Правительство США готовит пакет санкций в отношении лиц и компаний в Китае и России, осуществляющих кибератаки против Соединенных Штатов. Физическим и юридическим лицам могут запретить въезд на территорию США, а их собственность там может быть заблокирована. О том, можно ли доказать причастность тех или иных иностранных структур к компьютерным диверсиям, корреспонденту “Ъ” МИХАИЛУ КОРОСТИКОВУ рассказал эксперт в области кибербезопасности, консультант ПИР-центра ОЛЕГ ДЕМИДОВ.
— Действительно ли возможно определить, откуда была совершена кибератака?
— Это очень трудно. Существует проблема атрибуции, то есть определения источника. В лучшем случае известные технические средства позволяют отследить местоположение сервера, с которого велась атака, но понять, кто именно управлял этим сервером, все равно невозможно.
— Как тогда будут вводиться санкции?
— В апреле этого года в США вышла новая доктрина Пентагона в киберпространстве, и там указано, что проблема эта существует, но имеющиеся инструменты во многих случаях позволяют ее решить. Этот же принцип берут на вооружение не только военные. То есть они, похоже, решили, что если, например, отследят источник атаки до конкретного офисного здания где-нибудь в Шанхае, из которого работал хакер, то наложат санкции на владеющую зданием компанию. Юридически здесь никакой доказательной базы нет, это будет исключительно политическое решение.
— Какого рода могут быть санкции?
— Этим летом после скандала с похищением предположительно китайскими хакерами персональных данных 20 млн американских госслужащих из сетей департамента управления персоналом США, Белый дом вплотную занялся рассмотрением возможных стратегий ответных шагов в подобных ситуациях. В результате среди прочих мер утвердилась идея санкций. На промышленный и коммерческий шпионаж решено было отвечать уголовными делами, на политический шпионаж и взломы сайтов госорганов — другими мерами, в том числе контроперациями в киберпространстве и контрразведывательной деятельностью.
— Действительно ли так успешно китайские хакеры действуют в США?
— Независимых способов оценки их деятельности не существует. Представители Пентагона еще в 2012 году называли цифру в 10 млн попыток проникновения в свои сети в сутки, после этого новой информации не было. Очевидно, что успешно меньшинство из них, но посчитать нет никакой возможности. Большинство попыток проникновения не ведут к краже информации, даже если они успешны. Хакеры просто отмечают обнаруженную уязвимость и оставляют лазейку на будущее. И такая деятельность ведется систематически, иногда штатными «работниками» круглосуточно в три смены.
— Какие компании могут попасть под санкции в Китае?
— Сложно сказать. Можно строить предположения, основываясь на предыдущих случаях предъявления американцами обвинений. Обычно в случае кражи технологий под подозрение попадает главный выгодоприобретатель. Например, Белый дом обвинял Китай в краже схемы радиоэлектронного оборудования, систем активных радаров американского перспективного истребителя F-35. По их информации, эти технологии были использованы в создании китайского перспективного истребителя J-20. Проект разработки J-20 ведет оборонная компания Chengdu Aircraft Industry Corporation. Вот и один из гипотетических кандидатов на попадание в санкционные списки.
— Ну не во всех же случаях есть единственный подозреваемый.
— Да, не во всех. К примеру, когда в мае этого года США официально предъявили обвинения в промышленном шпионаже пяти китайским офицерам, то было заявлено, что основными объектами кражи были технологии солнечных батарей, гражданского атома и сталелитейной промышленности. Если с гражданским атомом все проще, крупнейшим и де-факто монопольным игроком на китайском рынке является China National Nuclear Corporation, то в отношении других отраслей сказать ничего нельзя. К примеру, крупнейшая в Китае и мире компания по производству солнечных батарей Yingli Solar — далеко не единственная в стране. То же самое со сталелитейным сектором. Как это все доказывать? Это же серьезный процесс, разведывательное сообщество США вместе с киберкомандованием и другими подразделениями Пентагона должны в совместном докладе Белому дому представить веские доказательства причастности той или иной конкретной компании.
— Россия действительно на втором месте после Китая по числу кибератак в адрес США?
— По России никаких цифр не было и нет. Все в США подчеркивают, что российская деятельность в киберпространстве сильно отличается от китайской. Если в Китае работают целыми офисными зданиями хакеры невысокого уровня, которые безостановочно проверяют сотни тысяч объектов в США на уязвимость, то в России все по-другому. Россия проводит точечные хирургические спецоперации по добыче данных, в основном представляющих оборонную и военно-политическую ценность. При этом используется комбинированный подход, в операции используются и киберсредства, и «человеческий фактор». К примеру, эксперт по кибербезопасности и бывший член администрации Дж. Буша-младшего Джоэл Бреннер отмечал в своих книгах, что российские спецслужбы подкидывали офицерам коалиции НАТО в Афганистане зараженные флешки, благодаря которым потом были утечки чувствительной информации.
— Известно о каких-то российских операциях в киберпространстве?
— Все засекречено, даже если и происходит. И, естественно, все всё отрицают. С русскими западная пресса связывала масштабные атаки на объекты критической инфраструктуры, выполнявшиеся командой хакеров Energetic Bear и Dragonfly. Информация и об атаках, и о защите просачивается очень редко. Мы даже не знаем достоверно, в каком масштабе ведут борьбу против нас, статистики нет. Президент РФ Владимир Путин в выступлении на коллегии ФСБ заявлял, что за 2014 год было пресечено 74 млн кибератак на сети государственных органов РФ. При этом он не уточнил, идет ли речь о любых случаях срабатывания детекторов систем обнаружения и предотвращения вторжений, или каких-то более серьезных инцидентах.