Помимо банковской системы и пассажирского авиатранспорта могут быть и другие ограничения. В наших учениях Киберкомандованию приказано было не затрагивать военную сеть управления и систему обороны. Почему же нельзя было трогать эти объекты?
6. Эскапационный контропь
Во время холодной войны я часто принимал участие в учениях, когда команда служащих госбезопасности тайно и в спешке отправлялась по срочному заданию из Вашингтона в глухие малодоступные места. Однажды мы занимались тем же, что предлагал компьютер из фильма «Военные игры» (War Games) — разыгрывали термоядерную войну. В целом это был очень неприятный опыт, поскольку по сценарию на земле от ядерных взрывов погибли миллионы людей. Почти всегда нашей задачей было завершить войну и начать восстановление. Самое сложное в конце войны — найти тех, кто выжил и командует войсками другой стороны. Кто руководит советскими вооруженными силами и как нам переговорить, не выдав свою дислокацию? Отчасти задачу усложнял тот факт, что человек, с которым мы вели переговоры, как выяснялось, на самом деле не контролировал некоторые подразделения советских вооруженных сил, например ядерные подводные лодки. Такой неприятный опыт научил нас следующему—когда мы уничтожаем систему контроля и управления противника, мы лишаем его возможности отдать приказ войскам сложить оружие. Изолированные командующие, отрезанные от высших звеньев управления или не признающие власти преемника, берут инициативу в свои руки и часто решают продолжать борьбу. Одинокие японские воины периодически появлялись на отдаленных островах Тихого океана еще в 1950-х, не зная, что император уже много лет назад приказал им сдаться. Подобное может произойти и кибервойне. Если в результате атаки будет уничтожена система военного командования и контроля, предотвратить наступательную войну будет сложно. В большинстве вооруженных сил полномочия переходят командующему на местах, если он не может связаться с начальством. Даже при функционирующей системе на местах могут решить, что власть захватили враги, которые отдают ложные приказы, в связи с чем командование передадут местному генералу, пока он не установит надежную связь с начальством. Подобная ситуация ярко представлена в фильме «Багровый прилив» (Crimson Tide), где капитан атомной подводной лодки сначала получает приказ запускать ядерные ракеты, а затем — не запускать. Будучи не в состоянии установить подлинность последнего приказа он, опасаясь, что это поддельный приказ, отправленный русскими, считает, что требуется произвести запуск.
На ядерных учениях мы постоянно приходили к выводу о том, что не нужно было наносить «обезглавливающий удар», после которого военное руководство противника не может связаться ни с нами, ни с собственными войсками. В кибервойне, возможно, стоит отключить некоторые части от высшего командования или закрыть противнику доступ к информации о происходящем. Но, выбирая, какие части «отрубать», необходимо помнить, что без связи с командованием подразделение с большой долей вероятности перейдет в наступление по собственной инициативе. Поэтому кибератаки нужно проводить очень внимательно, чтобы оставался канал связи для переговоров, а командование противника имело возможность приказать прекратить борьбу.
В наших с вами учениях запрещено было наносить удар по сетям противовоздушной обороны. Основанием такого запрета служит эскалационный контроль. В шедевре военной стратегии «Об эскалации» (1965) Кан утверждал: если ваша цель — завершить войну до тотального разрушения или вынужденной капитуляции противника, вы можете просигнализировать об этом, нанося удар по одним мишеням и не трогая другие. Допустим, вы хотите дать знать, что ваши намерения ограниченны, причем так, чтобы противник не предположил иное и не счел, что терять уже нечего.
Из концепции эскалационного контроля можно сделать кое-какие выводы и для кибервойны. Кибератака на национальную систему противовоздушной обороны заставила бы руководство страны сделать вывод о планируемых воздушных атаках. В учениях «Южно-Китайское море» американские авианосцы располагались совсем близко. Если китайские военные подумают, что с этих авианосцев готовы нанести удар, они наверняка пойдут на упреждающие меры и потопят их. Таким образом, кибератака на систему противовоздушной обороны привела бы к наступательной войне, которой мы так старались избежать. Даже попытка проникновения в эту сеть для размещения лазеек и логических бомб может быть обнаружена и истолкована как подготовка к надвигающейся бомбардировке. Так что в эпоху обострения даже приготовление к запуску кибератаки толкуется превратно, поэтому такие меры следует предпринимать заблаговременно. Герман Кан, Томас Шеллинг, Уильям Кауфман и другие «всадники Армагеддона» много размышляли о том, как контролировать ядерную эскалацию, которая начинается от напряжения, ведущего к кризису, проходит стадии предупреждения, первого применения и окончания войны. Первоначально специалисты по ядерной стратегии считали, что этот процесс должен развиваться медленно, сопровождаемый дипломатическими попытками остановить конфликт на каждом данном этапе. Они обсуждали также концепцию эскалационного доминирования, которую я уже упоминал. Согласно этой стратегии, одна из сторон заявляет: «Мы не хотим вести мелкие военные действия, которые постепенно будут разрастаться. Если вы хотите сражаться с нами, готовьтесь к масштабному и разрушительному сражению». Похоже на ва-банк в покере в надежде, что соперник сдастся, а не станет рисковать всеми своими деньгами. За одним лишь исключением: в эскалационном доминировании вы действительно перепрыгиваете несколько ступеней лестницы и наносите серьезный урон противнику. Этот шаг вы сопровождаете угрозами причинить более значительный вред, если не остановиться прямо здесь и прямо сейчас. Тот факт, что вы уже нанесли урон, может заставить противника почувствовать необходимость ответить таким же образом. Или, если он благоразумен, то поймет, что ставки слишком высоки и ему грозят более серьезные потери. В учениях «Южно-Китайское море» Народно-освободительная армия Китая решила, что стране необходимо эскалационное доминирование. В ответ на кибератаку электросети в юго-восточной части Китая они не только нанесли удар по энергосистеме Западного побережья, но и разрушили глобальную внутреннюю сеть Министерства обороны США, повредили базы данных расчетных палат и направили дополнительные военные части в зону конфликта в Южно-Китайском море.
Игра затянулась, и руководству Соединенных Штатов нужно было решить, продолжать ли нести потери в следующем раунде кибервоенной эскалации. Америка находилась в невыгодном положении, поскольку в случае продолжения и обострения кибервойны она в любом случае потеряла бы больше. Поэтому Соединенные Штаты стремились к быстрому дипломатическому соглашению. Эскалационное доминирование — верный ход со стороны Китая, поскольку эскалация продемонстрировала, что США гораздо чувствительнее к кибератаке и дальнейшее обострение конфликта лишь ухудшило бы положение американской команды. Америка могла бы попытаться заблокировать кибертрафик, идущий из Китая. Но поскольку источники китайских атак располагались на территории США, а системы контроля в интернет-магистралях еще не существовало, следующую, более масштабную китайскую кибератаку остановить было бы очень сложно.
Короче говоря, если собираетесь бросить киберкамень, убедитесь, что в вашем доме меньше стекла, чем у того парня, или что окна у вас пуленепробиваемые.
7. позитивный контроль и случайная война
Затронутая выше проблема — сохранение возможности противника осуществлять командование и контроль — поднимает еще один вопрос: «Кто обладает полномочиями вторгаться в сети и применять кибероружие?» Ранее в этой главе я предположил, что для изменения банковской информации может понадобиться санкция членов кабинета, и все же мы не уверены, знает ли президент о логических бомбах в сетях разных стран, которые, возможно, разместили Соединенные Штаты. Оба этих факта указывают на большую неопределенность в вопросах о том, кто обладает полномочиями вести кибервойну и заниматься подготовкой поля боя.
В ядерной стратегии поднималось два главных вопроса — кто и что может сделать, которые объединяются понятием «позитивный контроль». Первый вопрос прост: «Может ли какой-нибудь американский офицер, имеющий доступ к ядерному оружию, использовать это оружие, даже если не имеет таких полномочий?» Чтобы предотвратить такую проблему и чтобы никто не украл и не взорвал ядерную бомбу, бомба была оборудована тщательно продуманным электронным механизмом. Электроника блокировала бомбу до тех пор, пока на устройство не поступал специальный буквенно-цифровой код. Часто требовалось, чтобы два офицера подтвердили код и одновременно повернули ключи для снятия блокировки — так называемый контроль «с двумя ключами». Часть кода хранилась вдали от бомбы и высылалась тем, кто должен его разблокировать. Эти и так сложные системы с годами еще более усложнялись. Соединенные Штаты частично поделились такой технологией с некоторыми ядерными державами.