Ласкаво просимо в кіберреалізм: "Кіберстратегія-2023" Міністерства оборони США

"Кіберстратегія-2023", опублікована 12 вересня, відрізняється від попередніх документів відсутністю нових сміливих пропозицій. У стратегії 2015 року було переосмислено концепцію стримування в кіберпросторі, а в стратегії 2018 року сформульовано концепцію "попереджувального захисту". Однак, незважаючи на багаторічні зміни в законодавстві та політиці, що дали змогу Кіберкомандуванню США частіше проводити атакувальні кібероперації, а також демонстрацію військового кіберпотенціалу під час російсько-української війни, "Кіберстратегія-2023" не пропонує нічого аж настільки значущого.

Фокус переклав статтю Емерсона Т. Брукінга та Еріки Лонерган про те, що являє собою нова "Кіберстратегія" армії США.

Обидва автори статті брали участь у розробці нової стратегії і вважають, що така скромність – це добре. Замість того, аби створювати нові ярлики, стратегія прагне раціоналізувати і контекстуалізувати вже наявні концепції. Хоча може здатися, що в стратегії враховано багато чого (як і в більшості стратегій), при найближчому розгляді з'ясовується, що роль кіберпростору постійно обмежують, обходять або підміняють ширшими концепціями.

Можна виділити три приклади.

• Перший – відмова від кібертехнологій заради кібертехнологій і перехід до розгляду кібернетичного впливу як одного з важливих інструментів серед багатьох інших для американських політиків (те, що Пентагон тепер називає "інтегрованим стримуванням").
• По-друге, це підтвердження концепцій, презентованих 2018 року (defend forward і persistent engagement), і бачення того, як Кіберкомандування США може діяти за порогом збройного конфлікту (те, що Пентагон тепер називає "кампанією").
• По-третє, це спроба скоригувати очікування щодо ролі Міністерства оборони щодо цивільної кібербезпеки.

Одним словом, якщо кіберстратегія 2023 року і має основну тему, то це тема кіберреалізму. З огляду на порівняльні переваги кібернетичних можливостей і визнаючи їхню обмеженість, Сполучені Штати краще підготовлені до того, щоб спрямовувати обмежені кіберресурси на боротьбу із дедалі новими загрозами.

Перегортаючи сторінку "кібер-Перл-Гарбора"

Настав час для реалізму. Протягом щонайменше двох десятиліть політичні дискусії навколо кіберзагроз, кіберризиків і кібервійськ нагадували повітряну кулю, що повільно здувається. Спочатку практики та експерти висловлювали побоювання з приводу "кібернетичної приреченості". Кіберпростір уявляли як новий "Дикий Захід", де панує беззаконня і кишать лиходії. Кіберзагрози описувалися в одному ряду з ядерним армагедоном, поки ці два поняття не злилися в одне: "кібергеддон". Перспектива раптової кібернетичної атаки на США – "кібер-Перл-Гарбора" – завоювала уяву як американських політиків, так і громадськості.

Оскільки теоретична небезпечність кібератак стала асоціюватися із ядерною загрозою, теоретики кібербезпеки зі зрозумілих причин звернулися до ідей ядерного стримування і примусу часів холодної війни. У результаті з'явилося кіберстримування – теорія про складну хореографію хитромудро розосереджених кібератак і контратак, що відбуваються поза полем людського зору із блискавичною швидкістю.

Проте реальність кібернетичних операцій ніколи не відповідала цим драматичним очікуванням. За винятком кількох подій "ідеального шторму", як-от кібернетична кампанія Stuxnet 2010 року, яка порушила іранську програму збагачення ядерного палива (і яка багато в чому є винятком, що підтверджує правило), стратегічний вплив кібернетичних операцій видається вельми скромним. Операція "Сяюча симфонія", проведена Кіберкомандуванням США в 2016 році, безумовно, створила труднощі для Ісламської держави, але гучні заяви про скидання "кібербомб" були значною мірою перебільшені. Аналогічним чином, американські військові успішно припинили діяльність пов'язаної з Росією "фабрики тролів" Internet Research Agency, що сіяла дезінформацію під час проміжних виборів 2018 року, та повторили аналогічні операції у 2020 і 2022 роках. Однак це були цілеспрямовані та масштабні кампанії з обмеженим ефектом. Навіть під час триваючої війни Росії проти України — найбільшої конвенційної війни XXI століття – російський кібернетичний "шок і трепет" не досяг стратегічного ефекту.

Ігнорувати кіберпростір теж не можна. Загальна кількість щорічно реєстрованих кібератак, про які стає публічно відомо, продовжує стрімко зростати. Ворожа кібернетична діяльність на державному рівні завдала величезної шкоди Сполученим Штатам – наприклад, викрадення Китаєм 2015 року 22,1 млн файлів федеральних службовців з Управління по роботі з персоналом США, хакерські атаки Росії під час президентських виборів 2016 року, або звіти про те, що Китай у середині 2021 року за допомогою тайфуну "Вольт" скомпрометував критично важливу інфраструктуру Гуаму. Однак навіть у цих найпомітніших випадках подібні кібератаки не призвели до ескалації відносин між державами-суперницями, а тим паче до переростання у збройний конфлікт. Навпаки, роль кібероперацій у міждержавному протистоянні більше схожа на підривну, розвідувальну діяльність або маневрування нижче кризового порогу.

Як нещодавно заявила заступниця помічника міністра оборони США з кіберполітики Міке Еоянг, "у кібервійні не буває грибоподібних хмар". Якщо перспектива стратегічних озброєнь і складних схем стримування не відображає реалій кібервійни, отже, кіберполітиці США потрібне краще визначення. Кіберстратегія 2023 року прагне забезпечити його.

Більше жодних "кібертехнологій заради кібертехнологій"

Традиційне кіберстримування часто спирається на внутрішньодоменну модель, запозичену з теорій ядерного стримування часів холодної війни. Згідно з цією моделлю, для запобігання кібератакам Сполучені Штати мають розвивати власні стратегічні кіберможливості та переконливо погрожувати їх застосуванням. Ця модель залишається популярною, незважаючи на те, що механіка кібернетичних операцій незграбно розходиться з традиційними методами ядерного стримування. До них належать проблеми атрибуції, ефемерний характер кібердоступів і експлойтів, а також той факт, що демонстрація кіберпотенціалу може дозволити об'єкту нападу внести виправлення у свої системи і знизити рівень загрози. Попри зростаючий список застережень, досі поширена теза про те, що найкращий спосіб протидії кіберзагрозам – це кібервплив.

Кіберстратегія 2023 року повертає цю дискусію з неба на землю. Як ідеться в документі, "кіберможливості, які перебувають у резерві або використовуються ізольовано, самі по собі мають незначний стримувальний ефект". Це перший випадок, коли в оборонному документі високого рівня США настільки відверто йдеться про обмеженість теорії кіберстримування. Навпаки, йдеться в стратегії, кібернетичні можливості "найефективніші під час спільного використання з іншими інструментами національної могутності, створюючи стримувальний чинник, що перевершує суму його складових частин". Це чітке формулювання інтегрованого стримування – концепції, що лежить в основі Стратегії національної безпеки до 2023 року і Стратегії національної оборони до 2023 року.

Хоча комплексне стримування зазнає критики за спроби об'єднати військові та невійськові засоби в більш цілісну (і менш орієнтовану на оборону) позицію національної безпеки, воно має великий сенс у кібернетичному контексті. Як часто кіберзагрози вдавалося ліквідувати лише за допомогою кіберможливостей? І навпаки, як часто кіберрозвідка допомагала застосовувати інші інструменти національної могутності? Можливо, кібервплив рідко буває вирішальним сам по собі, але важко знайти сучасний виклик національній безпеці, який не мав би кібернетичного виміру та не вимагав би потенційної участі кібернетичного потенціалу збройних сил.

Якщо нова стратегія і досягне якихось цілей, то лише однієї: звільнить кіберпростір від його замкненості, зробивши його корисним і практичним інструментом для вищого керівництва як Пентагону, так і Білого дому.

Кібероперації для передвиборчої кампанії

Незважаючи на початкові припущення про те, що адміністрація Джозефа Байдена може істотно скоротити оперативні повноваження, делеговані Кіберкомандуванню США за адміністрації Дональда Трампа, схоже, що таких змін не відбулося. Натомість у Кіберстратегії 2023 року підтверджено концепції захисту та постійної взаємодії, вперше представлені в Стратегії 2018 року та Концепції Кіберкомандування США 2018 року відповідно. У цих документах кібероперації розглядаються як постійне змагання між США та їхніми супротивниками, в основі якого лежать швидкість, адаптивність і наступальні дії. Продовження оборонних операцій і постійна участь у них також передбачає продовження делегування повноважень, необхідних для їх реалізації.

У Кіберстратегії 2023 року захист і постійна участь включені в ширшу стратегічну конструкцію "кампанії". Кампанія, яка поряд з інтегрованим стримуванням є другою важливою концептуальною основою Національної оборонної стратегії 2022 року, означає "проведення і послідовність логічно пов'язаних військових дій для досягнення цілей, узгоджених зі стратегією, протягом певного часу". Хоча концепція військових кампаній майже так само стара, як і самі військові дії, проведення кампаній охоплює й небойові заходи, як-от навчання або операції із забезпечення свободи навігації, які можуть бути використані для досягнення окремих військових або невійськових цілей. У сучасних стратегічних документах Міністерства оборони США кампанію розглядають як відповідь на дії противника в "сірій зоні", що дає змогу американським військовим проводити власні операції нижче порога збройного конфлікту.

Проведення кампаній – це концепція, що дуже підходить для кіберпростору і повсякденної реальності кібероперацій. Кіберстратегія 2023 року описує кілька видів такої діяльності: отримання інформації про кіберзагрози; руйнування та знищення шкідливих кіберсуб'єктів шляхом передового захисту; досягнення цілей об'єднаних сил, зокрема, примушуючи супротивників "сумніватися в ефективності своїх військових спроможностей, а також у тому, що вони можуть чинити ефективні дії проти Сполучених Штатів". Кожен із цих видів діяльності вимагає швидкого і безперервного оперативного темпу. Жодна з цих дій не є актом війни. Включення оборонних дій і випереджувальної участі в логіку ведення кампанії відображає ще одну форму кіберреалізму: замість того, щоб виступати як самостійні концепції, вони стали частиною загального тла міждержавного протистояння.

Уточнення кібермісії

Кіберстратегія 2023 року детально обговорює корисність кібернетичних операцій, але водночас відверто говорить про їхні обмеження. Стратегія не зобов'язує Пентагон до нових, відкритих кібернетичних місій, а найчастіше обмежує й уточнює вже наявні.

Це зрушення особливо помітне у ставленні стратегії до захисту Батьківщини. "Колись ми прагнули захистити кожну мережу, – пояснив помічник міністра оборони США з питань космосу Джон Пламб у своєму недавньому виступі щодо стратегії, – але це непрактично". Частково це пояснюється правовими і нормативними міркуваннями. Крім статутної ролі міністерства в забезпеченні кібербезпеки оборонної промислової бази, існує небагато повноважень, відповідно до яких військові кібервійська можуть безпосередньо взаємодіяти з внутрішніми цивільними мережами. Ці повноваження обмежені не випадково: американці давно скептично ставляться до використання військового потенціалу на території США, чи то фізичній, чи то віртуальній.

Є й практичні причини для таких змін. По-перше, збройні сили не надто добре пристосовані для захисту цивільних мереж. Крім як забезпечити заспокійливу присутність, група кіберзахисту або кіберпідрозділ Національної гвардії, ймовірно, не зможуть зробити в екстреній ситуації нічого, що не під силу адміністратору приватної мережі або сторонньому постачальникові, вже знайомому з постраждалою корпоративною мережею. Незважаючи на те, що політики наполягають на необхідності нарощування кібернетичного "потенціалу взаємодії" між оборонними і приватними або федеральними цивільними мережами, важко знайти випадки, коли ці повноваження були б задіяні, а тим більше ефективно використані.

Навпаки, весь комплекс завдань із захисту – виявлення і припинення шкідливої кібердіяльності до того, як вона зможе завдати удару по території США, – здатні виконати лише військові кібероператори, що мають відповідні повноваження і можливості. Кіберстратегія 2023 спрямовує обмежені можливості військових кіберфахівців на розв'язання завдань, для яких вони володіють унікальними здатностями. Водночас вона зосереджена на зміцненні цього потенціалу завдяки внутрішнім заходам щодо набору та утримання кібероператорів, а також тіснішій співпраці та обміну інформацією з приватним бізнесом США. Таким чином, Пентагон, схоже, визнає, що зростання кіберзагроз випереджає зростання військового потенціалу для безпосередньої протидії цим загрозам і, отже, усвідомлює необхідність пріоритетного виділення кіберресурсів.

Подальші кроки до кіберреалізму

Звісно, у кіберстратегії Міністерства оборони до 2023 року можна було б досягти набагато більшого за деякими напрямами. Сполучені Штати послідовно засуджують російські кібератаки на цивільне населення та публічно описують правові засади американських кібероперацій. Але, незважаючи на це, Стратегія згадує лише, що США будуть "зміцнювати норми відповідальної поведінки в кіберпросторі", а самі норми залишаються невизначеними. У стратегії також ідеться про те, що Сполучені Штати нарощуватимуть кіберпотенціал і можливості союзників і партнерів, однак у ній мало інформації про користь кіберспівробітництва і про те, як воно може перетинатися з дипломатичними цілями США. З цими питаннями доведеться почекати до появи першої міжнародної кіберстратегії США, яку Держдеп опублікує наприкінці цього року.

Є й важливі моменти, які в стратегії взагалі не розглядаються. Наприклад, не обговорене питання про те, як Пентагон розмежовує кібернетичні та інформаційні впливи, незважаючи на створення нової доктрини і бюрократичних структур, покликаних вирішити саме цю проблему. Крім того, хоча в стратегії сформульовано різні напрямки діяльності, в ній не розглянуто питання про те, як військові мають розставляти пріоритети в розвитку і застосуванні кібернетичного потенціалу проти різних загроз, на різних часових відрізках і за різних порогів серйозності. Наприклад, розвиток кіберпотенціалу для стримування високотехнологічної військової агресії може виглядати зовсім інакше, ніж розвиток потенціалу для підтримки низькорівневого конфлікту. Нічого не говориться в стратегії і щодо важливого основоположного питання: "Як найкраще використовувати грізний кіберарсенал збройних сил США?".

Загалом прагматична спрямованість "Кіберстратегії-2023" простежується в усьому документі. Розглядаючи кібероперації як один із багатьох інструментів, акцентуючи увагу на корисності кіберпростору під порогом збройного конфлікту та навмисно обмежуючи роль збройних сил США в кіберпросторі, стратегія привносить дозу реалізму в сферу, яка буквально вийшла з наукової фантастики. Роздуми Пентагону про кіберпростір, колись абстрактні й умоглядні, тепер спираються на реальні уроки та приклади. А сама кібер-організація, отримавши своє місце за столом переговорів, тепер має подумати про те, як використати це місце найефективніше.

Про авторів

Емерсон Т. Брукінг – старший науковий співробітник-резидент Лабораторії досліджень цифрової криміналістики Атлантичної ради. З серпня 2022 по серпень 2023 року він був радником з кіберполітики в апараті заступника помічника міністра оборони США з кіберполітики і входив до групи розробників кіберстратегії Міністерства оборони на 2023 рік.

Еріка Д. Лонерґан – доцентка Школи міжнародних і суспільних відносин Колумбійського університету. Раніше вона входила до групи розробників Кіберстратегії Міністерства оборони США на 2023 рік і була старшим директором Комісії Solarium з питань кіберпростору.