Ограничить кибер-войну?

Все это снова возвращает нас к кибервойне. Чтобы определить нашу государственную политику по отношению к контролю над кибервооружением или ограничениям в сфере киберактивности, мы прежде всего должны спросить себя, дает ли это новая форма ведения войны такие преимущества США перед другими странами, поскольку нам бы не хотелось испытать какое-либо международное давление. Если мы считаем, что обладаем таким односторонним преимуществом, нам не стоит задавать себе вопросы о том, какого рода ограничения можно установить, возможен ли контроль над их соблюдением и т. д. Ранее я выдвинул предположение о том, что для США было бы лучше, если бы кибероружие никогда не существовало, учитывая все наши уязвимые места. Прежде чем обратиться к теме кибервоенного контроля, давайте рассмотрим четыре фактора, в силу которых мы более уязвимы, чем страны, способные использовать кибероружие против нас.

Во-первых, сейчас Соединенные Штаты больше зависят от киберуправляемых систем, чем наши вероятные противники. Одни страны, такие как Южная Корея или Эстония, возможно, больше используют Интернет для покупок. Другие, допустим Арабские Эмираты, имеют больше мобильных интернет-устройств на душу населения. Но нигде компьютерные сети так широко не используются для управления энергетическими сетями, трубопроводами, авиалиниями, железными дорогами, распределением потребительских товаров, банковской системой и работой военных подрядчиков.

Во-вторых, лишь в некоторых странах (среди которых, пожалуй, нет наших потенциальных противников) важнейшие национальные системы принадлежат и управляются частными компаниями.

В-третьих, нет других таких промышленно и технологически развитых стран, в которых владельцы и управляющие частных компаний обладают достаточным политическим весом, чтобы предотвращать или ослаблять государственное регулирование своей деятельности. Американская политическая система основана на хорошо финансируемом лоббировании и добровольном финансировании политических кампаний, и частные промышленные группы обладают в ней большой властью, особенно когда дело касается попыток государственного регулирования.

В-четвертых, американские военные весьма уязвимы перед кибератакой. Вооруженные силы США сетецентричны, то есть доступ возможен к базам данных и далее к управлению любой военной организации. Вместе с доступом к информационным системам появилась и зависимость от них. Маленьким предвестником грядущих проблем стали события конца 2009 года. Иракские повстанцы использовали для наблюдения за источниками видеосигнала американских беспилотных самолетов Predator через незашифрованные каналы связи программу стоимостью 26 долларов. Хоть это напрямую и не угрожало американским войскам, обнаружение проблемы подняло ряд вопросов об излюбленном новом оружии Пентагона. А что, если бы кто-нибудь создал помехи в незашифрованном сигнале, заставив беспилотный самолет вернуться домой? Американские военные лишились бы одного из самых ценных инструментов, а дешевая готовая программа превзошла бы продукт, в исследования и разработку которого вложены миллионы долларов. Вооруженные силы США помимо зависимости от сетей больше зависят и от частных подрядчиков, чем любой вероятный противник. Даже если сети военных были бы защищенными и надежными, подрядчики, которые часто полагаются на общедоступный Интернет, этим могут похвастаться не всегда. Все эти асимметрии, взятые вместе, говорят о том, что если бы мы начали кибервойну, противник нанес бы нам больший ущерб, чем мы ему. При таких асимметричных уязвимостях некоторые эффективные ограничения возможных действий противника отвечают интересам США. Однако чтобы перевести теорию в практику, потребуется определить, какого рода деятельность должна быть разрешена, а какая запрещена.

Нередко в переговорах о контроле над вооружениями сложно достичь соглашения по поводу самых основ, например, что именно мы хотим ограничивать. Я месяцами сидел за столом переговоров со своими советскими коллегами, пытаясь дать определение понятию «военный персонал». Здесь нам не нужны такие промедления. Давайте примем определение, использованное мною в первой главе, но сформулируем его на языке договоров: «Кибервойна — это несанкционированное проникновение, предпринятое правительством, по его поручению или при его поддержке, в компьютерную сеть другой страны или любая другая воздействующая на компьютерную систему деятельность, цель которой — добавить, изменить, фальсифицировать данные или вызвать нарушение работы или повреждение компьютера, сетевого устройства или объектов компьютерных систем управления».

Учитывая это определение и асимметричные уязвимости США, рассмотрим, можно ли применить к киберпространству успешный опыт контроля над другими формами вооружений или нужны новые идеи, применимые только к данной сфере, чтобы сформировать базис для контроля над кибервооружениями? На какие просчеты прошлого мы должны обращать особое внимание, думая об ограничениях кибероружия? Какие международные соглашения, ограничивающие некоторые аспекты кибервойны, были бы выгодными для США, а также выполнимыми и поддающимися адекватной проверке?