19 сентября 2011 г. в агентстве С3 НАТО в Брюсселе состоялся семинар, имеющий принципиальное значение для киберобороны НАТО. По его результатам было принято решение запустить новый проект, направленный на создание пула государств – членов альянса для обмена информацией в сфере киберобороны и киберситуационной осведомленности.
На следующий день были решены все формальности, связанные с достижением полных операционных возможностей киберобороны НАТО, которые должны были быть запущены к концу 2012 г. «Новые кибервозможности» – это один из 11 приоритетных проектов НАТО, который оценивался в €28 млн.
На этом совместные кибердела США и Западной Европы не заканчиваются. 3 ноября 2011 г. состоялись первые совместные киберманевры США и ЕС под названием Cyber Atlantic 2011. Они имели более широкий масштаб, хотя центр управления маневрами находился в Брюсселе на базе НАТО. Со стороны ЕС приняло участие более 20 государств, из них 16 являлись активными игроками, а остальные были «наблюдателями» под руководством Европейской комиссии. Каждая страна делегировала двух «игроков» и одного «хозяина».
На этих киберманеврах было два сценария: 1) кибератаки, целью которых являлась публикация онлайн секретной информации агентств безопасности государств ЕС; 2) повреждение систем данных и контроля энергетической инфраструктуры.
Учения прошли на основе уроков, полученных из первых всеевропейских киберманевров Cyber Europe 2010, проводимых Европейским Агентством безопасности сетей и информации ENISA. На них 70 экспертов из стран ЕС совместно работали над отражением 300 симулированных кибератак и вырабатывали режим координации между странами. В результате было принято решение выработать более четкий алгоритм взаимодействия между странами, т. к. каждая имеет собственную организацию компетентных ведомств и контакты между ними могут быть жизненно важными при критических ситуациях. Кроме того, было принято решение создать одну или многочисленные точки контакта на уровне ЕС и запустить дорожную карту по всеевропейским учениям, где была бы прописана стандартная процедура и структуры для широкой шкалы возможных событий.
С каждым годом взаимодействие США и НАТО в области киберпространства усиливалось.
Особый интерес представляют военные маневры Trident Juncture («Соединение Трезубца»), прошедшие осенью 2015 г.
Майор первой бронетанковой дивизии США, обладающий ученой степенью, Джоржд М. Томлин считает, что для специалистов по информационным операциям, давно привыкших включать сообщения в газеты и радиопередачи принимающей страны, сейчас также обязательно учитывать онлайн-ресурсы, чтобы привлекать более широкую аудиторию, нацеленную на их постоянный информационный контент. Главы всех подразделений, учитывая этот парадигмальный сдвиг, должны понять, как установить доверие и набрать популярность, используя социальные сети, учитывая то, что они эффективны при формировании информационной среды в современных военных операциях.
Во время учений военнослужащие НАТО из разных стран учились понимать важность социальных сетей как компонента боевых действий на сегодняшнем поле боя. Штаб-квартира учений располагалась в Брунссуме, Нидерланды, но командные посты также были задействованы в Канаде, Норвегии, Португалии и Испании. Фиктивная страна Камон вторглась в соседнюю страну – Титан, чтобы установить «зону защиты» для этнических Клоридов, которые являются меньшинством в Титане, но этническим большинством в Камоне. Камонский президент Векаву также обвинил правительство Титана в постройке плотин, ограничивающих течение Нила в Камон, что было поводом для войны. Под руководством резолюции Совета Безопасности ООН НАТО развернуло Объединенные вооруженные силы для восстановления границ с Титаном и повышения стабильности во всем регионе.
Разработчики моделирования НАТО загрузили два приложения для социальной сети в пробный Интранет, а контроллеры поощряли дружелюбных игроков во всех эшелонах к созданию профилей. Оппозиционные силы и нейтральные игроки также создавали аккаунты. Большинство участников сразу же узнали формат двух приложений. Чат, похожий на Твиттер, ограничивал количество символов до 120. Профиль, похожий на Фейсбук, не ограничивал страницу участника определенным количеством символов, он также включал опцию размещения фото и ссылок на другие сайты. Динамика этих приложений вызвала у Trident Juncture необходимость утилизации обеих платформ в командных упражнениях. В итоге специалисты по информационным операциям получили практические знания о последствиях влияния – и хорошего, и плохого – социальных сетей на современное информационное измерение войны.
Более того, Trident Juncture продемонстрировал, что распространение мыслей через социальные сети не так действенно, как их распространение со стороны оппозиционного лидера в среде жителей принимающей страны (следовательно, ставка на создание контролируемой оппозиции в других странах будет сохраняться).
Простые сообщения типа «НАТО находится здесь в соответствии резолюции Совета Безопасности ООН» не смогли получить необходимый статус в целевой аудитории. Без подписчиков в социальных сетях сообщения НАТО не входили бы во множество личных онлайн-потоков и быстро исчезали бы с главной страницы приложения.
Так же, как в частных встречах, сотрудники информационных операций должны быть готовы к размещению своих сообщений в социальных сетях. Например, в официальном посте Chatter американской бригады говорилось, что командир встретился с мэром города, чтобы обсудить проблемы безопасности, и предложил комментарий от одного пользователя из принимающей страны, который попросил бригаду подробно рассказать о конкретных проблемах безопасности. Этот комментарий позволил представителю бригады участвовать в виртуальном разговоре через серию комментариев. Что еще более важно для информационной кампании: это позволило представителю вставить целенаправленные реплики о соблюдении верховенства права и этнической терпимости, которые звучали бы как поговорки, если бы они были написаны как независимые посты.
Как и популярная социальная сеть Твиттер, Chatter, установленный на время проведения маневров, позволял пользователям превращать темы в тренды, используя хештег. Использование данной функции вызвало интерес к теме как к части информационной кампании, влияющей на местное население по поддержке специфической инициативы. Естественно, штаб-квартира дружественных сил будет использовать это, но в течение Trident Juncture лучшим подтверждением эффективности хештегов стало то, что данная информация попадает и к нейтральным игрокам.
Chatter управляет аккаунтом @ChazfromTigray, используя хештег “#TransportationMatters” для оказания влияния на многонациональную дивизию, чтобы профинансировать дорожный проект в фиктивном Титане, провинции Тиграй. Когда учения начались, Chaz первоначально жаловался в своих сообщениях на то, что путь от дома до работы занимает много времени из-за плохих дорог в провинции. Chaz жаловался на силы НАТО, которые создавали большое скопление на дорогах и увеличили число аварий. Штаб дивизии, ответственный за провинцию Тиграй, не комментировал посты Chaz, но другие пользователи Chatter прокомментировали его посты в основном, чтобы поиздеваться над ним за то, что он изо всех сил мусолил монотонную тему #TransportationMatters. Однако каждый раз, когда кто-то комментировал пост Chaz или упоминал его имя в своем посте, они ненароком увеличивали популярность Chaz. К концу первой недели тема @ChazfromTigray стала вторым по популярности профилем (по данным собственной статистики Chatter) из 600 активных аккаунтов.
Аналитик информационных операций из отдела персонала заметил возросшую популярность Chaz в Chatter и определил приоритетность проекта дорожного покрытия для Тиграй во время заседания рабочей группы по информационной деятельности подразделения. Два дня спустя военные инженеры прибыли, чтобы расширить дорогу и залатать выбоины. Сотрудник отдела по связям с общественностью (PAO) опубликовал пресс-релиз о проекте и процитировал командующего бригады: «Мы рады помочь улучшить местную инфраструктуру, потому что мы знаем, что транспорт важен для жителей Тиграя». Обмен сообщениями Chaz оказался настолько эффективным, что это не только определило приоритеты гражданских и военных дел дивизии, но и бригадный командир использовал хештег Chaz в своем публичном заявлении. Это представляет собой серьезную проблему для планировщиков ввода-вывода данных: как самим стать @ChazfromTigray и генерировать эффективные хештеги, которые будут устранять нейтральных или враждебных пользователей приложений для поддержки усилий команды?
Непосредственные методы измерения влияния проекта на местное поведение и отношение к НАТО и правительству Титана включали мониторинг социальных сетей для выявления хештегов, связанных с военным присутствием союзников, этнической терпимостью и протитанскими институтами и лидерами.
Продолжение учений было связано с реакцией против НАТО. Некоторые пользователи Chatter – в частности @RegisKT, используемая как знак Kamon Today’s (вечерних новостей), – явно выступали против вмешательства НАТО в региональные дела. Дизайнеры-симуляторы выпускали ежедневную газету Kamon Today для пропаганды против НАТО и правительства Титана, а Регис сразу же подписался на посты Chatter, в которых содержались воинственные цитаты президента Веккау и дезинформация о военных действиях союзников. К восьмому дню учений Регис стал третьим самым популярным аккаунтом Chatter, в то время как официальные страницы НАТО по сравнению с ним затухали. Применяя собственную метрику штаб-квартиры, противник выигрывал информационную кампанию. В ответ контролеры упражнений закрыли около трети учетных записей Chatter и не позволили пользователям Intranet создавать новые профили.
Реакция контролеров оказалась неудачной. Если они полагали, что, ограничив белый шум, они могли бы позволить офицерам по общественным связям и офицерам по информационным операциям более эффективно формировать информационную среду, тогда они удаляли бы реальность из симуляции. Из этого следует вывод, что, несмотря на то, что 600 профилей для учений в НАТО – это ничтожное количество по сравнению с миллионами пользователей Twitter и Facebook, которые будут создавать белый шум на реальном операционном поле, офицеры по связям с общественностью и офицеры по информационным операциям должны начать серьезно рассматривать проблемы навигации вокруг белого шума и вопросы реагирования на самые вопиющие информационные атаки против НАТО в социальных сетях.
Во время Trident Juncture Facepage не вызывала такого же уровня популярности, как Chatter среди участников учений, а контролеры не удаляли самые саркастические учетные записи Facepage даже после того, как они удалили треть профилей Chatter. Одна из теорий, объясняющих отсутствие популярности Facepage, заключается в том, что Chatter стимулировал пользователей писать краткие сообщения на 120 символов, в то время как Facepage разрешал своим членам вводить длинные сообщения или вставлять целые истории в средствах массовой информации, определяемые пользователями социальных сетей как забавные. В нескольких случаях на Facepage длинные сообщения из штаб-квартиры подразделений об усилиях НАТО по улучшению ситуации с безопасностью в Титане вызвали одно и то же мнение последователей: «это слишком долго читать». Аналогичным образом, появление ежедневных записей в Facepage от лица вице-президента Камона получило широкую критику: «бла-бла-бла-бла – это пропаганда».
Среди выводов учений отмечается, что оптимально было бы сотрудничать с маркетинговой или PR-фирмой, чтобы обыграть оппозицию и СМИ. Современные бизнес-технологии могли бы показать экспертам по информационным операциям наиболее искушенную информационную среду, основанную на текущих онлайн-тенденциях.
Также опыт учений показал, что использование Facepage являлось нерелевантным для продвижения информационных кампаний НАТО, но существующие ресурсы вроде Facebook специалистами по информационным операциям не должны произвольно сбрасываться со счетов. Интернет-пользователи в некоторых культурах продолжают предпочитать детальное чтение статей, а ученые и политические деятели во многих обществах надеются на открытый доступ к форумам, где содержательное обсуждение не ограничивается постом в 120 символов. В течение холодной войны, например, специалисты радиостанции Voice of America обнаружили, что их аудитории в Советском Союзе в подавляющем большинстве нравились длинные монологи на тему иностранной политики от американских репортеров. В Латинской Америке, с другой стороны, постоянные слушатели «Голоса Америки» предпочитали короткие новости, которые они могли бы слушать во время дневного перерыва на кофе.
Это говорит о необходимости диверсифицированного подхода к разным целевым группам, так как жители разных стран имеют культурные традиции и убеждения, которые могут значительно отличаться друг от друга.
Регулярными специализированными совместными учениями США и НАТО являются «Скрещенные мечи» и «Запертые щиты». Первые маневры «Скрещенные мечи» (Crossed Swords) состоялись в феврале 2017 г., когда впервые была использована модель киберкинетического вовлечения. Испытателям на проникновение в системы, профессионалам в области цифрового боя и силам специального назначения было поручено восстановить контроль над определенной военной системой. Это единственное в своем роде киберкинетическое взаимодействие означало, что специальные подразделения использовались для получения вещественных доказательств, включая электронное оборудование и устройства хранения данных, как будто это было бы в реальной миссии сотрудничества с профессионалами цифровой криминалистики на поле боя.
На следующий год учения НАТО по киберобороне Crossed Swords 2018 проходили 8 февраля 2018 г.. Как объяснял автор идеи учений и технический директор CERT.LV, специалист в сфере безопасности IT Берхардс Блумбергс, «в этом году в учениях использовались как мобильные технологии для определения цели, так и наблюдение при помощи беспилотных летательных аппаратов и установка сенсоров 5G для определения места нахождения цели и получения дополнительной информации. Операция в киберпространстве, даже самая масштабная, возможна только в рамках доступной связи». Блумбергс добавил, что «чтобы операция прошла успешно, в случаях, когда выбранная цель непосредственно недоступна в киберпространстве, необходимо физически задействовать также военные подразделения с тактическими преимуществами, оборудованные новейшими технологиями».
Эти учения, организованные Объединенным центром киберобороны НАТО и CERT.LV, были реализованы в сотрудничестве с Министерством обороны, Национальными вооруженными силами, Подразделением киберобороны, Силами обороны Эстонии, Таллинским техническим университетом и промышленными партнерами из Латвийского Мобильного Телефона, BHC, Grey Cortex, Stamus Networks, Threod, Defendec и Martem.
В 2019 г. принимало участие 100 человек из 21 страны. Для сравнения, в 2018 г. в аналогичных учениях были задействованы специалисты из 15 стран. На этот раз учения были посвящены улучшению навыков команд по предотвращению, обнаружению и ответным мерам полномасштабных киберопераций с учетом опыта предыдущих маневров.
Киберманевры НАТО «Скрещенные мечи» в 2020 г. проходили с 21 по 23 января, в них приняло участие более 120 технических экспертов, представителей спецназа и военных операторов 26 стран. Они работали над проверкой навыков, необходимых для выполнения киберопераций, включая тестирование наступательных кибернетических возможностей. Представители шести стран вошли в Киберкомандование учений, которое базировалось в специальном Центре передового опыта по кооперативной киберобороне (CCDCOE) в Таллине.
После проведения учений было заявлено, что был достигнут новый уровень сотрудничества, а в ходе самих маневров технические навыки сочетались с кинетической силой и участием членов киберкоманд.
Согласно пресс-релизу, маневры «Скрещенные мечи» фокусируются на координации и сотрудничестве между гражданскими и военными специалистами в рамках «экспериментальных, но в то же время подлинных и сложных» совместных кибернетических операций. Также было сказано, что для многих участников «Скрещенные мечи» являются подготовкой к маневрам «Запертые щиты» (Locked Shields), еще одному учению, организованному аккредитованной НАТО военной организацией «Центр передовых технологий киберзащиты». Там эксперты по кибербезопасности практикуют методы защиты критически важной инфраструктуры во время серьезной кибератаки.
Как указано в каталоге НАТО, «Запертые щиты» – это уникальное международное мероприятие по киберобороне, предлагающее самые сложные технические решения в мире. Ежегодные учения позволяют экспертам в области кибербезопасности повышать навыки защиты национальных IT-систем и критической инфраструктуры в режиме реального времени. Основное внимание уделяется реалистичным сценариям, передовым технологиям и моделированию всей сложности крупного киберинцидента, включая принятие стратегических решений, юридические и коммуникационные аспекты. Больше чем 1000 киберэкспертов из 30 стран принимали участие в Locked Shields – 2018. В дополнение к новым критическим компонентам инфраструктуры они включали также стратегическую игру, позволяющую странам-участницам отработать на практике всю цепочку командования в решении крупномасштабного киберинцидента.
Совместные учения «Кибермолния» проводились 13–26 марта 2019 г. В них участвовало 4500 человек из стран НАТО, а также Стратегического и Транспортного Командований США. Цель маневров состояла в тестировании новых ячеек, которые внедрялись в боевые командные структуры, и это было первое мероприятие такого рода.
Центр передового опыта НАТО по кооперативной киберобороне является одним из 19 специализированных структур подобного рода. Он размещен в столице Эстонии Таллине. Часто в высказываниях представителей НАТО или американских экспертов дается оценка, что решение по созданию такого центра именно в Эстонии было связано с инцидентом вокруг памятника советскому солдату в 2007 г. Якобы тогда хакеры из России обвалили киберинфраструктуру Эстонии – банки не смогли работать, серверы государственных служб были парализованы. На самом деле просьба о создании киберцентра в Таллине поступила гораздо раньше – в 2004 г., сразу же после вступления страны в альянс. В 2006 г. верховное командование окончательно одобрило это решение, и в 2007 г. начались переговоры о создании центра. Первый меморандум был подписан в мае 2008 г., а финансирование НАТО стало осуществлять после аккредитации в октябре 2008 г. Тогда центр получил статус международной военной организации.
В связи с этим возникает вопрос: не был ли миф о «русских хакерах» дополнительным пропагандистским элементом, который обеспечил устойчивое финансирование центра со стороны основных доноров их стран ЕС? Судя по тому, что в 2007 г. и позже в западных СМИ был резкий всплеск публикаций по этой теме, а эксперты НАТО и различных политических аналитических центров стран Западной Европы и США хором говорили о «русском вмешательстве» и необходимости создания эффективных мер безопасности, это предположение может быть вполне обоснованным.
С данным центром связано и появление так называемого Таллинского руководства по кибервойне.
Центр проводит как техническую подготовку специалистов, так и курсы по правовым вопросам в отношении действий в киберпространстве. В этой связи стоит напомнить, что четких международных норм в отношении Интернета, которые бы признали все страны ООН или хотя бы основные игроки в мировой политике, до сих пор не выработано. И работа Таллинского центра направлена на то, чтобы монополизировать исключительно западную юридическую точку зрения на этот вопрос.
Для этого на сайте центра выкладываются материалы, посвященные этой тематике, которые и обосновывают подходы НАТО к теме кибербезопасности.
Кроме того, с 2012 г. Центр регулярно проводит киберманевры, которые, исходя из специфики глобальной природы Интернета, не ограничиваются странами НАТО.
30 января 2018 г. Центр взял на себя функции по обучению и тренингам по кибертехнологиям сотрудников НАТО. При этом тесное взаимодействие, как и ранее, будет осуществляться с Командованием по трансформации союзников, которое находится на базе ВМС в Норфолке, США.
НАТО также готова уделять большое внимание информационной защите, а также новым инструментам взлома, эвфемистически называемым «возможностями». В 2017 г. начальник отдела кибербезопасности NCI (Communication and Information agency) НАТО Ян Уэст заявил, что «нам нужно настоящее техническое обновление».
Это является целью CP120 (CP, capability package «пакет возможностей»), который к 2024 году будет направлен на финансирование всего комплекса: от шифрования для тактического радио до облачного интегрированного хранилища для миллионов подозрительных киберсобытий, которые партнеры НАТО видят каждый день. В конце концов, сказал Уэст, НАТО переместится в общественное облако практически для всего, что НАТО делает в качестве альянса.