Чейни.
Помимо регулирования интернет-провайдеров необходимо также ввести регулирование сети электропередач.
Единственный способ обезопасить сеть — это получить доступ к кодам команд, которые отдаются устройствам, управляющим системой, аутентификации отправителей, а также ряду абсолютно внеполосных каналов, не связанных с интрасетями компаний и публичным Интернетом. Федеральная регулятивная комиссия этого не запрашивала, хотя в конце концов установила некоторые регламенты в 2008 году, однако до сих пор не начала приводить их в исполнение. И даже если начнет, не ожидайте многого. У комиссии нет ни опыта, ни персонала, чтобы убедиться в том, что электроэнергетические компании отсоединили элементы управления от магистралей, которые может использовать хакер. Задача наблюдения за выполнением этих правил также должна быть возложена на Управление по киберобороне, которое должно предоставлять экспертные оценки и тесные связи которой с промышленностью не станут помехой для безопасности, как это было в случае Федеральной регулятивной комиссии.
Управление по киберобороне должно также взять на себя ответственность за мириады гражданских федеральных ведомств и агентств, которые сейчас пытаются организовать киберобзащиту собственными силами. Кроме того, консолидация в предложенном управлении всего, что сделано в сфере безопасности административно-бюджетным управлением и управлении общими службами, увеличит наши шансы на достижение лучших результатов в управлении безопасностью гражданских (невоенных) государственных сетей.
Поскольку киберпреступники — это потенциальные наемные кибервоины, мы должны в качестве третьего пункта нашей программы сократить уровень киберпреступности в Интернете. Киберпреступники начали проникать в сети поставок производителей как аппаратного, так и программного обеспечения для того, чтобы внедрить вредоносный код. Вместо того чтобы просто использовать широко распространенные хакерские инструменты, киберпреступники теперь начинают писать собственный, специально разработанный код для взлома систем безопасности, как было в случае с кражей миллионов номеров кредитных карт из Т. J. Махх в 2003 году. Эта тенденция указывает на растущую изощренность киберпреступников и, пожалуй, свидетельствует о том, что угроза может расшириться до уровня национальной. А это позволяет предположить, что нам нужно прилагать больше усилий к борьбе с киберпреступностью. Сегодня киберпреступления расследует ФБР, Секретная служба (теперь она называется Immigration and Customs Enforcement) и Федеральная комиссия по торговле. И все-таки раздаются жалобы компаний и частных лиц на то, что их заявления о киберпреступлениях остаются без ответа. Девяносто независимых прокуроров Министерства юстиции, работающие по всей стране, чаще игнорируют киберпрестпления, поскольку отдельные хищения превышают сумму в 100 тысяч долларов, необходимый для заведения федерального дела. Адвокаты часто не разбираются в компьютерных вопросах и не хотят расследовать преступления, жертвы которых находятся в другом городе или, еще хуже, в другой стране.
Президент мог бы назначить агентов ФБР и Секретной службы, которые занимаются киберпреступлениями, на определенные должности в предлагаемую Управление по киберобороне, и они вместе с адвокатами подготавливали бы дела для Министерства юстиции. Единый следственный центр в рамках Управления по киберобороне, координирующий работу региональных подразделений, мог бы проводить экспертизу, расследовать преступления, устанавливать международные связи, необходимые для увеличения возможностей ареста, что до определенной степени сдерживало бы киберпреступников. Сегодняшняя правоприменительная практика в США киберпреступников никак не устрашает. Сейчас киберпреступления действительно выгодны. Чтобы прекратить это, США необходимо существенно больше вкладывать в борьбу федеральных правоприменительных органов с киберпреступностью. Кроме того, нам придется что-то сделать с оплотами кибепреступности.
В конце 1990-х международные преступные картели отмывали сотни миллиардов долларов через банки в разнообразных карликовых государствах, обычно островных, а также в нескольких более крупных странах. Главные финансовые власти объединились, разработали типовой закон, делающий отмывание денег преступлением, и посоветовали странам — оплотам киберпреступности принять его и обеспечить правовой санкцией. В противном случае крупнейшие международные финансовые институты прекратили бы проводить расчеты в местных валютах и финансовые операции с их банками. Я имел удовольствие сообщить об этом премьер-министру Багамских островов, где закон был быстро принят. Практика отмывания денег не исчезла, но теперь это гораздо сложнее, да и подходящих для этого стран стало меньше. Стороны, подписавшие Конвенцию по киберпреступности Европейского совета, должны принять такие же меры по отношению к странам-оплотам киберпреступности. Им нужно обязать Россию, Белоруссию и другие пренебрегающие нормами права государства начать вводить законы против киберпреступлений. В противном случае их должны ждать последствия. Одним из таких последствий может быть ограничение и инспектирование всего интернет-трафика, поступающего из этих стран. Это стоит попробовать.
Четвертым пунктом программы должен стать посвященный кибервойне договор, подобный ОСНВ (Договор об ограничении стратегических наступательных вооружений), который мы назовем Договором об ограничении кибервойны, ОКВ. Соединенные Штаты должны обсудить его положения со своими главными союзниками, а затем внести их в ООН. Как ясно из названия, главная цель договора — ограничить кибервойну, а не стремиться к глобальному запрету хакерства или киберразведки. В Договоре об ограничении стратегических наступательных вооружений и последовавшем за ним Договоре о сокращении стратегических наступательных вооружений разведка не только принималась как неизбежность, но и считалась средством обеспечения «помехозащищенности».
Когда контроль над вооружениями наладился, а доверие и опыт возросли, были приняты новые, более широкие соглашения. Договор ОКВ должен начинаться с принятия следующих положений:
— Учредить Центр по снижению киберугрозы для обмена информацией и обеспечения содействия государствам — участникам договора.
— Создать такие понятия международного права, как
— Принять решение о
— Запретить подготовку поля боя в мирное время, а именно размещение лазеек и логических бомб в гражданской инфраструктуре, включая энергосистему, систему железных дорог и так далее.
— Наложить запрет на изменение данных или повреждение сетей финансовых институтов в любое время, а также подготовку к подобным действиям посредством размещения логических бомб.
Позже, когда мы заключим Договор об ограничении кибервойны и обретем некоторый опыт в его соблюдении, можно будет подумать о его расширении. Для начала необходима договоренность о ненападении на гражданские объекты, а не полный запрет кибератак, поскольку государства не должны кривить душой, подписывая обязательства. Страны, вовлеченные в вооруженный конфликт или ставшие жертвой кибератаки, наверняка решат использовать кибероружие. Более того, мы не хотим заставлять государства, ставшие жертвами кибератаки, отвечать на нее наспупательной операцией из-за нашего запрета на кибератаки. Договор не будет препятствовать кибератакам на военные объекты. Не будет он и запрещать подготовку поля боя на военных объектах, поскольку для такого запрета необходим ряд компромиссов, к тому же он осложнит применение ОКВ-1. Тем не менее размещение логических бомб в военных сетях другого государства дестабилизирует положение, и нам следует публично заявить, что в случае обнаружения таких действий мы будем расценивать их как демонстрацию враждебных намерений.
Сложно будет проконтролировать тех, кто действует от лица государства, но в договоре ОКБ ответственность за прекращение их деятельности должны нести государства — участники конвенции. Нужно потребовать, чтобы страны тщательно отслеживали и пресекали хакерские атаки, начинающиеся с их территории. Они должны действовать быстро и в том случае, если их об этом уведомят другие страны через Центр по снижению киберугрозы. Этот центр, созданный по условиям договора, обязаны будут спонсировать
