Некоторые аспекты кибертерроризма

Как заявил в 2013 году директор национальной разведки США Джеймс Клэппер, «кибератаки и кибершпионаж впервые потеснили терроризм в качестве главной угрозы для безопасности США» (Hosenball & Zengerle, 2013). Это дало основания говорить о появлении кибертерроризма, который может занять место традиционного физического терроризма. Клэппер разделил эту новую угрозу в киберпространстве на две составляющие– на кибератаки и кибершпионаж. В связи с этим целесообразно определиться с фигурируемыми в данной работе понятиями киберпространства, кибератаки и кибершпионажа.

Министерство обороны США (согласно Joint Publication 3.0 Joint Operations 17 Сентября 2006 с изменениями 2, 22 марта 2010) определяет киберпространство как глобальную сферу в пределах информационной среды, состоящую из сети взаимосвязанных ИТ- инфраструктур, включая Интернет, телекоммуникационные сети, компьютерные системы и встроенные процессоры и контроллеры (Andress & Winterfeld, 2011). В киберпространстве используются электронные устройства и электромагнитный спектр для хранения, изменения и обмена данными через сетевые системы.

 По определению экспертов Кристин Лорд и Тревиса Шарпа, кибератака – это враждебные действия с использованием компьютеров, электронной информация и/или цифровых сетей с целью манипулирования, кражи, вывода из строя, воспрещения, ослабления или уничтожения критически важных систем и средств, а также информации или функций (Lord & Sharp, 2010).

Кибер шпионаж предполагает использование компьютерных или смежных систем для сбора данных или выполнения определенных операций в киберпространстве или в реальном мире. В отличие от обычных киберпреступлений с целью получения финансовой выгоды кибершпионаж вызывает более серьезные последствия стратегических масштабов (Lord & Sharp, 2010).

Кроме организованных преступников, асимметрия киберпространства и его скрытые возможности могут стать ценным ресурсом для террористических и экстремистских организаций (Cornish et al., 2010). Потенциальные области применения террористами коммуникационных сетей, мобильных информационных систем и интеллектуальных технологий было продемонстрировано на примере террористических атак в Мумбае в ноябре 2008 года, когда террористы группировки «Лашкар-э-Тайба» пользовались системами GPS и 3G смартфонами, наряду с обычным оружием, для подготовки и проведения нападения на гражданские объекты (Cornish et al., 2010). В данном случае степень использования технологий была на зачаточном уровне - для сбора информации о целях и объектах, обеспечения связи между преступниками и осуществления тактического руководства боевиками во время нападения. Иными словами, компьютерные технологии использовались как вспомогательные средства для проведения террористического акта.

Однако, по мнению старшего научного сотрудника корпорации RAND Мартина Либики, даже кибератаки хакеров-террористов на серьезном профессиональном уровне являются в сравнении с традиционным физическим терроризмом лишь досадной неприятностью (Libicki, 2015).  Эксперт резонно утверждает, что, теоретически, кибертерроризм не может существовать. Терроризм по определению прибегает к атакам и нападениям для запугивания и устрашения с целью воздействия на общественное сознание. Тем не менее, кибератаками, всегда предпринимаемыми против компьютерных систем, достаточно сложно запугать организации, которые их используют. Поэтому правомерно говорить не о кибертерроризме, а об использовании хакерами киберпространства для оказания помощи физическим террористам в достижении материальных террористических целей. Некоторые аспекты такой деятельности можно рассмотреть на примере недавней декабрьской кибератаки на киностудию Sony Pictures и более раннего (и менее освещенного) кибернападения на Las Vegas Sands Corporation, в которых проявились многие элементы терроризма.

Кибератака на Sony прошла до выхода нового фильма киностудии под названием «Интервью», в котором описывался заговор против лидера Северной Кореи, что дало основание предположить о вовлеченности этой страны в случившееся. Хакеры пытались надавить на Sony, чтобы блокировать показ фильма. Для этого они проникли в систему корпорации, взломали электронную почту руководства компании, украли пять видеофайлов и превратили в груду хлама настольные компьютеры и серверы во всей корпорации.

Затем они опубликовали выбранные электронные письма, привев в замешательство руководство компании, и путем обнародования персональных данных вызвали волнения среди работников компании (некоторые из них подали иски в суд). Система компании была выведена из строя, что вынудило сотрудников работать с ручкой и бумагой. Расходы на восстановление системы первоначально оценивались от 40 миллионов долларов до 100 миллионов, хотя позднее эти цифры были уменьшены (Libicki, 2015).

После этого Sony не изменила своих планов выпустить фильм в прокат к Рождеству. Через несколько недель после кибератаки хакеры повысили ставки, угрожая реальной террористической атакой, наподобие 9/11, на кинотеатры, демонстрирующие фильм и, следовательно, на зрителей. Четыре крупные киносети отказались показывать фильм. В конце концов, Sony, потеряв 80% внутреннего рынка, сняла фильм с показа. Эти последствия были ошибочно истолкованы некоторыми специалистами, что, мол, Sony сняла фильм с проката из-за угрозы кибератак, хотя определяющим фактором была угроза фактического терроризма.

Схожие мотивации и результаты наблюдались в случае атаки на Las Vegas Sands Corporation в феврале 2014 года. Нападение последовало после заявления собственника корпорация Шелдона Адельсона, выступившего с угрозами нанесения ядерных ударов по Ирану, если тот откажется демонтировать свой ядерный потенциал. Подозрение в атаке, соответственно, падало на иранцев. Хакеры также вывели из строя настольные компьютеры и стерли данные серверов, которые отслеживали выигрыши и проигрыши в казино. Как и в случае с Sony, деятельность компании была приостановлена на несколько дней. Потери оценивались в 100 миллионов долларов (Libicki, 2015). В отличие от Sony, хакеры не афишировали свою атаку, и Sands удалось скрывать объемы потерь до момента, когда Bloomberg BusinessWeek сообщил об этой истории.

Более ранние случаи кибератак хакеров- террористов выявили аналогичную тенденцию уничтожать компьютерные системы. Было две атаки, проведенные предположительно иранцами, против Saudi Aramco (уничтожено 30000 компьютеров) и RasGas (несмотря на вмешательство в сеть, не было никаких сообщений об уничтожении компьютеров).

В ходе нескольких атак на южнокорейские банки и медиа-компании в марте 2013 года (впоследствии названные "Операция Сеул во мраке") также уничтожались компьютеры. На основе предположения, что только Северная Корея могла атаковать Южную Корею, набор типовых параметров кибератаки позволил ФБР приписать Северной Корее и авторство атаки на Sony (Libicki, 2015).

С созданием в 1991 году вируса «Микеланджело» люди поняли, что установка вредоносного ПО на компьютер подразумевает способность привести его в негодность. Это происходит при перезаписи жесткого диска, где хранятся загрузочные инструкции. Переформатирование компьютера позволяет осуществить аппаратное восстановление, но при этом теряются все данные. Удивительно, что в прошлом компьютеры уничтожались не часто, а вместо этого хакеры после установки вредоносных программ предпринимали другие действия в системе (например, получали доступ к счетам банка или корпоративным серверам, крали данные, трансформировали компьютеры в ботов, делали всплывающую рекламу).

Сегодня эти случаи участились, хотя использование Cryptolocker и других форм вредоносных программ-вымогателей в сочетании с не отслеживаемой цифровой валютой (для выплат путем шантажа) означает, что большинство компьютеров выводились из строя по традиционным преступным мотивам, а не в террористических целях (Libicki, 2015).

Типовые признаки кибератак с целью терроризма

Анализ этих двух случаев позволяет определить типовые признаки кибератак, которые позволяют отнести их использованию киберпространства хакерами в террористических целях. Эти признаки включают следующее: выбор легко уязвимых целей; ограниченные возможности группировки, стоящей за атакой; наличие политических мотивов; активное уничтожение системы без явной цели; воздействие на более широкий круг объектов, чем конкретные объекты-цели, на фоне трудно формируемой реальной киберугрозы (Libicki, 2015).

Атаки на легко уязвимые цели

Обычно, наибольшей угрозой со стороны мощных субъектов (как правило, государственных или хорошо финансируемых негосударственные организаций) являются вывод из строя системы электроснабжения или крах банковской системы. Кроме того, согласно исследованию Научного совета МО США 2013 года, грамотные хакеры могут поражать с катастрофическими последствиями военные структуры сетецентрического управления. Но это сложные критические системы, и их руководители имеют представление о стоящих угрозах. Sands и Sony являются более легкими целями, возможно, потому, что они относятся к шоу-бизнесу, где внимание вопросам безопасности несколько ослаблено. В целом, по мнению Либики, крупные бизнес-сети, имеющие многочисленные связи с партнерами, поставщиками и веб-сайтами, практически невозможно защитить от серьезных хакерских атак.

Поэтому в обоих случаях хакерам удалось получить доступ в сети, которые им были нужны, без непреднамеренного ущерба системам других организаций. Настоящие террористы осознают сложность физического проникновения на хорошо защищенные критически важные объекты инфраструктуры развитых стран и стремятся осуществлять атаки на многочисленные незащищенные объекты, где собираются много людей (например, кафе, продовольственные рынки, поезда), когда уровень вызванных в обществе тревоги и страха могут быть сравнимы по последствиям с атаками на важные объекты. Нападение в январе на парижский офис Charlie Hebdo является примером этого.

Такой подход в полной мере относится и к использованию террористами киберпространства.

Оружие слабых

Иран или Северная Корея не обладают достаточной мощью и силой, чтобы добиваться необходимого им результатов традиционными для Запада методами давления или использования финансовых рычагов. Этим относительно слабым игрокам пришлось использовать другие, более доступные и приемлемые по эффективности для них методы.

Традиционный терроризм - это оружие тех, кто не способен решать задачи обычными вооруженными методами, например, вести полномасштабную вооруженную борьбу с противником. Этот фактор заставляет их использовать ассиметричные скрытые возможности киберпространства.

Политические мотивы

Политическая подоплека в кибератаках присутствовала с момента появления хакерства. Как правило, атаки хакеров были направлены против тех, кто их обидел или оскорбил (например, действия Anonymous против HBGary в начале 2011 года). Но политические мотивы наиболее ярко проявились в атаках такого масштаба, как против Sony и Sands.

В обоих случаях послание хакеров было следующее – будьте поосмотрительнее, делая оскорбительные заявления или осуществляя оскорбляющие действия, и это можно рассматривать как попытку определенной группировки или государства регулировать глобальные политические вербальные коммуникации посредством угроз осуществления актов насилия. Похожие действия для принуждения соблюдать политкорректность путем угрозы террора были предприняты против датского карикатуриста и голландского режиссера (в последнем случае, со смертельным исходом). Нападение на Charlie Hebdo является напоминанием, что осуществление права на свободу слова приносит с собой риск реальных террористических угроз, выходящих далеко за пределы того, что можно было бы назвать кибертерроризмом.

Таким образом, без понимания роли киберсреды как политического пространства трудно выработать адекватные меры противодействия кибератакам хакеров-террористов.

Активное разрушение без явной цели

Большинство из тех, кто вторгается в информационные системы, делают это, чтобы захватить что-нибудь ценное, будь то интеллектуальная собственность, данные по бизнесу или личная информация. Но физические террористы, в том числе использующие в своих целях киберпространство, ставят себе другие цели. Подобным образом дело обстоит и с атаками на Sands и Sony. Корпорации понесли потери, но хакерам ничего другого и не надо было для достижения своих целей.

Воздействие на большее число объектов, чем атакуемые цели, на фоне трудностей с формированием  реальной киберугрозы

Хакеры ни в одном из этих случаев не были способны одними кибератаками запугать корпорации. Как уже отмечалось, в случае с Sony им пришлось выступить с угрозами насилия, чтобы добиться своего. Эти угрозы были восприняты всерьез, несмотря на то, что Департамент Национальной Безопасности заявлял, что за угрозами не стоит ничего серьезного.

Но возникает вопрос: были бы угрозы восприняты так серьезно, если бы они не следовали за успешными кибератаками? В конце концов, нет никакой причины воспринимать хакеров как реальных убийц - у них совсем другой набор навыков. К тому же очень трудно сформировать реальную киберугрозу против конкретной цели, так как, зная о киберугрозе, можно найти способы борьбы с ней либо с помощью устранения недостатков, либо путем отключения критически важных сетевых функций.

Разница между дорого обходящимся раздражением общественности и террором в другом. Терроризм воздействует не только на тех, кто непосредственно оказывается в эпицентре событий, но и на большее число объектов, напрямую не вовлеченных в процесс. К примеру, после атаки на Sony любая компания, у которой в прокате есть фильмы о Северной Корее (или Иране, или другом государстве-изгое) теперь должна учитывать риски кибератак при расчете своих затрат и прибыли – подобно рискам, связанным с судебными разбирательствами.

Аспекты борьбы с терроризмом в киберпространстве в США

Либики считает, что в США к проблеме терроризма подходят двояко - его рассматривают либо как угрозу общественной безопасности, либо как угрозу национальной безопасности (Libicki, 2015).

Для борьбы с угрозой общественной безопасности власти стремятся проводить такую политику, которая позволяет минимизировать общий ущерб от терроризма, где затраты определяются как сумма последствий успешных терактов и ресурсов, необходимых для их предотвращения. Но при этом, полагают эксперты, надо учитывать следующий принцип: терроризм является лишь одной из угроз для общества среди многих, и есть надежные методы анализа расходования средств на альтернативные способы улучшения общественной безопасности.

Но в борьбе с угрозами национальной безопасности, по мнению американских специалистов, экономические вопросы отходят на второй план. С такими угрозами надо бороться системно и на высоком уровне, выделяя для этого столько ресурсов и средств, насколько себе может позволить государство. Реакция США на события 9/11 как раз и есть реакция на угрозу национальной безопасности – поэтому страна потратила на это громадное количество сил и средств.

Дискуссия по поводу того, как рассматривать вышеупомянутые кибератаки - как угрозы национальной безопасности или угрозы общественной безопасности - разгорелась после кибератаки на Sony. Президент Обама заявил, что это акт вандализма, а не войны. Другие политики, как Ньют Гингрич и председатель сенатского комитета по вооруженным силам Джон Маккейн считают это войной (Libicki, 2015).

В данном случае позиция президента США близка к мнению экспертов в области кибербезопасности, которые призывают: 1. Не преувеличивать значение каждого инцидента в киберпространстве, рассматривая их больше в экономическом плане; 2. В то же время ужесточить меры безопасности даже для самых обычных систем (Libicki, 2015; Libicki & Gompert, 2015). Они считают, что это будет ошибкой позволить угрозам кибертерроризма отвлечь внимание от гораздо большей угрозы со стороны отдельных государств для компьютерных систем США, от которых зависит национальная безопасность страны.

Заключение

Хотя террористические группировки и другие экстремистские организации набираются опыта и мастерства в проведении хакерских атак, но, если за ними не стоят такие государств, как Китай и Россия, или даже Иран (хотя даже технологически отсталая Северная Корея способна нанести реальный вред), то, как считают американские эксперты, они не смогут добиться реализации серьезных террористических целей, используя только лишь киберпространство (Libicki & Gompert, 2015). Специалисты полагают, что борьба с угрозами так называемого кибертерроризма может отвлечь внимание от гораздо больших угроз национальной безопасности США в киберпространстве со стороны отдельных стран, призывая при этом ужесточить меры безопасности даже для самых обычных систем. Таким образом, защита критически важных сетей от угроз высшего уровня рассматривается как приоритетная задача, несравнимая по важности с защитой социальных или бизнес-сетей от меньших угроз кибератак с элементами терроризма.

Источники

Andress, J. & Winterfeld, S. (2011). Cyber Warfare. Techniques, Tactics and Tools for Security Practitioners. Waltham, MA: Elsevier, Inc.

Cornish, P., Livingstone, D., Clemente, D. and Yorke, C. (2010). On cyber warfare. A Chatham House report. PDF file.

Gompert, D.C. & Libicki, M.C. (2015). Decoding the breach: The truth about the CENTCOM hack. RAND. http://www.rand.org/blog/2015/02/decoding-the-breach-the-truth-about-the-centcom-hack.html

Hosenball, M. & Zengerle, P. (2013). Cyber attacks leading threat against U.S.: spy agencies. http://www.reuters.com/article/2013/03/12/us-usa-threats-idUSBRE92B0LS20130312

Libicki, M.C. (2015). Cyberattacks are a nuisance, not terrorism. RAND. http://www.rand.org/blog/2015/02/cyberattacks-are-a-nuisance-not-terrorism.html

Lord, K.M. & Sharp, T. (2011). America’s Cyber Future. Security and Prosperity in the Information Age. Center for a New Ametrican Security. PDF file.