Джеймс Ендрю Льюїс: «Ми маємо основу для відповідальної поведінки держав у кіберпросторі. Але кілька великих країн регулярно її ігнорують. Лідерами серед них є Росія та Китай»

Світ
18 Липня 2021, 10:35

Кібербезпека була однією з основних тем нещодавньої зустрічі російського й американського президентів, яка відбулася в Женеві 16 червня. Однак лише за кілька тижнів після неї маємо інформацію про масову атаку за допомогою програми-вимагача та про хакерську атаку на сервери Національного комітету Республіканської партії США. Джерело обох атак пов’язують з Росією. Що відбувається? Чи можна це назвати тестом тих червоних ліній, які Джо Байден окреслив Владіміру Путіну в Женеві?

— Можливо, йдеться про тестування, бо це нормальна поведінка Росії тоді, коли хтось окреслює червоні лінії. Особливо якщо це робить США. Так вони з’ясовують, чи мають ці лінії якесь значення. І президенти Барак Обама та Дональд Трамп встановлювали червоні лінії. Ніхто не звертав на них уваги й за це не було жодного покарання. Або, можливо, росіяни вирішили й далі робити те, що робили раніше. Вони не побачили причин для змін. Тут ідеться не тільки про випробування (меж. — Ред.), а більше про ігнорування. Це певний результат. Росіяни понад десять років шпигують за Національним комітетом Республіканської партії. Це доволі звичайна розвідувальна діяльність. Але справа з програмами-вимагачами — геть інше. Це певна нова загроза, яку зараз розглядають як загрозу національній безпеці в багатьох країнах, не лише у США. Була інформація, що представники різних департаментів Білого дому мали зустрітися 7 липня й обговорити нещодавні атаки. Однак про результати тих зустрічей і досі майже немає інформації (інтерв’ю було записане 9 липня. — Ред.). 

Чи знаєте ви щось про це?

— Білий дім справді нічого не повідомив після тих зустрічей, що дещо розчаровує. Однак з того, що нам відомо, вони обговорювали підготовку до перемовин з російською стороною. Гадаю, позиція США на тих переговорах відповідатиме лінії, яку визначив президент Байден. Вона полягає в тому, що росіяни мають відповісти за свої дії, а ми очікуємо на їх припинення. Ми не зацікавлені в довгому циклі дискусій, унаслідок яких буде підписано угоду на рівні ООН. Росіяни говорять про це вже понад 20 років. Деякі з цих тем дуже старі. Гадаю, що частково підхід адміністрації Байдена полягає в тому, щоб сфокусуватися на нагальних проблемах, наприклад на російських кримінальних бандах, які використовують віруси-вимагачі у своїх злочинах, і тому, що РФ збирається з ними робити. Але побачимо. Сподіваюся, що найближчими днями стане відомо більше. Але гадаю, що кроки, до яких вдаватимуться Сполучені Штати, президент Байден озвучив ще під час своєї пресконференції після зустрічі з Владіміром Путіним.

Читайте також: Костянтин Корсун: Пояснення Держспецзв'язку нічого не пояснює, а ще більше заплутує ситуацію

Журнал Time в одній зі своїх публікацій цитує скептичну думку анонімного джерела в адміністрації президента Джо Байдена щодо того, чи може Владімір Путін зробити щось із російськими кіберзлочинцями. Якщо господар Кремля не хоче нічого з ними вдіяти, що може зробити США?

— Тут ідеться про два питання. По-перше, чи може Владімір Путін контролювати банди. Він їх не контролює безпосередньо. Ідеться не про те, що вони напали на програмне забезпечення, завдяки якому працював трубопровід Colonial Pipelines, за його наказом. Однак він їх толерує. Якщо Путін перестане це робити й накаже припинити такі дії, бо до них навідається ФСБ й, гадаю, ті люди будуть змушені на це зважати. Путін усе контролює. Було б дивно, якби не контролював. По-друге, думаю, США беруть до уваги деякі прецеденти попередніх дій кіберзлочинців, зокрема справу щодо ботнетів. Ботнетами називають великі групи комп’ютерів, які потрапляють під контроль кіберзлочинців задля певної забороненої діяльності чи певних нападів з метою викупу. Міжнародні правоохоронні органи вже співпрацювали в цьому питанні. Тож, імовірно, європейські й американські органи співпрацюватимуть задля переслідування та взяття під контроль тих інфраструктурних мереж, які опинилися в руках злочинців. Вони можуть бути в Європі. Це ж бізнес, і як кожен великий бізнес, вони використовують хмарні сховища. Тож побачимо цільове відстежування мереж та активів кіберзлочинців поза Росією.

Як усі нещодавні напади вплинули на стратегію оборони США в кіберпросторі? Чи відбулися якісь зміни в приватних і державних компаніях, щоб вони стали стійкішими до таких загроз?

— Кібербезпека була пріоритетом для адміністрації Байдена на момент її входу до Білого дому. Фактично вона й далі залишається адміністрацією, яка приділяє цьому питанню найбільше уваги. У них є потужна команда чиновників, які мають тривалий досвід у цій сфері. Це знову ж таки те, чого раніше у США не було. Адміністрація Байдена завжди ставилася до цього серйозно. Але, звісно, коли за короткий час після початку роботи нової адміністрації відбулася кібератака на трубопровід Colonial Pipeline, а також стало відомо про SolarWinds (масштабна кібератака проти тисяч державних і недержавних установ США, про яку стало відомо 13 грудня 2020 року. — Ред.), що було великим пов’язаним із Росією епізодом, то кібербезпека, звісно, стала пріоритетною темою порядку денного. Тож у травні президент видав указ, який закликає до кращої стратегії, а компанії, що хочуть продавати свої продукти федеральному уряду, мають слідувати практикам безпечного програмування.

Читайте також: PEN America: Цифровий суверенітет може бути зброєю масового контролю

Такі вимоги повинні стати міжнародним стандартом. Під час атаки через вразливі місця програмного забезпечення SolarWinds ми зрозуміли, що є певні базові принципи програмування, які вас навчать оминати в університеті. А програми, які використовує уряд, — гігантські й комплексні. Вони мають мільйони рядків програмного коду. Тож імовірність того, що там буде помилка, яку злочинець зможе знайти, доволі велика. Президент своїм указом прагне це змінити через дотримання певних стандартів, якщо вони хочуть продавати свої продукти федеральному уряду. Звісно, це має певний вплив. Якщо ви Microsoft, Amazon чи інша велика компанія, то не робитимете окремого продукту, щоб продати уряду, а інший для всіх решта. Тож надія полягає в тому, що компанії дотримуватимуться цих вищих стандартів написання програм, які будуть безпечнішими. І це безпосередній результат кібератак, які скористалися вразливими місцями програмного забезпечення SolarWinds.

Наскільки стійка до кібератак критична інфраструктура США?

— Це важливе питання для адміністрації Байдена. У 2012 році Конгрес відмовився надати федеральному уряду владу регулювати критичну інфраструктуру, щоб дотриматися кібербезпеки. Можливо, дев’ять років тому це й було правильним рішенням, але воно більше таким не є. Адміністрація Обами вдалася до підходу, який називала секторально орієнтованим, і вони використовували ту владу за кожним напрямом, яку тоді мали. Однак проблема такого підходу в тому, що деякі сектори критичної інфраструктури, як-от фінустанови чи телекомунікації, регулюються сильніше і є безпечними. А інші, як-от газопроводи, регулюються слабше. Тож одним із викликів для адміністрації Байдена є переосмислити наш підхід щодо встановлення безпеки критичної інфраструктури. Однак вони щойно почали це робити. Люди, які займатимуться питанням, ще навіть не перебувають на своїх місцях через довгий процес затвердження в нашій країні. Це стане для них завданням на наступний рік.

Читайте також: Фіктивні лицарі приватності

У нещодавньому дослідженні Міжнародного інституту стратегічних досліджень (IISS) ідеться про те, що китайські й російські можливості в кіберпросторі «перебільшено». Чи згодні ви з цим?

— Мене дуже здивувало це дослідження. Російські можливості є одними з найкращих у світі. Китай також швидко покращив свої позиції. Їм вдалося доволі добре діяти проти своїх цілей в Україні, США, Великій Британії, Франції, Японії, Австралії. Це нескінченний список. Є дві країни з потужними глобальними кіберможливостями, які регулярно ними користуються. Можливо, вони не організовані за золотим стандартом, але добре дають собі раду. Живучи в реальному світі та відстежуючи, що відбувається, я не розумію того твердження. 

Точиться чимало дискусій і вже зроблено багато роботи щодо формування «нормативних стандартів поведінки» країн у кіберпросторі. Скільки часу потрібно, щоб сформувати певний легальний кодекс поведінки країн у кіберпросторі, щоб це регулювалося нормами й законами?

— Ми вже маємо такі рамки. Їх було погоджено у 2015 році, а в травні цього року знову схвалено на Генеральній Асамблеї ООН. Отже, ми маємо основу для відповідальної поведінки держав у кіберпросторі. Вона пов’язана з міжнародним правом. Країни знають свої обов’язки. Але є кілька великих країн, які їх регулярно ігнорують. Лідерами серед них є Росія й Китай. Тож питання не в тому, чи потрібна нам форма або основа, бо ми її маємо. Питання в тому, як змусити людей зважати на норми й основи. Тобто дебати змістилися в цей бік. Тепер питання в тому, як притягнути до відповідальності в кіберпросторі за ігнорування основ поведінки там, а також як створити наслідки для того, хто порушує правила, які держави між собою узгодили. Тож основа в нас є, але на неї не зважають. Дискусія тепер полягає в тому, як це змінити.

—————-

Джеймс Ендрю Льюїс — старший віцепрезидент і директор програми стратегічних технологій американського Центру стратегічних та міжнародних досліджень (Center for Strategic and International Studies, CSIS). Один з найвпливовіших американських експертів у сфері кібербезпеки. Автор багатьох публікацій, зокрема дослідження «Дотримання безпеки в кіберпросторі для 44-го президента» («Securing Cyberspace for 44th Presidency», 2008). До роботи в CSIS працював на різних посадах у Державному департаменті США.