информация об угрозах и большая часть технического анализа вредоносного ПО и методов взлома по прежнему остается прерогативой АНБ, работающего совместно с ФБР, деятельность и бюджеты которого были в значительно степени переориентированы с антитеррористической деятельности на кибербезопасность. По состоянию на 2013 г. в АНБ работало больше 1000 математиков – больше чем в любой другой организации США, более 900 кандидатов наук и более 400 компьютерных специалистов. Мозги и мускулы для обеспечения государственной киберобороны продолжали поступать из АНБ, и, возможно, так будет всегда.
Да, произошел бюрократический скандал, но в итоге власти усилили контроль над защитой киберпространства и рассматривают Интернет как стратегическое национальное достояние, как и обещал Обама в своей речи, произнесенной в Белом доме в мае 2009 г. Александер знал, что его агентство не сможет следить за каждой угрозой в Интернете; ему по-прежнему необходима информация от компаний. Поэтому он усиливал свое давление на общество. В своих речах и выступлениях в конгрессе он предупреждал о том, что хакеры совершенствуются, что количество киберпреступлений растет и что компании плохо оснащены для того, чтобы защитить себя. Он требовал усиления государственного регулирования в этой сфере, чтобы заставить компании повысить свои стандарты безопасности и предоставить судебный иммунитет тем из них, кто передает в АНБ для изучения информацию о коммуникациях своих клиентов без судебного предписания. Александер называл киберпреступность и шпионаж «величайшим перераспределением богатства в истории» и предупреждал, что до тех пор, пока американский бизнес не укрепит свою цифровую оборону, государство стоит перед перспективой «кибернетического Перл-Харбора».
«Мы видим возрастающий уровень активности в сетях, – предостерегал Александер на конференции по безопасности, проходившей в 2013 г. в Канаде, через два года после его встречи с руководителями финансовых организаций. – Я обеспокоен тем, что скоро будет преодолен предел, дальше которого частный сектор уже не сможет противостоять угрозе, и на сцену придется выйти государственным службам».
Некоторые компании уловили идею. Но не в том смысле, какой вкладывал Александер. Они прекрасно знали, что атаки хакеров усиливаются. Они видели, как те укореняются в их сетях и каждый день похищают данные. Но они решили, что, несмотря на громкие речи представителей АНБ, государство не сможет никого защитить. Компаниям придется защищаться самим.
Назад: 9. Американская картечь
Дальше: 11. Корпоративная контратака

лорщшг
лорпд