Борьба в киберпространстве: подходы американских военных
Автор: С. Маринин, полковник
Военное руководство США, осознав стратегическую важность подготовки к ведению операций в киберпространстве, их критическую роль в достижении национальных военных целей и сдерживании потенциальных противников, в конце первой декады XXI века приступило к активным мероприятиям по созданию сил борьбы в киберпространстве и наращиванию их боевых возможностей.
Помимо организационно-штатных преобразований и освоения принципиально новых методов борьбы министерство обороны США направило свои усилия на выработку концептуальных подходов и базовых положений доктрины кибервойн.
В частности, интерес представляет эволюция взглядов и подходов Пентагона к формулированию понятийного аппарата и определению таких категорий, как «киберпространство» (Cyberspace), «противоборство (борьба) в киберпространстве» (Cyber Warfare), «операция в киберпространстве» (Cyberspace Operation) и др.
При этом «киберпространство» рассматривается как основополагающая категория, и именно в отношении ее сущности продолжаются споры в американском экспертном сообществе, тем более что на данный момент времени отсутствует и международно признанное определение этого понятия. Трудности возникают в связи с тем, что указанное пространство не поддается измерению в какой-либо системе координат. Вот почему каждое американское ведомство, в том числе и министерство обороны, использует собственную трактовку, исходя из своего предназначения и решаемых задач.
Впервые определение киберпространства было дано военными экспертами США в наставлении КНШ 2006 года «Информационные операции». В нем это понятие трактуется как «сфера, в которой применяются различные радиоэлектронные средства (связи, радиолокации, разведки, навигации, автоматизации, управления и наведения), использующие широкий диапазон электромагнитного спектра частот для приема, передачи, обработки, хранения, преобразования и обмена информации, и связанная с ними информационная инфраструктура ВС США».
Далее, в конце того же года, эта формулировка была уточнена объединенным штабом КНШ в «Национальной военной стратегии ведения операций в киберпространстве». В соответствии с ней под киберпространством понимается «сфера, в которой радиоэлектронные средства и электромагнитный спектр используются для хранения и преобразования данных, а также их обмена посредством компьютерных сетей и соответствующих инфраструктур».
Такая трактовка указанной категории позволила командованиям ВВС, ВМС и сухопутных войск США, приступившим к созданию видовых соединений и частей киберопераций, более четко осознать поставленные им задачи в области формирования кибернетических ресурсов. Ведь киберпространство определялось как среда, в которой необходимо широко использовать не только соответствующие средства (компьютеры с их аппаратно-программными и сетевыми ресурсами), но и средства радиоэлектронной борьбы, информационных и психологических операций, а также оружие направленной энергии 1).
Активнее всего разработка концептуальных положений борьбы в киберпространстве велась в ВВС США. Еще в феврале 2008 года министром ВВС была издана директива о создании 24-й воздушной армии (ведение боевых действий в киберпространстве). В одном из ключевых доктринальных документов этого ведомства, выпущенном в 2010 году под названием «Операции в киберпространстве», термин «киберпространство» конкретизирован и сформулирован как «глобальная сфера (домен) внутри информационного пространства, представляющая собой взаимосвязанную совокупность инфраструктур и информационных технологий, включая Интернет, телекоммуникационные сети, компьютерные системы, встроенные процессоры и контроллеры». Данное определение указывает на то, что военное руководство страны рассматривает борьбу в киберпространстве как составную часть информационного противоборства, которое должно вестись не только в четырех традиционных пространствах - наземном, морском, воздушном и околоземном космическом, но и в киберпространстве.
Что касается категории «противоборство (борьба) в киберпространстве», то еще в 2008 году министерство обороны США определило это противоборство как оперативно-стратегическую категорию, характеризующую процесс соперничества конфликтующих сторон, в котором каждая проводит в отношении другой операции, мероприятия или акции, связанные с программно-математическим и другими видами воздействия на объекты системы боевого управления и связи противника, его оружие и военную технику в интересах решения поставленных задач.
Следует также упомянуть, что военные теоретики США предпринимали попытку с научных позиций обосновать еще и термин «кибервойна» в рамках проводимых по заказу Пентагона исследований в интересах разработки соответствующей доктрины. Однако американские военные эксперты пришли к выводу о нецелесообразности введения данной категории в теорию борьбы в киберпространстве в части, касающейся ее как акта войны.
Вместо нее было предложено использовать термин «боевые кибероперации» (Cyber Warfare Operations). При этом в Пентагоне не отказались полностью от термина «кибервойна», учитывая вероятность возникновения реального конфликта между государствами в киберпространстве вне состояния официально объявленной войны.
Для подобного случая под термином кибервойна подразумевалось «использование сетевых возможностей одного государства для искажения, нарушения целостности, деградации, манипулирования или уничтожения информации, постоянно находящейся в компьютерах либо циркулирующей в компьютерных сетях, или собственно компьютеров и сетей другого государства».
По мнению американских специалистов, формами противоборства в киберпространстве являются наступательные, оборонительные и разведывательные операции в киберпространстве.
Одной из основных форм считается операция.
В вооруженных силах США различают операции в киберпространстве (Cyberspace Operation) и кибероперации (Cyber Operation).
Общим для них является то, что и те и другие представляют собой совокупность согласованных и взаимосвязанных по целям, задачам, месту, времени, объектам и содержанию одновременных или последовательных мероприятий, проводимых по единому замыслу и плану, по воздействию на объекты противника в киберпространстве. Сущностное отличие заключается в том, какими средствами это воздействие оказывается - кибернетическими (компьютеры с их сетевыми, аппаратными и программными ресурсами) или некибернетическими (средства информационной, психологической и радиоэлектронной борьбы, радиоэлектронной разведки, оперативной маскировки и дезинформации, а в перспективе - оружия направленной энергии). При этом, исходя из формулировок экспертов командования учебного и научных исследований по строительству сухопутных войск США, изложенных в февральском 2010 года «Концептуальном плане развития возможностей СВ по ведению операций в киберпространстве в период с 2016 по 2028 год», в ходе таких операций для решения поставленных задач предусматривается применение и тех и других средств, тогда как в кибероперации - исключительно кибернетических.
Операции в киберпространстве по содержанию решаемых задач классифицируются военными экспертами США как наступательные (Offensive Cyber Warfare), оборонительные (Defensive Cyber Warfare) и разведывательные (Cyber Warfare Intelligence). Существует также понятие «операция по захвату преимущества и вытеснению противника в киберпространстве » (Cyber Warfare Preemption), однако такая форма противоборства специалистами обычно не рассматривается как самостоятельная. Мероприятия по нейтрализации возникающей кибернетической угрозы, по оценкам МО США, могут проводиться лишь в комплексе с мероприятиями наступательного характера.
Основу киберопераций составляют операции или мероприятия в компьютерных сетях (Computer Network Operations), в том числе те, которые направлены на достижение военных целей в других пространствах (наземном, морском, воздушном и космическом). Американские военные теоретики рассматривают эти операции как совокупность согласованных и взаимосвязанных форм применения кибернетических средств в целях защиты своих компьютерных сетей, а также ведение наступательных действий, разведки и эксплуатации в своих интересах компьютерных сетей противника. Под эксплуатацией компьютерных сетей в соответствии с концептуальным документом ВВС США «Операции в киберпространстве» (2010) понимается получение к ним доступа для сбора разведывательных сведений о характеристиках и возможностях информационных систем и систем управления и связи противника. При этом мероприятия в компьютерных сетях классифицируются как кибератака, киберзащита и киберразведка.
Кибератака представляет собой преднамеренные действия по изменению, разрушению, искажению, запрещению, нарушению или уничтожению информации и программ, находящихся в компьютерных системах и сетях, или самих компьютеров и сетей.
Киберзащита - комплекс мероприятий по обеспечению устойчивой работы компьютерных систем и сетей в условиях ведения противником борьбы в киберпространстве.
Включает обеспечение безопасности информации, предотвращение угроз, исходящих из киберпространства, устранение последствий их осуществления, в том числе защиту, наблюдение, обнаружение и реагирование на несанкционированную активность в информационных системах и компьютерных сетях.
Помимо этого, введено понятие «динамическая оборона». Под ним эксперты США понимают «санкционированные военным руководством мероприятия, предполагающие выход за рамки процедур обороны и проведение акций упреждающего и воспрещающего характера за пределами американского сегмента киберпространства, в интересах противодействия возникающей угрозе или пресечения готовящегося нападения 2).
Киберразведка организуется и ведется в интересах решения двух групп задач
- добывание разведывательных сведений из компьютерных систем или сетей и их обработка с помощью аппаратно-программных средств (компьютерная разведка),
а также сбор и систематизация данных о потенциальных источниках киберугрозы и самих угрозах (разведка киберугроз).
Первая группа задач решается путем проведения комплекса согласованных мероприятий по несанкционированному проникновению в сети и компьютеры иностранных государственных и неправительственных организаций, а также представляющих интерес частных лиц. Решение второй группы задач (сбор информации о киберугрозах) предполагает использование совершенно новых источников, технологий и технических приемов, к разработке которых министерство обороны США приступило совсем недавно.
В частности, с 2010 года ведутся исследования в рамках программы «цифровая ДНК». Суть работ заключается в создании банка данных с сигнатурами (уникальными характеристиками) всех ранее зарегистрированных кибератак, а также в разработке набора программно-аналитических инструментов, позволяющих определять источник любого вторжения. Следует отметить и то, как американские военные эксперты трактуют сущность киберсредств, использование которых является одним из признаков противоборства в киберпространстве. К ним командование ВС США относит программные средства кибератаки, программные средства киберзащиты, киберразведки и кибертехнику или совокупность технических средств (компьютеров, процессоров, контроллеров, сетевого оборудования) для обеспечения боевого применения сил киберопераций.
Программные средства кибератаки в указанных выше документах ВВС и СВ США в некоторых случаях трактуются как кибероружие, или «инструменты для нанесения ущерба компьютеру, сети либо электронному устройству, в состав которых входит общее либо специализированное программное обеспечение».
В целом кибероружие предназначено для решения следующих задач:
- временное отключение от компьютерной сети критически важных узлов коммуникационной инфраструктуры;
- блокирование компьютерных операций и функций;
- нарушение работы и вывод из строя автоматизированных систем управления и связи;
- искажение и фальсификация информации, распространение дезинформации.
Существует еще один класс применяемого в киберпространстве оружия - оружия направленной энергии, обладающего способностью проецировать энергию на выбранные для атаки объекты противника.
В киберпространстве подобными объектами являются элементы электронных систем боевой и вспомогательной техники, а также электронные схемы, используемые в компьютерах и сетевых коммутаторах.
В частности, интерес представляет такой вариант боевого применения оружия данного класса, при котором направленная энергия будет проецироваться на сетевое оборудование для блокирования сетей с IP-адресацией в целях срыва компьютерных атак противника.
К программным средствам киберзащиты относятся собственно средства защиты (фильтры, межсетевые экраны, файрволы, ан ти вирусы), а также средства обнаружения кибератаки и реагирования.
Интерес представляет понимание военными экспертами США программных средств киберразведки.
Они классифицируются как средства разведки в компьютерных сетях и выявления киберугроз. В первом случае иногда используется понятие «программный агент» - это специально созданный вирус, который несанкционированно внедряется на интересующие объекты с задачей сбора разведывательной информации. Существует несколько способов его внедрения. Общим для них является то, что доставку на объект назначения осуществляет какой-либо носитель, например электронное письмо, веб-страница, программное приложение и даже элемент аппаратных средств.
Как правило, программный агент содержит функционалы самомодификации (изменения сигнатуры кода для обхода антивирусной защиты), самозащиты (создания своей копии при угрозе ликвидации), саморепликации (заражения других компьютеров), самошифрования (во избежание обнаружения по сигнатуре) и самома- скировки (изменяются коммуникационные маршруты во избежание отслеживания) в целях продления своего срока службы. Попав на объект назначения, он проникает в операционную систему скомпрометированного компьютера и по дистанционным командам или заложенным программам управления осуществляет сканирование всей имеющейся информации, систематизирует ее по приоритетам, а затем организует скрытное копирование и отправку по предназначению. Резидентно установленные «программные агенты» зачастую используются в качестве закладок в целях ожидания команды к активным действиям и выходу из «спящего» состояния.
Американские эксперты учитывают еще и тот факт, что любая система компьютерной безопасности уязвима благодаря наличию такого элемента, как пользователь. Именно человеческому фактору при засылке программного агента придается первоочередное значение. При этом на вооружение взят хакерский метод «социальной инженерии», под которым понимается технология установления доверительных отношений с пользователем, для того чтобы под различными предлогами, иногда называемыми «информационными ловушками», добиться от нег о выполнения процедур, позволяющих обеспечить беспрепятственное и «бескомпроматное» проникновение «программного агента» на объект.
Основу метода составляют довольно примитивные, но эффективные, как показывает практика, технические приемы, например посылка на почтовый аккаунт от якобы доверенных лиц электронных писем, содержащих информацию, представляющую интерес для находящегося в разработке пользователя. Вредоносный код либо интегрируется во вложение к письму, либо размещается на сайте, на который дана ссылка в письме. Необходимость правильного подбора темы сообщения и адреса отправителя вызвана тем, что вредоносный код срабатывает только при условии, если атакуемый перейдет по ссылке или откроет вложение.
Особый интерес у аналитиков США вызвала усовершенствованная версия данного хакерского метода, появившаяся в Интернете в 2008 году. Ее суть заключается во внедрении в электронные сообщения специальных программных модулей - скриптов, которые выполняют функцию автоматического переключения соответствующего ресурса на зараженный сайт без участия пользователя. Поскольку весьма сложно скрыть путь отправки добытой информации, организаторы операции широко используют механизмы исключения прямого взаимодействия с ними «программных агентов». Эти механизмы базируются на применении промежуточных звеньев, через которые направляется добываемая информация. Как правило, сеть посредников выстраивается по очень сложной схеме с задействованием серверов в различных точках глобального киберпространства в целях затруднения экспертно-технического анализа параметров несанкционированного вторжения.
Программные средства выявления киберугроз пока находятся в стадии разработки. Управление перспективных исследований министерства обороны США (DARPA) в рамках ранее упомянутой программы «цифровая ДНК» осуществляет специальный проект под названием «кибер-геном» (Cyber Genome). Его целью является создание банка данных уникальных характеристик компьютерных систем и сетей по типу «кибернетических эквивалентов отпечатков пальцев» или ДНК. Соответствующие цифровые образцы (улики о технике, характеристиках и методиках действий, использованных в кибератаках) предполагается собирать из действующих компьютерных систем, распределенных информационных сетей и накопителей данных. Их исследование планируется проводить по таким же схемам, как геном человека.
Фактически американские специалисты надеются получить возможность выявления источника кибератаки с помощью тех же алгоритмов и методик, которые используются для определения подозреваемых лиц по фрагментам тканей, оставленных на месте преступления.
Ранее отмечалось, что к кибернетическим средствам относится и кибертехника. В США она подразделяется на боевую, вспомогательную, а также на средства обслуживания и ремонта. Основу составляют боевые средства, в первую очередь суперкомпьютеры, выступающие в качестве платформ для начала киберопераций.
Таким образом, эволюция взглядов и подходов американского военного руководства к формулированию понятийного аппарата в сфере борьбы в киберпространстве подтверждает факт происходящего в настоящее время в этой стране пересмотра основных положений военного искусства с учетом изменившегося характера военно-стратегической обстановки и глубокого проникновения информационных и компьютерных технологий в сферу деятельности вооруженных сил. При этом отмечается активная проработка на экспертном уровне теории ведения боевых действий в киберпространстве, успех которых будет зависеть от заблаговременно созданного технологического задела и освоения соответствующих способов и форм кибернетического противоборства.
Не исключено, что уже в ближайшей перспективе они сформируют некую «систему кибервооружения» (организационно- функциональное объединение системы киберсредств, инфраструктуры и кадрового ресурса) и по ее состоянию будут судить о своей готовности не только проводить операции в киберпространстве, но и оказывать влияние на мировые процессы через эту сферу.
1 Оружие, основанное на применении направленной энергии (Directed Energy Weapons), включает лазерное, высокочастотное, радиочастотное и электромагнитное оружие, обладающее способностью проецировать энергию на выбранные для атаки объекты противника.
2 Данная формулировка отмечена в рассмотренных выше концептуальных документах ВВС и СВ США.
"Зарубежное военное обозрение"