Когда отношения во время какого-нибудь будущего кризиса обострятся и кибервоины одной страны получат приказ послать сигнал потенциальному противнику с помощью размещенной заранее логической бомбы, предотвратит ли это надвигающуюся войну или, напротив, спровоцирует? Возможно, другая сторона пойдет по ложному следу и не сумеет понять, кто начал войну, в результате чего в конфликт будут втянуты другие страны. Инициировать войну способны кибервоины любой из стран, обладающих киберпотенциалом. С другой стороны, это может сделать и хакер, который решит воспользоваться кибероружием для развлечения, а не просто ради собственной выгоды, или же обнаружит и взорвет логическую бомбу, оставленную кем-то другим. А в результате разгорится кибервойна, невероятно стремительная и глобальная.
Когда американский президент посылает военных разбомбить лагерь террористов или завод по производству ядерного оружия в какой-нибудь стране, которая, быть может, и не сумеет дать отпор нашим вооруженным силам, но при небольших вложениях в собственный киберпотенциал они смогут в ответ разрушить международную финансовую систему, в целостности которой не слишком заинтересованы. Несопоставимость огромных затрат на вооружение и небольших в киберпотенциал побудят другие страны, а также, вероятно, преступные картели и террористические группировки развивать именно его.
Поскольку США изобрели Интернет, кибершпионаж и кибероружие, нам свойственна неявная заносчивость, в силу которой мы полагаем, что никто не способен победить Америку в кибервойне. Наши кибервоины и руководители из сферы кибербезопасности, наверное, успокаивают себя, полагая, что мы можем заметить надвигающуюся кибератаку. Может быть, они думают, что мы сумеем ее частично заблокировать, а потом ответить, и даже больше того. Но реальность такова, что крупная кибератака другой страны, скорее всего, начнется в США, так что мы не сможем увидеть ее приближение и заблокировать с помощью систем, которые имеются у нас сейчас или которые мы намерены ввести в эксплуатацию. Да, мы, пожалуй, сможем отреагировать таким же образом, но наша страна пострадает от масштабной кибератаки на гражданскую инфраструктуру, которая на недели выведет из строя энергосистему, остановит движение поездов и самолетов, взорвет трубопроводы и воспламенит нефтеперегонные заводы.
Реальность такова, что если американский президент захочет ответить тем же, ему придется обострить конфликт — придется пересечь границу кибернетической и наступательной войны. А сделав это, он обнаружит, что даже наши обычные силы киберзависимы. Зависимость американских вооруженных сил от киберсистем превосходит всестороннюю зависимость от них коммерческих инфраструктур. Подрядные организации, необходимые Америке для того, чтобы вести войну, может обездвижить кибератака. «Герметизированная» компьютерная сеть Министерства обороны может оказаться проницаемой и непригодной. Самые передовые технологии обычного вооружения, которые обеспечивают военное превосходство США (истребитель F-35 и GPS) могут внезапно выйти из строя. Мы не единственная страна, способная устанавливать логические бомбы.
Когда страна погрузится во мрак, жители будут дрожать от холода, исчезнут с прилавков продукты, а банкоматы перестанут выдавать наличные, когда все военные подразделения окажутся беспомощными и дела пойдут совсем скверно, что будет делать главнокомандующий? Вероятно, он назначит комиссию, которая станет расследовать, что пошло не так. Эта комиссия примется читать доклады других комиссий, одну из которых в 1996 году назначил Билл Клинтон, и с удивлением обнаружит, что это бедствие прогнозировали еще тогда. Они обратят внимание на совет, который дала президенту неправительственная комиссия 2008 года, — серьезно отнестись к угрозе кибервойны. При должном усердии они обнаружат и проведенное Национальной академии наук в 2009 году исследование о наступательной информационной войне, в котором политика в отношении кибервойны характеризовалась как «плохо согласованная, неразвитая и в высшей степени неопределенная».
Комиссия, собранная после катастрофы, специальный комитет конгресса или следующий президент, скорее всего, порекомендуют принять план, чтобы «подобное больше никогда не происходило». Поскольку мы сейчас знаем, что уже рекомендовано, что не сработало и почему, может быть, не стоит ждать катастрофы, чтобы принять план на случай кибервойны? Если отбросить все излишества и просто желательные аспекты, останется шесть простых шагов, которые нужно совершить сейчас и сразу, чтобы предотвратить беду.
1. Думать о невидимом
Во-первых, мы должны начать широкое общественное обсуждение проблемы кибервойны. Недавно одна студентка, желавшая поступить в аспирантуру, спросила меня, где она могла бы пройти соответствующий курс. Мы внимательно просмотрели учебные планы и не нашли ни одного такого курса в университетах, готовящих специалистов по политике безопасности, включая Школу Кеннеди в Гарварде, Школу Вудро Вильсона в Принстоне и Школу Линдона Джонсона в Техасе. Тогда она поинтересовалась, какие книги ей стоит почитать, и мы нашли несколько интересных изданий, но мало где глубоко рассматривались вопросы политики и технологии кибервойны. Во многих книгах под фразой «информационная война» чаще всего понималось психологическое оружие или публичная дипломатия.
Книг, посвященных кибервойне, возможно, мало потому, что тема эта остается закрытой. Необходима открытая дискуссия, ведь немалая часть важных данных остается под грифом «секретно». В 1950–1960-х годах таким людям, как Герман Кан, Билл Кауфман и Альберт Вольстеттер, тоже говорили, что проблемы ядерной войны совсем не стоит обсуждать публично. Кан в ответ на это написал книгу под названием «Думать о немыслимом» (Thinking About the Unthinkable, 1962), которая содействовала здравому общественному диалогу о моральных, этических и стратегических аспектах ядерной войны. Публикация результатов исследований, проводимых в Массачусетском технологическом институте (МТИ), Гарварде, Принстонском университете и Брукингском институте, также внесла свой вклад.
Курсы Билла Кауфмана в МТИ, Гарварде и Брукингском институте сформировали взгляд на проблему ядерной стратегии двух поколений студентов, научили их ставить аналитические вопросы и благодаря этому мыслить самостоятельно. Сегодня в Гарварде и МТИ запущен проект «Минерва» (весьма кстати так названный) — финансируемая Министерством обороны открытая исследовательская программа по проблеме кибервойны. (Вспоминаю изречение Гегеля: «Сова Минервы всегда прилетает в сумерках» — мудрость всегда приходит слишком поздно.)
Основные СМИ стали уделять больше внимания вопросам кибервойны. Обозреватели Wall Street Journal и New York Times пишут на эту тему с 2008 года. В 2003 году программа под названием «Кибервойна» вышла в рамках популярной телепередачи Frontline. Телевидение гораздо больше фокусируется на проблеме «кражи личности», поскольку многие зрители и читатели уже стали жертвами подобных киберпреступлений. Кинорежиссеров, однако же, тема кибервойны очень привлекает. В фильме «Крепкий орешек-4» бывший сотрудник государственной службы кибербезопасности, которого никто не слушал (его прототипом один журналист New York Times назвал меня. Вздор!), взламывает национальные системы. В фильме «На крючке» в результате хакерской атаки обрываются линии высокого напряжения и вся жизнь рушится.
В «Итальянской работе» хакеры просто выводят из строя светофоры, а в «Одиннадцати друзьях Оушена» без электричества остается весь Лас-Вегас. Таких фильмов очень много, и киноманы легко могут представить, к чему приводит кибервойна. Однако высокопоставленные чиновники редко ходят в кинотеатры. Или, наверное, думают, что все это лишь плод воображения. Чтобы заставить их понять, что такие сценарии вполне реальны, нам необходима специальная учебная программа. Генерал Кен Минихэн давно уже продвигает идею проведения военной игры, похожей на «Приемлемого получателя»: «Мы напугаем их до смерти, как напугали президента в 97-м».
Конгресс, на удивление, провел уже немало слушаний по теме кибербезопасности и дал задание Управлению государственной ответственности (УГО) исследовать этот вопрос. В одном из докладов перед УГО был поставлен вопрос, обоснованны ли предостережения о том, что хакеры могут атаковать электросеть. УГО исследовало одну из немногих государственных электросетей, которая находится в ведении независимой государственной корпорации «Управление ресурсами бассейна Теннеси». В ответном докладе УГО от 2008 года сообщалось, что в этих сетях есть множество уязвимых мест, открытых для вторжения. Однако по вопросам кибервойны в целом конгресс сделал очень мало.
Конгресс — это федерация феодалов, объект превратностей бесконечного фандрайзинга и лоббирования тех, кто предоставил фонды. Отсюда вытекает два вредных последствия относительно участия конгресса в контроле над кибервойной. Во-первых, каждый хочет сохранить свою сферу влияния. Конгресс отвергает любые предложения, подобные тому, что внес сенатор Боб Беннэт (республиканец из Юты) о создании отдельного комитета, уполномоченного проводить проверки по кибербезопасности. В итоге данной проблемой занимается около 30 комитетов и подкомитетов, и ни один из них не имеет возможности подойти к проблеме целостно. Во-вторых, конгресс «воздерживается от регулирования» и этого не стесняется. Влиятельные доноры из сферы информационных технологий, энергетического и телекоммуникационного бизнеса сделали идею серьезного регламента в области кибербезопасности столь же отдаленной, сколь и идеи общественного финансирования кампаний по выборам в конгресс или значительных ограничений взносов в пользу избирательных кампаний.