Нападения на сети совершаются с того самого момента, как они появились – и операторы эти нападения успешно отражают. Остерегайтесь призывов к усилению государственного контроля над Интернетом.
Мы вошли в Ирак, имея весьма неубедительные основания.
Мы вошли в Ирак, имея весьма неубедительные основания.
А теперь мы можем допустить точно такую же ошибку в киберпространстве.
В последние недели все чаще и громче звучат панические заявления о потенциальных угрозах в сети. На слушаниях в сенатском комитете по делам вооруженных сил в этом месяце его председатель Карл Левин (Carl Levin) сказал, что "кибероружие и кибератаки по своей разрушительной мощи и последствиям приближаются к оружию массового уничтожения".
Страхи появились в этом году, когда возникли подозрения, что Китай взломал серверы Google. С тех пор пресса, Конгресс и представители отрасли компьютерной безопасности своими сообщениями, заявлениями и разговорами все чаще сеют панику по поводу бесформенной киберугрозы.
Шеф кибербезопасности администрации Буша Майкл Макконнел (Michael McConnell) (Макконнел был директором национальной разведки США – прим. перев.) заявил недавно, что Соединенные Штаты "ведут сегодня кибервойну, и войну эту они проигрывают".
По словам Макконнела, который сегодня занимает пост вице-президента компании Booz Allen Hamilton, "наша электроэнергетическая система, воздушный и наземный транспорт, а также системы водоочистки в опасности". А на днях сенаторы Джей Рокфеллер (Jay Rockefeller) (от Демократической партии) и Олимпия Сноу (Olympia Snowe) (от Республиканской партии) написали о "современных кибернетических врагах", способных "нарушить работу или вообще вывести из строя жизненно важные информационные сети, что может привести к катастрофическим экономическим потерям и социальному хаосу".
Но ни один из этих предвестников катастрофы не представил доказательств в подтверждение своих заявлений. Они упоминают взлом Google в Китае, но это была шпионская акция, и несмотря на ее серьезность, к катастрофе она не привела.
"Кибератаки" случались, и случаются до сих пор. Нападения осуществляются на государственные и частные сети – от атак в Корее до атак во время грузино-российской войны, приведших к полному отказу оборудования. Безусловно, эти атаки вызывают серьезную озабоченность, и мы должны тщательно их изучать.
Но пока все эти события являются в большей мере досадной неприятностью, но не катастрофой. Самый крупный их результат состоит в том, что сайты закрываются на несколько часов или дней.
Это говорит о том, что вопрос безопасности должен занимать важное место в работе любого сетевого оператора. Однако это не означает, что такие атаки могут привести (ведь не приводили же!) к тем апокалиптическим сценариям, которые воображают себе наши политики. Нет никаких свидетельств, что эти атаки приводили к гибели людей или к угрозе для важных объектов инфраструктуры. Не было ни отключений электроэнергии, ни прорыва дамб, ни паники на улицах.
Киберпаникеры своей риторикой скатывают различные потенциальные угрозы в один большой снежный ком страха, неуверенности и сомнений. Директор Центрального разведывательного управления, например, объявил на этой неделе, что кибератака может стать новым Перл-Харбором.
Кибервойна, кибершпионаж, кибертерроризм, киберпреступность – все это несопоставимые и совершенно разные угрозы. Некоторые из них более реальны, некоторые менее, и у каждой из них имеются свои собственные причины, мотивация, проявления и последствия. В итоге к каждой из этих угроз видимо должен быть свой, соответствующий подход.
К сожалению, дискутирующее общество обычно сваливает их в одну кучу, занося в непонятную и по сути своей бессмысленную категорию "киберугрозы".
Но давайте подышим и успокоимся.
Чтобы иметь возможность эффективно реагировать на все эти аморфные "киберугрозы", нам надо сначала точно определить, что это за угрозы, и в какой степени федеральные власти должны участвовать в защите от этих угроз.
Военная терминология вполне удачно вписывается в тревожную риторику, но она неприменима к тем разнообразным и рассредоточенным угрозам, с которыми сталкиваются государственные и частные системы информационных технологий.
Факт остается фактом: на всем протяжении существования сетей они постоянно подвергались атакам. Но за последние 20 лет сетевые операторы разработали эффективные схемы обнаружения, предотвращения и ликвидации последствий таких нападений.
Поэтому нам надо остерегаться призывов к усилению государственного контроля над Интернетом. На прошлой неделе Федеральная комиссия связи в рамках своего общенационального плана развития широкополосного Интернета начала анализировать вопрос о том, стоит ли создавать "программу добровольной сертификации кибербезопасности". Через эту программу Федеральная комиссия связи будет выдавать свидетельства провайдерам услуг связи на основе некоего набора стандартов кибербезопасности, которые будут разрабатываться непосредственно этой комиссией либо третьей стороной.
Сенаторы Рокфеллер и Сноу сделали еще более зловещий шаг, внеся на рассмотрение законопроект о кибербезопасности Cybersecurity Act of 2010, цель которого ради безопасности изменить правила работы Интернета. Им также предусматривается создание национальной системы лицензирования специалистов в сфере безопасности. Кроме того, в рамках этого закона планируется выделить миллионы долларов "киберинвестиций" для "региональных центров кибербезопасности" и прочих программ.
В основе призывов об участии федеральных властей в обеспечении кибербезопасности лежит предложение о реорганизации Интернета таким образом, чтобы легче было следить за пользователями в целях выявления источников нападений. Законопроект Рокфеллера-Сноу как раз и направлен на разработку такой "безопасной адресной системы доменных имен".
Но это скользкая дорожка.
Мы уже видели, как развивался дорогостоящий военно-промышленный комплекс. И в этом новом лихорадочном стремлении "защитить" мы также можем увидеть нового расточительного монстра. Чем страшнее выглядит угроза – и чем менее она понятна – тем лучше для военных подрядчиков, подобных Booz Allen Hamilton, которая на прошлой неделе получила от министерства обороны контрактов в области кибербезопасности на 34 миллиона долларов.
Этим деньгам сегодня определенно можно найти лучшее применение.
Все, кого волнует нейтралитет сети и гражданские свободы, и особенно анонимность и конфиденциальность в Интернете, должны взять это себе на заметку. Пока страну не захлестнул страх, пока мы не начали слишком быстро реагировать на "усиливающуюся угрозу" кибератак, нам надо сделать паузу и спокойно подумать о возможных рисках и о имеющихся у нас альтернативах.
Вместо того, чтобы принимать прямо сейчас обширный закон о "киберобороне", Конгрессу следует разобраться с теми угрозами, с которыми мы сталкиваемся, и сделать так, чтобы на каждую из них была выработана соответствующая мера противодействия. Если этого не будет, мы столкнемся с огульной и "безразмерной" системой, которая не даст результата.
Первым правильным шагом может стать предоставление военным и федеральным ведомствам соответствующих инструментов защиты своих онлайновых систем. Но предложение о реорганизации Интернета, о введении стандартов и лицензировании в этом самом инновационном секторе нашей экономики должно заставить нас задуматься. Для спешки в этом деле нет никаких оснований.
Джерри Брито и Тэйт Уоткинс – научные сотрудники центра Mercatus при Университете Джорджа Мейсона, занимающиеся вопросами технологической политики.
В последние недели все чаще и громче звучат панические заявления о потенциальных угрозах в сети. На слушаниях в сенатском комитете по делам вооруженных сил в этом месяце его председатель Карл Левин (Carl Levin) сказал, что "кибероружие и кибератаки по своей разрушительной мощи и последствиям приближаются к оружию массового уничтожения".
Страхи появились в этом году, когда возникли подозрения, что Китай взломал серверы Google. С тех пор пресса, Конгресс и представители отрасли компьютерной безопасности своими сообщениями, заявлениями и разговорами все чаще сеют панику по поводу бесформенной киберугрозы.
Шеф кибербезопасности администрации Буша Майкл Макконнел (Michael McConnell) (Макконнел был директором национальной разведки США – прим. перев.) заявил недавно, что Соединенные Штаты "ведут сегодня кибервойну, и войну эту они проигрывают".
По словам Макконнела, который сегодня занимает пост вице-президента компании Booz Allen Hamilton, "наша электроэнергетическая система, воздушный и наземный транспорт, а также системы водоочистки в опасности". А на днях сенаторы Джей Рокфеллер (Jay Rockefeller) (от Демократической партии) и Олимпия Сноу (Olympia Snowe) (от Республиканской партии) написали о "современных кибернетических врагах", способных "нарушить работу или вообще вывести из строя жизненно важные информационные сети, что может привести к катастрофическим экономическим потерям и социальному хаосу".
Но ни один из этих предвестников катастрофы не представил доказательств в подтверждение своих заявлений. Они упоминают взлом Google в Китае, но это была шпионская акция, и несмотря на ее серьезность, к катастрофе она не привела.
"Кибератаки" случались, и случаются до сих пор. Нападения осуществляются на государственные и частные сети – от атак в Корее до атак во время грузино-российской войны, приведших к полному отказу оборудования. Безусловно, эти атаки вызывают серьезную озабоченность, и мы должны тщательно их изучать.
Но пока все эти события являются в большей мере досадной неприятностью, но не катастрофой. Самый крупный их результат состоит в том, что сайты закрываются на несколько часов или дней.
Это говорит о том, что вопрос безопасности должен занимать важное место в работе любого сетевого оператора. Однако это не означает, что такие атаки могут привести (ведь не приводили же!) к тем апокалиптическим сценариям, которые воображают себе наши политики. Нет никаких свидетельств, что эти атаки приводили к гибели людей или к угрозе для важных объектов инфраструктуры. Не было ни отключений электроэнергии, ни прорыва дамб, ни паники на улицах.
Киберпаникеры своей риторикой скатывают различные потенциальные угрозы в один большой снежный ком страха, неуверенности и сомнений. Директор Центрального разведывательного управления, например, объявил на этой неделе, что кибератака может стать новым Перл-Харбором.
Кибервойна, кибершпионаж, кибертерроризм, киберпреступность – все это несопоставимые и совершенно разные угрозы. Некоторые из них более реальны, некоторые менее, и у каждой из них имеются свои собственные причины, мотивация, проявления и последствия. В итоге к каждой из этих угроз видимо должен быть свой, соответствующий подход.
К сожалению, дискутирующее общество обычно сваливает их в одну кучу, занося в непонятную и по сути своей бессмысленную категорию "киберугрозы".
Но давайте подышим и успокоимся.
Чтобы иметь возможность эффективно реагировать на все эти аморфные "киберугрозы", нам надо сначала точно определить, что это за угрозы, и в какой степени федеральные власти должны участвовать в защите от этих угроз.
Военная терминология вполне удачно вписывается в тревожную риторику, но она неприменима к тем разнообразным и рассредоточенным угрозам, с которыми сталкиваются государственные и частные системы информационных технологий.
Факт остается фактом: на всем протяжении существования сетей они постоянно подвергались атакам. Но за последние 20 лет сетевые операторы разработали эффективные схемы обнаружения, предотвращения и ликвидации последствий таких нападений.
Поэтому нам надо остерегаться призывов к усилению государственного контроля над Интернетом. На прошлой неделе Федеральная комиссия связи в рамках своего общенационального плана развития широкополосного Интернета начала анализировать вопрос о том, стоит ли создавать "программу добровольной сертификации кибербезопасности". Через эту программу Федеральная комиссия связи будет выдавать свидетельства провайдерам услуг связи на основе некоего набора стандартов кибербезопасности, которые будут разрабатываться непосредственно этой комиссией либо третьей стороной.
Сенаторы Рокфеллер и Сноу сделали еще более зловещий шаг, внеся на рассмотрение законопроект о кибербезопасности Cybersecurity Act of 2010, цель которого ради безопасности изменить правила работы Интернета. Им также предусматривается создание национальной системы лицензирования специалистов в сфере безопасности. Кроме того, в рамках этого закона планируется выделить миллионы долларов "киберинвестиций" для "региональных центров кибербезопасности" и прочих программ.
В основе призывов об участии федеральных властей в обеспечении кибербезопасности лежит предложение о реорганизации Интернета таким образом, чтобы легче было следить за пользователями в целях выявления источников нападений. Законопроект Рокфеллера-Сноу как раз и направлен на разработку такой "безопасной адресной системы доменных имен".
Но это скользкая дорожка.
Мы уже видели, как развивался дорогостоящий военно-промышленный комплекс. И в этом новом лихорадочном стремлении "защитить" мы также можем увидеть нового расточительного монстра. Чем страшнее выглядит угроза – и чем менее она понятна – тем лучше для военных подрядчиков, подобных Booz Allen Hamilton, которая на прошлой неделе получила от министерства обороны контрактов в области кибербезопасности на 34 миллиона долларов.
Этим деньгам сегодня определенно можно найти лучшее применение.
Все, кого волнует нейтралитет сети и гражданские свободы, и особенно анонимность и конфиденциальность в Интернете, должны взять это себе на заметку. Пока страну не захлестнул страх, пока мы не начали слишком быстро реагировать на "усиливающуюся угрозу" кибератак, нам надо сделать паузу и спокойно подумать о возможных рисках и о имеющихся у нас альтернативах.
Вместо того, чтобы принимать прямо сейчас обширный закон о "киберобороне", Конгрессу следует разобраться с теми угрозами, с которыми мы сталкиваемся, и сделать так, чтобы на каждую из них была выработана соответствующая мера противодействия. Если этого не будет, мы столкнемся с огульной и "безразмерной" системой, которая не даст результата.
Первым правильным шагом может стать предоставление военным и федеральным ведомствам соответствующих инструментов защиты своих онлайновых систем. Но предложение о реорганизации Интернета, о введении стандартов и лицензировании в этом самом инновационном секторе нашей экономики должно заставить нас задуматься. Для спешки в этом деле нет никаких оснований.
Джерри Брито и Тэйт Уоткинс – научные сотрудники центра Mercatus при Университете Джорджа Мейсона, занимающиеся вопросами технологической политики.
Обсуждения Кибератаки