Взгляды научного комитета МО США на классификацию угроз в киберпространстве

Полковник С. Паршин

Политически мотивированный всплеск публикаций в ряде средств массовой информации США о возможной причастности государственных органов Российской Федерации к проникновению в серверы национального комитета демократической партии США и передаче "похищенных" компрометирующих материалов в распоряжение известного своими разоблачениями сайта "Викиликс" в очередной раз привлекло общественное внимание к проблеме обеспечения безопасности киберпространства.

Данное событие стало очередным поводом для обострения дискуссии по проблеме безопасности национального киберпространства. При этом научно-практические исследования в этой области в мире давно вышли на новый уровень и привели к формированию в ряде стран принципиально новых подходов к строительству системы защиты киберпространства и его использованию в целях обеспечения национальной безопасности.

В первую очередь данная тенденция относится к самим США, где это стало особенно заметным с момента создания в рамках ОСК ВС США и видах ВС киберкомандований, ускоренной разработки форм и способов их боевого применения, формирования и стремительного развития сил и средств защиты национального киберпространства в структуре министерства внутренней безопасности (МВБ). Одновременно активизировалась деятельность высших органов государственного управления по законодательному обеспечению и стремления США закрепить лидирующую роль в перспективной системе контроля над мировым киберпространством.

В этой связи особый интерес вызывают работы научно-экспертного сообщества США, включая его военный компонент. Ведь, несмотря на отмеченные огромные организационно-структурные преобразования и законодательные усилия, действия в этой области были подвергнуты серьезной критике со стороны научного комитета министерства обороны (НКМО¹) США с формулированием ряда весьма неутешительных для Пентагона и МВБ выводов. Они были выработаны в результате прошедшей еще в 2012 году под эгидой НКМО серии консультаций и дискуссий военных профессионалов, представителей разведывательного сообщества, коммерческого сектора информационных технологий, национальной академии наук и научно-исследовательских лабораторий, а также представителей политического истеблишмента.

По итогам дискуссий рабочая группа, сформированная НКМО на основании указания заместителя министра обороны США по приобретениям, технологиям и тылу, опубликовала в 2013 году аналитическую работу "Устойчивость военных систем и перспективная киберугроза", в которой был сформулирован ряд выводов и рекомендаций для МО²:
- опасность киберугроз резко возросла, а их потенциальные последствия в определенном смысле стали сходны с угрозой применения ядерного оружия в период "холодной войны" между США и СССР;
- киберугрозы всегда являются угрозами тайными, так как противник может скрытно получить доступ к множеству источников разведывательных данных о критически важных объектах военного и экономического потенциала (оперативных и технических, военных и промышленных), что может угрожать национальной безопасности;
- современные действия МО и МВБ, несмотря на их масштабность и разносторонность, в целом остаются нескоординированными и не способными обеспечить полноценную защиту киберпространства;
- специальные структуры управления национальной безопасности (УНБ) МО, обозначающие действия противника и использующие различный инструментарий для проведения кибератак, в том числе доступный в сети Интернет; весьма успешно проникали в национальные киберсистемы;
- информационно-коммуникационные сети (ИКС) Соединенных Штатов продолжают развиваться на основе фактически небезопасной архитектуры с растущей долей компонентов иностранного производства;
- деятельность разведывательных служб США в отношении угроз национальной киберинфраструктуре, исходящих от близких по научно-технологическим возможностям потенциальных противников, явно неадекватна;
- существующие технологии и возможности не обеспечивают надежную защиту киберпространства от атак, проводимых с использованием неизвестных ранее инновационных технологических решений;
- для построения системы эффективного реагирования на киберугрозы, включая компоненты сдерживания, обеспечения гарантированной устойчивости сетей и наступательных кибервозможностей, МО США потребуются многие годы упорной работы.

Для более детального рассмотрения характера киберугроз и возможного реагирования на них, по утверждению НКМО, весьма важно опираться на единую терминологию. В его интерпретации термин "киберпространство"³ в широком смысле используется для обозначения компонентов и систем, оперирующих исключительно цифровой информацией, включая системы управления войсками и оружием, информационно-технологические комплексы, аппаратные средства, процессоры, операционные системы и программные приложения.

Киберугрозы можно классифицировать с точки зрения оценки возможностей трех основных групп субъектов, от которых они исходят, в зависимости от уровня их подготовленности:
- исполнители, зависящие от привлечения сторонней помощи при разработке вредоносных программ и нацеленные на использование известных уязвимостей и чужих известных программных инструментов (так называемых эксплоитов⁴);
- исполнители, способные разработать свои собственные программные продукты для использования уже известных уязвимостей и заниматься поиском новых, так называемых уязвимостей нулевого дня (0-day (private), и разработкой своих эксплоитов под вскрытые уязвимости;
- исполнители, обладающие существенными ресурсами (от организационных до финансовых) и возможностями по созданию на их основе новых уязвимостей.

Рабочая группа НКМО разработала градацию угроз, исходя из возможностей потенциальных субъектов, систематизированных по уровням квалификации и доступа к ресурсам.

Уровни I и II. Противник в основном использует известные уязвимости.

Уровни III и IV. Противник лучше финансируется, а также имеет квалификацию и оснащение, достаточные для вскрытия новых уязвимостей и последующего их использования.

Уровни V и VI. Противник может инвестировать большой объем финансовых, средств (миллиарды долларов) и затрачивать значительное время (годы) для фактического создания уязвимостей в системах, в том числе защищенных за счет изоляции от публичного сегмента сети Интернет.

При этом следует подчеркнуть, что атакующие высших уровней будут использовать все доступные им возможности для воздействия на информационную инфраструктуру. Однако до использования своих реальных инновационных возможностей противник, вероятнее всего, постарается задействовать средства низших уровней. По оценке различных западных источников, возможностями уровня V или VI обладает ограниченный круг стран, прежде всего США, КНР и Российская Федерация.

Возрастание возможностей для каждого уровня означает сокращение числа задействованных лиц и структур. То есть возможностями I и II уровня обладает огромное число пользователей Интернета и только несколько государств имеют возможности уровня V и VI.

В таблице на стр. 15 даны пояснения к каждому уровню угроз. Атакующие I уровня используют вредоносные программы, разработанные другими людьми. В хакерской среде их характеризуют как "кибермалышей" (существует даже устойчивое англоязычное понятие в отношении этих пользователей — script kiddies (скрипт киддис)). Их мотивы в основном объясняются желанием похвастаться своими успехами в проведении атаки, которая нанесла некоторый ущерб элементам киберпространства. Принадлежность к уровню II характеризуется способностью разрабатывать свой собственный вредоносный код и действовать для достижения определенных целей, например в интересах хищения коммерческой или финансовой информации.

Атакующие средней группы уже в состоянии применять некое разнообразие более изощренных инструментов, разработанных другими и чаще всего передаваемых в пользование за вознаграждение. Они могут применять широкий диапазон возможностей программного обеспечения (ПО) для проникновения в киберсистемы посредством доступа в Интернет и использования его результатов.

Главным различием между III и IV уровнями является масштаб - уровень IV подразумевает деятельность более крупных хорошо организованных структур, как государственных, так и криминальных.

К уровням V и VI отнесены госструктуры, способные выйти за пределы обычного, пусть и высокопрофессионального, внедрения вредоносного ПО через доступ в глобальную сеть и создавать уязвимости в системах, в том числе не имеющих доступа к глобальной сети и хорошо защищенных другими способами.

Структуры уровня V в состоянии внедрить вредоносное ПО или модифицированные аппаратные компоненты в компьютеры и сетевые системы в различных точках их жизненного цикла для использования в будущем (например, так называемые логические бомбы, запрограммированные на определенное время или поступление внешнего сигнала).
На уровне VI применяется уже весь набор возможных технологических и оперативных приемов с подключением определенных исполнителей (например, завербованных спецслужбами) и методов близкого доступа (физического или электронного) для проникновения в систему. При этом субъекты данного уровня обладают ресурсами для одновременного проведения множества операций.

Типы угроз кибербезопасности. Широкая разновидность угроз кибербезопасности, исходящих от большого количества источников, может неблагоприятно повлиять на работу компьютерных сетей, программное обеспечение, информационно-коммуникационные системы, функциональные процессы, производственную деятельность и собственно на саму глобальную сеть. В современных условиях киберугрозы продолжают возрастать и развиваться, и прежде всего в отношении критической инфраструктуры и ключевых ресурсов государств. Поэтому УНБ даже ввело в киберлексику понятие "жизненно опасной кибератаки" (Existential Cyber Attack).

Это атака, способная нанести государству значительный ущерб, потенциально приводящий к нарушению работы систем управления страной, включая повреждение или утрату существенной части военной и критической гражданской инфраструктуры: электрогенерирующих мощностей, систем управления и связи, обеспечения топливом и транспортными услугами, служб экстренного реагирования, финансового обеспечения и т. п.

По своему характеру эти угрозы могут быть непреднамеренными или умышленными, целевыми или безадресными (без конкретной цели) и при этом отличаться происхождением.

Непреднамеренные угрозы вызываются прежде всего халатностью или низкой квалификацией персонала, ошибками при модернизации ПО и проведении технического обслуживания, а также неизбежными отказами оборудования, которые непроизвольно ведут к нарушению процессов функционирования систем, искажению при потере данных.

К умышленным угрозам следует отнести целевые и безадресные кибератаки. Целевая атака - это действия группы или отдельного злоумышленника, направленные как минимум на проникновение в конкретную систему либо компонент киберпространства, обслуживающего критическую инфраструктуру. Безадресной следует считать атаку, которая не имеет конкретного объекта воздействия, например, когда вирусы, "черви" и другие вредоносные программы распространяются в сети случайным образом.

Кибератаки с использованием вируса "Стакснет" нанесла серьезный ущерб выполнению ядерной программы Ирана

Поскольку до октября 2010 года атаки в киберпространстве не приводили к катастрофическим последствиям, то достаточно вялая оценка этого явления исходила прежде всего из их гипотетических возможностей на перспективу, а реальную озабоченность вызывал лишь рост киберпреступности, и в первую очередь в финансовой сфере.

Отрезвление наступило после ошеломляющего дебюта первого образца по-настоящему боевого кибероружия - вируса "Стакснет", нанесшего серьезный ущерб выполнению ядерной программы Ирана, задержав наращивание производственных мощностей ее ключевых объектов. Это привело к возрастанию во всем мире серьезной озабоченности о возможности применения в кибератаках аналогичных вредоносных программ или еще более мощного кибероружия со стороны групп либо отдельных людей, имеющих злонамеренные мотивы, таких как криминальные сообщества, террористы и соперничающие иностранные государства. Тем более что после "Стакснет" были вскрыты еще вирусы "Дуку", "Аврора", "Флэйм", "Гаусс" и ряд других, подтвердивших эти опасения.

Вот почему угрозы в отношении информационной инфраструктуры, включая компьютерные сети различной ведомственной принадлежности, исходящие от разведывательных структур иностранных государств и хакеров, в одинаковой степени стали рассматриваться в США как серьезный вызов национальной безопасности.

Например, еще в феврале 2009 года директор национальной разведки заявил, что иностранные государства и криминальные группировки стали рассматривать кибератаки на государственные и частные сети как возможность получения конкурентного преимущества и способа потенциального нарушения их функционирования или даже разрушения, а террористические группы обозначили намерение использовать кибератаки как форму противоборства.

В свою очередь, управление по расследованию киберпреступлений ФБР (FBI Cyber Division) также озаботилось классификацией источников угроз национальной критической информационной инфраструктуре. Несмотря на наличие широкого спектра других достаточно опасных источников киберугроз, все же к главным ФБР отнесло угрозы, создаваемые иностранными государствами, ведущими активную разведывательную деятельность и осуществляющими информационное противоборство, а также национальные преступные группировки, хакеров, разработчиков вирусов и особенно так называемых инсайдеров, то есть сотрудников, работающих внутри организации. Побудительными мотивами для последних могут стать несогласие с политикой государства либо фирмы-работодателя по тем или иным мировоззренческим вопросам (например, небезызвестные Эдвард Сноуден и Брэдли Мэннинг), обычная вербовка иностранными спецслужбами и просто неудовлетворенность своим служебным положением.

В итоге в сводный перечень групп и отдельных лиц, считающихся главными источниками киберугроз для национальной киберинфраструктуры, с учетом рекомендаций экспертного совета Главного бюджетно-контрольного управления США (счетной палаты), по версии научного комитета министерства обороны страны вошли:
- Иностранные разведывательные службы, которые используют кибервозможности в качестве неотъемлемого компонента своей деятельности. По утверждению директора национальной разведки США, все возрастающее количество иностранных государственных структур нацеливается на извлечение информации и в перспективе на нарушение и даже разрушение информационной инфраструктуры.
- Криминальные группировки. В настоящее время обострилась проблема использования киберпространства криминальными группами с целью извлечения финансовой выгоды.
- Хакеры, которые чаще всего взламывают сетевые ресурсы для создания ситуации нервозности в информационном пространстве или для своего самоутверждения в глазах хакерского сообщества. Если ранее проникновение в сети требовало от хакеров большого опыта и серьезных компьютерных знаний, то сейчас они могут загрузить сценарии атак и протоколы из Интернета и запустить их против сайтов, определенных в качестве жертвы. Соответственно, и инструментарий атак становится более изощренным технологически и одновременно достаточно простым в применении.
- Хактивисты, действия которых отождествляются с политически мотивированными атаками на публичные сайты общего доступа или серверы электронной почты. Эти группы и отдельные пользователи перегружают почтовые сервера и взламывают веб-сайты для размещения на них политических посланий. Ярким примером хактивизма является деятельность международных групп "Анонимаз" и "Лулзсек".
- Инсайдеры. Исходящая изнутри организации угроза может быть умышленной или непреднамеренной. Инсайдеру совершенно не обязательно обладать опытом взлома компьютеров, поскольку его знания системы-жертвы зачастую позволяют ему получить ничем не ограниченный доступ к сетям с целью нанесения ущерба или извлечения из нее данных. Для МО США данная угроза рассматривается как наиболее опасная.

К инсайдерам можно отнести также и персонал подрядчиков Пентагона.
- Террористы нацелены на разрушение, блокирование работы или использование критической инфраструктуры для создания угроз национальной безопасности, вызова массовых жертв среди людей, ослабления экономики и формирования обстановки страха и неуверенности в обществе. Ведь даже точечные мероприятия такого плана дают серьезный эффект. Психически здоровый человек всегда боится неизвестности" и задача террористов состоит в том, чтобы усилить это чувство тревоги. Правда, традиционные террористические структуры, противостоящие США, не обладают сколь-нибудь значимыми кибервозможностями в сравнении с другими источниками угроз.

Эти структуры, группы и отдельные пользователи киберпространства для проведения кибератак задействуют разнообразные технологические приемы. Более того, киберпространство объективно имеет особенности, которые существенным образом отличают его от других операционных сред. К их числу относятся прежде всего следующие:
- атакующим нет необходимости находиться вблизи своих целей, поскольку киберпространство не имеет границ, в том числе и государственных;
- кибератаки могут совершаться автоматически, с высокой скоростью и одновременно в отношении множества целей;
- в условиях современной архитектуры киберпространства у атакующих есть возможность обеспечить свою анонимность.

(Продолжение следует)

¹ НКМО является федеральным консультативным органом, сформированным для проведения независимых исследований в интересах министерства обороны США.

² Следует подчеркнуть, что утверждения, взгляды, выводы и рекомендации этого доклада не обязательно отражают официальную позицию Пентагона и Белого дома.

³ Согласно наставлению КНШ JP3-12 в МО США используется следующее определение киберпространства: глобальная область информационной сферы, представляющая собой взаимозависимую сеть элементов информационных технологий, инфраструктуры и массивов данных, включая глобальную сеть Интернет, телекоммуникационные сети, компьютерные системы, а также процессоры и контроллеры, встроенные в технические средства.

⁴ Эксплоит - устойчивое выражение в профессиональном ИТ-сообществе, обозначающее последовательность шла, данных или команд, которая, используя возможности, предоставляемые уязвимостью в программном обеспечении, ведет к вводу произвольного кода с вредоносной целью.

Зарубежное военное обозрение. 2017, №5 С. 12-17

• Взгляды научного комитета МО США на классификацию угроз в киберпространстве ч2 (2017)
• Системы боевого управления и связи морской пехоты США - проблемы и решения (2006)
• Современные тенденции в совершенствовании системы управления вооружёнными силами ведущих зарубежных стран в информационную эпоху (2009)
• Грядущая цифровая война (2008)
• Информационная безопасность США (2010)
• Американская глобальная стратегия развития киберпространства в полицентричном мире
• Пентагон не будет бомбить и обстреливать хакеров
• США формируют систему коллективной кибербезопасности
• США пока полностью не готовы к отражению серьезной кибератаки (2012)
• Информационное оружие: теория и практика применения в информационном противоборстве