Добро пожаловать в киберреализм: "Киберстратегия-2023" Министерства обороны США
В Соединенных Штатах опубликовали новый документ, который весь пронизан прагматизмом. США переворачивают страницу "кибер-Перл-Харбора", которая базировалась на мощном наращивании сил американских кибервойск. Теперь подход будет более реалистичным.
"Киберстратегия-2023", опубликованная 12 сентября, отличается от предыдущих документов отсутствием новых смелых предложений. В стратегии 2015 года была переосмыслена концепция сдерживания в киберпространстве, а в стратегии 2018 года сформулирована концепция "упреждающей защиты". Однако, несмотря на многолетние изменения в законодательстве и политике, позволившие Киберкомандованию США чаще проводить атакующие кибероперации, а также демонстрацию военного киберпотенциала в ходе российско-украинской войны, "Киберстратегия-2023" не предлагает ничего столь же значимого.
Фокус перевел статью Эмерсона Т. Брукинга и Эрики Лонерган о том, что представляет собой новая "Киберстратегия" армии США.
Оба автора принимали участие в разработке новой стратегии и считают, что такая скромность – это хорошо. Вместо того чтобы создавать новые ярлыки, стратегия стремится рационализировать и контекстуализировать уже существующие концепции. Хотя может показаться, что в стратегии учтено многое (как и в большинстве стратегий), при ближайшем рассмотрении выясняется, что роль киберпространства постоянно ограничивается, оговаривается или подменяется более широкими концепциями.
Можно выделить три примера.
- Первый – отказ от кибертехнологий ради кибертехнологий и переход к рассмотрению кибернетического воздействия как одного из важных инструментов среди многих других для американских политиков (то, что Пентагон теперь называет "интегрированным сдерживанием").
- Во-вторых, это подтверждение концепций, представленных в 2018 году (defend forward и persistent engagement), и видение того, как Киберкомандование США может действовать за порогом вооруженного конфликта (то, что Пентагон теперь называет "кампанией").
- В-третьих, это попытка скорректировать ожидания относительно роли Министерства обороны в обеспечении гражданской кибербезопасности.
Одним словом, если киберстратегия 2023 года и имеет преобладающую тему, то это тема киберреализма. Учитывая сравнительные преимущества кибернетических возможностей и признавая их ограниченность, Соединенные Штаты лучше подготовлены к тому, чтобы направлять ограниченные киберресурсы на борьбу с множащимися угрозами.
Переворачивая страницу "кибер-Перл-Харбора"
Настало самое время для реализма. На протяжении как минимум двух десятилетий политические дискуссии вокруг киберугроз, киберрисков и кибервойн напоминали медленно сдувающийся воздушный шар. Вначале практики и эксперты выражали опасения по поводу "кибернетической обреченности". Киберпространство представлялось как новый "Дикий Запад", где царит беззаконие и кишат злодеи. Киберугрозы описывались в одном ряду с ядерным армагеддоном, пока эти два понятия не слились в одно: "кибергеддон". Перспектива внезапной кибернетической атаки на США – "кибер-Перл-Харбора" – завоевала воображение как американских политиков, так и общественности.
Поскольку теоретическая опасность кибератак стала ассоциироваться с угрозой ядерного оружия, теоретики кибербезопасности по понятным причинам обратились к идеям ядерного сдерживания и принуждения времен холодной войны. В результате появилось киберсдерживание – теория о сложной хореографии хитроумно рассредоточенных кибератак и контратак, происходящих вне поля человеческого зрения с молниеносной скоростью.
Однако реальность кибернетических операций никогда не соответствовала этим драматическим ожиданиям. За исключением нескольких событий "идеального шторма", таких как кибернетическая кампания Stuxnet 2010 года, которая нарушила иранскую программу обогащения ядерного топлива (и которая во многом является исключением, подтверждающим правило), стратегическое воздействие кибернетических операций представляется весьма скромным. Операция "Светящаяся симфония", проведенная Киберкомандованием США в 2016 году, безусловно, создала трудности для Исламского государства, но громкие заявления о сбросе "кибербомб" были в значительной степени преувеличены. Аналогичным образом, американские военные успешно пресекли деятельность связанной с Россией "фабрики троллей" Internet Research Agency, сеявшей дезинформацию во время промежуточных выборов 2018 года, и повторили аналогичные операции в 2020 и 2022 годах. Однако это были целенаправленные и масштабные кампании с ограниченным эффектом. Даже в ходе продолжающейся войны России против Украины – крупнейшей конвенциональной войны XXI века – российский кибернетический "шок и трепет" не достиг стратегического эффекта.
Впрочем, игнорировать киберпространство тоже нельзя. Общее количество ежегодно регистрируемых публично известных кибератак продолжает стремительно расти. Вражеская кибернетическая деятельность на государственном уровне нанесла огромный ущерб Соединенным Штатам, будь то похищение Китаем в 2015 году 22,1 млн. записей федеральных служащих из Управления по работе с персоналом США, хакерские атаки России во время президентских выборов 2016 года или свидетельства того, что Китай в середине 2021 года с помощью тайфуна "Вольт" скомпрометировал критически важную инфраструктуру Гуама. Однако даже в этих наиболее заметных случаях подобные кибервоздействия не привели к эскалации отношений между противоборствующими государствами, а тем более к перерастанию в вооруженный конфликт. Напротив, роль киберопераций в межгосударственном противостоянии больше похожа на подрывную, разведывательную деятельность или маневрирование ниже порога кризиса.
Как недавно заявила заместительница помощника министра обороны США по киберполитике Мике Эоянг, "в кибервойне не бывает грибовидных облаков". Если перспектива сокрушительных стратегических вооружений и сложных схем сдерживания не отражает реальности кибервойны, значит, киберполитике США нужно лучшее определение. Киберстратегия 2023 года стремится обеспечить его.
Больше никаких "кибертехнологий ради кибертехнологий"
Традиционное киберсдерживание часто опирается на внутридоменную модель, заимствованную из теорий ядерного сдерживания времен холодной войны. Согласно этой модели, для предотвращения кибератак Соединенные Штаты должны развивать собственные стратегические кибервозможности и убедительно угрожать их применением. Эта модель остается популярной, несмотря на то, что механика кибернетических операций неуклюже расходится с традиционными методами ядерного сдерживания. К ним относятся проблемы атрибуции, эфемерный характер кибердоступов и эксплойтов, а также тот факт, что демонстрация киберпотенциала может позволить объекту нападения внести исправления в свои системы и снизить уровень угрозы. Несмотря на растущий список предостережений, по-прежнему распространен тезис о том, что лучший способ противодействия киберугрозам – это кибервоздействие.
Киберстратегия 2023 года возвращает эту дискуссию на землю. Как говорится в документе, "кибервозможности, находящиеся в резерве или используемые изолированно, сами по себе оказывают незначительный сдерживающий эффект". Это первый случай, когда в оборонном документе высокого уровня США столь откровенно говорится об ограниченности теории киберсдерживания. Напротив, говорится в стратегии, кибернетические возможности "наиболее эффективны при совместном использовании с другими инструментами национальной мощи, создавая сдерживающий фактор, превосходящий сумму составляющих его частей". Это четкая формулировка интегрированного сдерживания – концепции, лежащей в основе Стратегии национальной безопасности до 2023 года и Стратегии национальной обороны до 2023 года.
Хотя комплексное сдерживание подвергается критике за попытки объединить военные и невоенные средства в более целостную (и менее ориентированную на оборону) позицию национальной безопасности, оно имеет большой смысл в кибернетическом контексте. Как часто киберугрозы удавалось ликвидировать только с помощью кибервозможностей? И наоборот, как часто киберразведка помогала направлять другие инструменты национальной мощи? Возможно, кибервоздействие редко бывает решающим само по себе, но трудно найти современный вызов национальной безопасности, который не имел бы кибернетического измерения и потенциальной роли кибернетического потенциала вооруженных сил.
Если новая стратегия и достигнет каких-то целей, то только одной: освободит киберпространство от его замкнутости и сделает его более полезным и практичным инструментом для высшего руководства как Пентагона, так и Белого дома.
Кибероперации для предвыборной кампании
Несмотря на первые предположения о том, что администрация Джозефа Байдена может существенно сократить оперативные полномочия, делегированные Киберкомандованию США при администрации Дональда Трампа, похоже, что таких изменений не произошло. Вместо этого в Киберстратегии 2023 года подтверждены концепции защиты и постоянного взаимодействия, впервые представленные в Стратегии 2018 года и Концепции Киберкомандования США 2018 года соответственно. В этих документах кибероперации рассматриваются как вечное соревнование между США и их противниками, в основе которого лежат скорость, адаптивность и наступательные действия. Продолжение оборонительных операций и постоянное участие в них также предполагает продолжение делегирования полномочий, необходимых для их реализации.
В Киберстратегии 2023 года защита и постоянное участие включены в более широкую стратегическую конструкцию "кампании". Кампания, которая наряду с интегрированным сдерживанием является второй важной концептуальной основой Национальной оборонной стратегии 2022 года, подразумевает "проведение и последовательность логически связанных военных действий для достижения целей, согласованных со стратегией, в течение определенного времени". Хотя концепция военных кампаний почти так же стара, как и сами военные действия, проведение кампаний включает в себя и небоевые мероприятия, такие как учения или операции по обеспечению свободы навигации, которые могут быть использованы для достижения отдельных военных или невоенных целей. В современных стратегических документах Министерства обороны США кампания представляется как ответ на действия противника в "серой зоне", позволяющий американским военным проводить собственные операции за порогом вооруженного конфликта.
Проведение кампаний – это концепция, уникально подходящая для киберпространства и повседневной реальности киберопераций. Киберстратегия 2023 года описывает несколько видов такой деятельности: получение информации о киберугрозах; разрушение и уничтожение вредоносных киберсубъектов путем передовой защиты; достижение целей объединенных сил, в частности, заставляя противников "сомневаться в эффективности своих военных возможностей, а также в том, что они могут проводить принудительные действия против Соединенных Штатов". Каждый из этих видов деятельности требует быстрого и непрерывного оперативного темпа. Ни одно из этих действий не является актом войны. Включение оборонительных действий и упреждающего участия в логику ведения кампании отражает еще одну форму киберреализма: вместо того чтобы выступать в качестве самостоятельных концепций, они стали частью общего фона межгосударственного противостояния.
Уточнение кибермиссии
Киберстратегия 2023 года подробно обсуждает полезность кибернетических операций, но в то же время откровенно говорит об их ограничениях. Стратегия не обязывает Пентагон к новым, открытым кибернетическим миссиям, а чаще всего ограничивает и уточняет уже существующие.
Этот сдвиг особенно заметен в отношении стратегии к защите Родины. "Когда-то мы стремились защитить каждую сеть, – пояснил помощник министра обороны США по вопросам космоса Джон Пламб в своем недавнем выступлении по стратегии, – но это непрактично". Отчасти это объясняется правовыми и нормативными соображениями. Помимо уставной роли министерства в обеспечении кибербезопасности оборонной промышленной базы, существует немного полномочий, в соответствии с которыми военные кибервойска могут напрямую взаимодействовать с внутренними гражданскими сетями. Эти полномочия ограничены не случайно: американцы давно скептически относятся к использованию военного потенциала на территории США, будь то физической или виртуальной.
Есть и практические причины для таких изменений. Во-первых, вооруженные силы не слишком хорошо приспособлены для защиты гражданских сетей. Кроме как обеспечить успокаивающее присутствие, группа киберзащиты или киберподразделение Национальной гвардии, вероятно, не смогут сделать в экстренной ситуации ничего, что не под силу администратору частной сети или стороннему поставщику, уже знакомому с пострадавшей корпоративной сетью. Несмотря на то, что политики настаивают на необходимости наращивания кибернетического "потенциала взаимодействия" между оборонными и частными или федеральными гражданскими сетями, трудно найти случаи, когда эти полномочия были бы задействованы, а тем более эффективно использованы.
Напротив, весь комплекс задач по защите – обнаружение и пресечение вредоносной кибердеятельности до того, как она сможет нанести удар по территории США, – могут выполнить только военные кибероператоры, обладающие соответствующими полномочиями и возможностями. Киберстратегия 2023 направляет ограниченные возможности военных киберспециалистов на решение задач, для которых они обладают уникальными возможностями. В то же время она направлена на укрепление этого потенциала за счет внутренних реформ по набору и удержанию кибероператоров, а также более тесного сотрудничества и обмена информацией с частным бизнесом США. Таким образом, Пентагон, похоже, признает, что рост киберугроз опережает рост военного потенциала для непосредственного противодействия этим угрозам и, следовательно, осознает необходимость приоритетного выделения киберресурсов.
Дальнейшие шаги к киберреализму
Конечно, в киберстратегии Министерства обороны до 2023 года можно было бы достичь гораздо большего по некоторым направлениям. Соединенные Штаты последовательно осуждают российские кибератаки на гражданское население и публично описывают правовые основы американских киберопераций. Но, несмотря на это, Стратегия упоминает лишь, что США будут "укреплять нормы ответственного поведения в киберпространстве", а сами нормы остаются неопределенными. В стратегии также говорится, что Соединенные Штаты будут наращивать киберпотенциал и возможности союзников и партнеров, однако в ней мало информации о пользе киберсотрудничества и о том, как оно может пересекаться с дипломатическими целями США. С этими вопросами придется подождать до появления первой международной киберстратегии США, которую Госдеп опубликует в конце этого года.
Есть и важные моменты, которые в стратегии вообще не рассматриваются. Например, не обсуждается вопрос о том, как Пентагон разграничивает кибернетические и информационные воздействия, несмотря на создание новой доктрины и бюрократических структур, призванных решить именно эту проблему. Кроме того, хотя в стратегии сформулированы различные направления деятельности, в ней не рассмотрен вопрос о том, как военные должны расставлять приоритеты в развитии и применении кибернетического потенциала против различных угроз, на различных временных отрезках и при различных порогах серьезности. Например, развитие киберпотенциала для сдерживания высокотехнологичной военной агрессии может выглядеть совсем иначе, чем развитие потенциала для поддержания низкоуровневого конфликта. Ничего не говорится в стратегии и насчет важного основополагающего вопроса: "Как лучше всего использовать грозный киберарсенал вооруженных сил США?".
В целом прагматичная направленность "Киберстратегии-2023" прослеживается во всем документе. Рассматривая кибероперации как один из многих инструментов, акцентируя внимание на полезности киберпространства под порогом вооруженного конфликта и намеренно ограничивая роль вооруженных сил США в киберпространстве, стратегия привносит дозу реализма в область, которая буквально вышла из научной фантастики. Размышления Пентагона о киберпространстве, некогда абстрактные и умозрительные, теперь опираются на реальные уроки и примеры. А сама кибер-организация, получив свое место за столом переговоров, теперь должна подумать о том, как использовать это место наиболее эффективно.
Об авторах
Эмерсон Т. Брукинг – старший научный сотрудник-резидент Лаборатории исследований цифровой криминалистики Атлантического совета. С августа 2022 по август 2023 года он был советником по киберполитике в аппарате заместителя помощника министра обороны США по киберполитике и входил в группу разработчиков киберстратегии Министерства обороны на 2023 год.
Эрика Д. Лонерган – доцент Школы международных и общественных отношений Колумбийского университета. Ранее она входила в группу разработчиков Киберстратегии Министерства обороны США на 2023 год и была старшим директором Комиссии Solarium по вопросам киберпространства.
Важно