Російські хакери, обурені перенесенням «Бронзового солдата», атакували Естонію. Вони цілковито заглушили маленьку балтійську країну: урядові сайти й електронна пошта «лягли», керівництво було неспроможне протидіяти навалі кремлівської пропаганди, що змальовувала Естонію пеклом, де заправляють мстиві фашисти. Атака паралізувала інтернет-банкінг і державні послуги.
Естонія, одна з найінтернетизованіших країн у світі, швидко повернулася до нормального життя. Але й десяток років потому нам важко звикнути до цієї нової епохи дедалі вигадливішої цифрової зброї.
Природно було б пошукати відповідей у ядерній добі. Тоді ми розробили надпотужну зброю масового знищення, але також створили для її стримування дипломатичні, юридичні й стратегічні рамки. Доктрина Mutual Assured Destruction, або «взаємного гарантованого знищення», а також договір про нерозповсюдження ядерної зброї та ціла низка договорів про контроль над озброєнням урятували нас від Армагеддону. Може те саме варто зробити й у кіберпросторі?
Це похвальна мета. Гонка цифрових озброєнь вийшла з-під контролю. Кіберзброя стає дедалі складнішою, тоді як наша залежність від комп’ютерів і мереж зростає. Кілька рядків коду й недобрі наміри можуть призвести до падіння авіалайнера, пожежі в будинку, відключення електромережі чи паралічу фінансової системи. У взаємопереплетеному та взаємопов’язаному світі всі кібердержави мусять бути зацікавлені в тому, щоб утримуватися від таких атак.
Утім, ядерна аналогія не зовсім правильна. Боєголовку й ракету, яка її несе, можна точно виміряти й розрахувати. Те саме стосується засобів їх перехоплення. Тобто супердержави могли поставити в центрі контролю та стримування ядерної зброї принцип прозорості.
А цифрова зброя невидима, про її потужність можна тільки здогадуватися. Якщо ви можете зробити так, що мобільний телефон Владіміра Путіна загориться в нього в кишені (на відстані пошкодивши ПЗ через батарею), то, звісно, не розповідатимете про це. У нього з’явиться інший телефон, а вам доведеться винаходити іншу зброю. Якщо російські кіберсолдати можуть зробити те саме з телефоном Дональда Трампа, вони про це теж не скажуть. Донедавна держави не бажали навіть визнавати, що взагалі володіють наступальними кіберпотужностями.
У реальних бойових діях («кінетичних» військовим жаргоном) ви також добре знаєте, хто у вас стріляє. У кіберпросторі лише загадки. У НАТО вважають, що саме російська влада стоїть за атаками на Естонію 2007 року, але Кремль це заперечує. Грубий напад на зразок того, який «поклав» інтернет в Естонії, можна швиденько організувати за кілька сотень фунтів. Для цього треба орендувати бот-мережу, армію комп’ютерів й одночасно закидати фейковими запитами сервер-жертву, доки та не впаде. Власники армії комп’ютерів і гадки не матимуть, що їхні машини завербовано в ці цифрові «тітушки».
Складніші атаки можуть залишати по собі більше слідів, наприклад інформацію про часову зону або мову написання шкідливої програми. Кіберексперти переконані, що за торішніми атаками на американську політичну систему ховається Росія, а Північна Корея організувала у 2014-му цифрову розправу над Sony Pictures (студія випустила сатиричний фільм про опецькуватого лідера КНДР).
Але й ці сліди можна сфальшувати. США заявляють, що залишають за собою право відплати за кібератаку кінетичною силою. Це сильний фактор стримування, якщо Пентагон точно впевнений, що відповідь спрямовуватиметься проти справжнього злочинця.
Читайте також: Тероризм не розвага
Та навіть якщо точно відомо, хто стоїть за атакою, незрозумілими бувають мотиви хакера. Ядерна зброя була бінарною загрозою: вона або використовується, або ні. Цифрові технології — справа набагато тонша; межі між шпигунством, політичною конкуренцією і відвертою війною розмиті. Хакер зламує телефон Путіна для того, щоб його прослуховувати чи підірвати? Чи для того й іншого?
І чи не найскладніший для військових планувальників момент: цифрова зброя може вдарити по енергетичній, фінансовій та транспортній системах, які їм мало або й зовсім непідконтрольні. Одна справа — зміцнювати бомбосховища проти ракетно-ядерних ударів. І зовсім інша — убезпечувати політику країни. Але чи не найбільша вразливість країн — це недбале поводження індивідуальних користувачів із логінами й паролями.
Варіантів відповіді тут мало. Хоча кіберцентр НАТО (дуже доречно розташований у столиці Естонії) публікує інформацію для роздумів у формі посібника з міжнародного законодавства у сфері кіберконфліктів. За питання цифрової безпеки засіли й учені-політологи з Оксфордського університету.
Утім, підступність і масштабність цифрової зброї більше наближають її до тероризму, ніж до старої доброї війни: і на передовій ми, цивільні, хочемо цього чи ні.
————————–
Едвард Лукас — автор The Economist, старший віце-президент аналітичного центру CEPA