В конце мая в Таллине прошёл круглый стол Европейской инициативы по исследованию киберконфликтов (European Cyber Conflict Research Initiative, ECCRI), на котором обсуждались «ключевые уроки» российских «киберопераций» в связи с «вооружённым конфликтом», т.е. специальной военной операцией России на Украине.
На круглом столе изучалось, чем отличаются российские кибероперации в военное время по сравнению с временем мирным, и чего от русских следует ожидать в киберпространстве в ближайшем будущем.
Мероприятие было закрытым, однако в июле ECCRI выпустил отчёт, сообщив кое-какие сведения.
Утверждается, что начиная с конца февраля 2022 года Россия проводила разнообразные кибероперации, в том числе с использованием зловредного ПО для разрушения данных (так называемых «стирателей» – wipers). Также интенсифицировался кибершпионаж и «меры по усилению влияния на различные аудитории». По предположениям Microsoft (которая сотрудничает с Пентагоном) эти кибероперации координировались с военными действиями.
Участники круглого стола разошлись во мнениях, полностью ли Россия «выложилась» в процессе киберопераций, или в резерве у неё остались незадействованные силы и инструменты. Многие отметили «уникально высокий темп киберопераций», чем, вероятно, и были порождены сомнения.
Вывод участников круглого стола ECCRI оптимистичен. Отметив «утечку мозгов» из России после начала войны и сложности в поддержании и мотивации оставшегося профессионального IT-персонала в течение долгого времени, европейские киберэксперты предположили, что следует ожидать «выгорания» сотрудников, ответственных за кибератаки. И тогда свободному миру полегчает.
У оптимистов, однако, случились оппоненты, как это и положено при плюрализме. Оппоненты заметили, что «у нас нет релевантных данных о том, каким числом операторов, разработчиков и т.д. располагает Россия». Ещё неизвестно, какими инструментами для «киберопераций» располагают русские. Так что предсказать интенсивность их будущих кибератак не представляется возможным.
Дебаты о стратегической ценности «киберопераций» шли в не менее широком диапазоне – от утверждения, что «кибервойна не случится» и аргумента о том, что киберпространство «не такое», у государств там нет той власти, которую они имеют в физическом мире, до не вполне ясной идеи «киберпространство создаёт новые стратегические эффекты в ситуации войны и мира».
Также обсуждался вопрос: насколько применимы «мирные» правила реакции на киберинциденты во время военных действий? Тут на помощь ECCRI пришло НАТО с пятой статьёй своего устава. Россия настолько опасается «пятой статьи» о коллективной защите (согласно которой нападение на одного из членов альянса считается нападением на НАТО в целом), что это связывает руки Кремлю, который, не будь пятой статьи, напал бы на Запад в киберпространстве. «Например, в случае с [вирусом] NotPetya, как нам теперь ретроспективно известно, целью операции не было распространить вирус за пределы Украины и навредить членам НАТО (вроде Дании)», – говорится в отчёте.
Это заявление, как, впрочем, и все положения отчёта, бездоказательно.
О том, каким образом западное общественное сознание инфицируется уверенностью в ответственности русских за кибернападения, мы неоднократно писали ранее.
Далее в ходе мероприятия было высказано предположение, что Украина, возможно, не лучший «тестовый пример», из которого можно извлечь пользу для развития «теории киберконфликтов». Дело в том, что «с начала российского вторжения в 2014 году» Украина оказалась в классической ситуации попрания суверенитета и использования физической военной силы, а киберпространство играло здесь второстепенную роль. Следовательно, все кибератаки в течение восьми лет проходили в «военной» обстановке – поэтому Украина не может «предложить примеры уроков» столкновения значительных сил в киберпространстве.
Попытаться понять логику авторов этого фрагмента отчёта будет, возможно, проще в странном (и не разделяемом нами – ред.) предположении, будто настоящая кибервойна возможна только в мирное время.
А вообще российская армия изначально не вела «сетецентрической» войны, используя старое, зачастую аналоговое «железо». Это делает концепцию (и страхи) революции в военных делах не такой уж страшной, а также сводит на нет возможные отрицательные последствия от использования уязвимой для хакеров «военной инфраструктуры».
Уязвимость военной и гражданской коммуникационной инфраструктуры также активно обсуждалась. Ряд выступающих предположили, что и российские, и украинские силы в процессе «киберопераций» вторгались в незащищённые системы и собрали множество ценных разведданных (на основе анализа электронных сигналов), в том числе о конкретных целях нападений. Чьи именно системы были целями, на круглом столе сказано не было.
Как говорится в отчёте, некоторые крупные технологические компании были весьма активны, поддерживая Украину – помогая укреплять её «киберинфраструктуру» или предупреждая о российских «кибероперациях». Так, Microsoft проактивно помогала официальным украинским кибербезопасникам, а также опубликовала несколько разведывательных сводок об угрозах безопасности.
Это показало уникальность ситуации, в которой обычно конкурирующие компании объединились, чтобы вместе противостоять угрозам, но также подняло вопрос о «совместной ноше»: если корпорации лучше подготовлены к киберобороне, чем национальные киберсилы Украины, значит ли это, что они (компании) участвуют в конфликте и разделяют тяготы войны? Если IT-гиганты защищают больше компьютерных систем и сетей, чем многие государства, не логично ли, чтобы разведданные направлялись к ним, а не только шли от них к государствам?
Вопросы эти оказались слишком сложны. Присутствующие не пришли к определённому мнению. Да и как было к нему прийти, если «некоторые компании активнее делились информацией о своих действиях, другие же действовали скрытно».
Кое-кто из участников мероприятия особо отметили, что, вероятно, на Украине проводилось много «западных» киберопераций, в частности, с участием стран альянса «Пять глаз» (цель международной организации разведок под названием Five Eyes состоит в обмене разведывательными данными. В неё входят Великобритания, Канада, Новая Зеландия, Австралия и США – ред.), о которых не было сведений в открытом доступе. Представитель армии США подтвердил, что киберкомандование провело против России «серию операций полного спектра: наступательных, оборонительных и информационных». Эти «активности» коммерческими ИБ-компаниями не изучались.
Отдельное внимание в отчёте уделено негосударственным хакерским группам, «киберпартизанам» и «киберармии Украины».
По поводу последней развязалась дискуссия – в том числе об опасности бесконтрольной деятельности подобных «организаций» в будущих конфликтах. Про киберпартизан было сказано, что они организовали «резонансную операцию» против железнодорожной системы Белоруссии, в результате которой, «как сообщалось», замедлилось продвижение российской пехоты и артиллерии. Никаких доказательств этого утверждения помимо публикации в WP авторам отчёта не потребовалось.
