ВІЙН@: битви в кіберпросторі - читать бесплатно онлайн полную версию книги автора Шейн Гарріс (Частина II) #5

Частина II

8. Ще один «мангеттенський проект»

Травень 2007 року

Овальний кабінет

Майку МакКоннеллу вистачило 15 хвилин, щоб переконати Джорджа Буша санкціонувати кібервійну в Іраку. МакКоннелл просив про годинну зустріч із президентом і його головними радниками з питань національної безпеки, вважаючи, що саме стільки часу піде, щоб переконати їх у доцільності такого ризикового кроку. І що йому робити з 45 хвилинами, що залишилися?

– Ще щось? – запитав Буш.

– Ну, насправді, так, – відповів МакКоннелл.

Після повернення на державну службу у лютому МакКоннелл шукав нагоди обговорити з Бушем одну проблему національної безпеки, яка серйозно його непокоїла: Сполучені Штати вразливі до нищівних кібератак національного масштабу. МакКоннелл боявся, що в комунікаційні системи країни можна проникнути, як це було в Іраку, і вивести їх із ладу або знищити. Особливо його непокоїло те, що фінансові компанії не дбають про достатній захист інформації про рахунки, фондові операції та грошові перекази, а також не працюють над запобіганням злочинів, пов’язаних із розкраданням мільярдів доларів з особових і корпоративних банківських рахунків.

Але у небезпеці опинилася й критично важлива інфраструктура. Два місяці тому Міністерство внутрішньої безпеки звернулося до Національної лабораторії Айдахо, яка проводить дослідження в галузях ядерної промисловості та енергетики для федеральної влади, з проханням перевірити, чи зможуть хакери отримати віддалений доступ до електростанції і розкрутити генератор до таких обертів, щоб він став некерованим. Результати експерименту лякають. На відеозаписі, який просочився у пресу, можна побачити велетенський зелений генератор, що трясся наче під час землетрусу, аж поки із нього не вирвалася пара й чорний дим. Ефект здавався майже анімаційним, проте був абсолютно реальним, а експеримент виявив критично слабке місце в самому серці американських електромереж. Офіційні особи боялися, що хакери можуть вивести з ладу енергетичне обладнання і це призведе до аварійного вимкнення струму, яке триватиме тижні або й місяці, аж поки обладнання не замінять.

Кіберзагроза вже не була гіпотетичною. Міністерство оборони мусило відреагувати на вторгнення в комп’ютерні мережі підрядників. Окрім креслень і секретних розробок систем озброєння, які хакери викрали або збиралися викрасти, були: креслення Єдиного ударного винищувача, гвинтокрила Black Hawk і безпілотного літального апарата віддаленого стеження Global Hawk; інформація про відеосистеми й канали передавання даних безпілотників; креслення ракетної системи Patriot, реактивних двигунів компанії General Electric і протиракетної системи Aegis; інформація про методи аналізу розвідданих; креслення сонара для підводного картографування і бойового корабля ВМС прибережної зони; схеми легких торпед; креслення бойових машин Корпусу морської піхоти; інформація про плани екіпірування армії новітніми приладами для ведення спостереження і розвідки; креслення вантажного літака C-17 Globemaster, а також інформація про армійську глобальну систему управління вантажоперевезеннями; системні креслення літака-розвідника RC-135; опис технології перехоплення радіосигналів і схеми радіоантен, використовуваних військово-морськими силами. Кожен підрозділ американських збройних сил опинився під прицілом, так само як технології та озброєння, які Сполучені Штати використовували для війни у кожному вимірі – на землі, на воді, у повітрі та в космосі.

Але як переконати Буша у необхідності негайних дій? МакКоннеллові було відомо, що президент не знався на техніці. Якось він сказав, що користується «ґуґлом» украй рідко, здебільшого, щоб поглянути на супутникові знімки свого ранчо в Техасі. Було б складно пояснити йому технічними термінами, як хтось, сидячи за клавіатурою за тисячі кілометрів од США, може вчинити хаос за допомогою пристрою, майже незнайомого президентові. Тому МакКоннелл звернувся до теми, яка володіла увагою Буша впродовж практично всього терміну його президентства, – до тероризму.

МакКоннелл запропонував Бушу уявити такий гіпотетичний сценарій: що сталося б, якби терористи «Аль-Каїди» не захоплювали комерційні авіалайнери й не скеровували їх у будівлі 11 вересня 2011 року, а натомість зламали бази даних провідних фінансових організацій і знищили їх, стерши на порох світову фінансову систему? Не можна було б проводити транзакції. Не можна було б здійснювати торгові операції. Через комп’ютерні мережі світу щодня перекачуються трильйони доларів. Ці «гроші» насправді просто інформація. Баланси рахунків. Розподілені мережі електронних бухгалтерських книг, які зберігають інформацію про те, хто і що купив чи продав, хто, кому і куди переказав гроші. Варто лише пошкодити частину цієї інформації або знищити її, і масова паніка неминуча, доводив МакКоннелл. Економіки країн можуть упасти лише через брак довіри, а що вже казати про те, що банки й фінансові організації навряд чи зможуть відновити втрачені дані.

Здавалося, Буш не повірив. Як злодій, озброєний лише комп’ютером, зможе проникнути у святилище американської фінансової системи? Хіба ж ці компанії не вдаються до запобіжних заходів, щоб захистити свої цінні активи? Чи є інші вразливі місця? Буш хотів знати про них. Чи загрожує небезпека Білому дому? Буш показав на телефон захищеної лінії зв’язку на своєму робочому столі, яким користувався для спілкування з членами кабінету міністрів і іноземними керівниками.

– Чи може хтось прослуховувати? – запитав Буш.

В Овальному кабінеті запанувала тиша. Радники президента з питань національної безпеки нервово перезиралися. МакКоннелл зрозумів, що президентові досі ніколи не розповідали, яким заслабким був електронний захист органів влади, та й держави загалом.

– Пане президенте, – сказав МакКоннелл, – якщо можливість зламати пристрій зв’язку існує, ми повинні вважати, що наші вороги неодмінно спробують нею скористатися.

А після цього МакКоннелл перелічив Бушу всі способи, за допомогою яких США можуть використати телекомунікаційну систему Іраку. Президент почав усвідомлювати: те, що він може зробити з іншими, інші можуть зробити з ним.

Повертаючись до гіпотетичної кібератаки на фінансову систему, МакКоннелл навів іще одне порівняння з тероризмом:

– Економічні наслідки такої атаки будуть значно гіршими, ніж від атак 11 вересня, – запевнив МакКоннелл Буша, який знав про те, що удар по вежах-близнюках посилив економічний спад США.

Буш здавався приголомшеним. Він повернувся до міністра фінансів Генрі Полсона, який раніше обіймав посаду генерального директора інвестиційного банку Goldman Sachs:

– Генку, те, що говорить Майк, – це правда?

Полсон відповів:

– Навіть більше, пане президенте, і коли я працював на Goldman, цей сценарій не давав мені спати ночами.

Буш підвівся.

– Інтернет – наша конкурентна перевага, – звернувся він до своїх радників і членів кабінету міністрів. – Ми повинні зробити все необхідне, щоб захистити його. Якщо доведеться, ми запустимо новий мангеттенський проект, – сказав президент, натякаючи на секретну програму зі створення першої атомної бомби за часів Другої світової війни.

МакКоннелл ніколи не сподівався на таку сильну реакцію. Він понад десять років очікував, аж поки президент – якийсь із президентів – встромить спис у небезпеки, які, на його думку, лежали просто на поверхні повсякденного життя.

Буш звернувся до МакКоннелла:

– Майку, ти окреслив проблему. У тебе є тридцять днів на її вирішення.

Ніхто не зміг би «вирішити» цю проблему за 30 днів, якщо її взагалі можна розв’язати. Але президент Буш лише попросив розробити комплексний план посилення державного кіберзахисту, поклавши початок вирішенню одного з найважливіших технічних завдань в американській історії. МакКоннелл побачив рідкісну можливість і вхопився за неї. Проте він не міг упоратися самостійно. Тому начальник шпигунів звернувся до джерела технічної майстерності, яке знав найкраще.

Від самого початку державний план кіберзахисту розробляло АНБ. До цього плану ставились як до військової та розвідувальної програми, тому тримали його у суворій таємниці. Він був офіційно засекречений президентським наказом, який Буш підписав у січні 2008 року. Адміністрація планувала витратити $40 млрд на реалізацію програми протягом перших п’яти років – величезна сума для одного напряму. Не лише МакКоннелл, а й Кіт Александер очікував миті, коли президент покладе весь свій авторитет і вплив на підтримку державних зусиль із протидії невидимим ворогам, які, на думку Александера, становили справжню загрозу для Сполучених Штатів. Александер також вважав, що зловмисні хакери, які, вірогідно, працюють на ворожі держави або терористичні угруповання, врешті-решт оберуть за мішень фінансові організації на Волл-стріт, електромережі та інші критично важливі об’єкти інфраструктури.

На першому етапі державного контрнаступу потрібно було скоротити кількість потенційних цілей. Міністерство оборони обмежило виходи до загальнодоступного інтернету до 18 шлюзів. Це був надзвичайний захід, зважаючи на те, що вільний інтернет-доступ був у кожному віддаленому кутку перебування збройних сил, аж до більшості штаб-квартир у зонах бойових дій. (Ось чому технологія вистеження повстанців у Іраку працювала так бездоганно.) Міністерство оборони впоралось із завданням краще, ніж будь-яке інше державне відомство, запобігши вторгненням у власні мережі, хоча ворогам інколи таки вдавалося проникнути всередину. У червні 2007 року хакери зламали відкриту систему електронної пошти, якою користувалися міністр оборони Роберт Ґейтс і сотні інших офіційних осіб. Цей випадок став важливим нагадуванням про те, що на часі підняти віртуальні розвідні мости, суворо обмеживши доступ у зовнішній світ.

Водночас АНБ почало пильно моніторити шлюзи у пошуках ознак зловмисної діяльності. Цю активну складову комп’ютерної оборони високопосадовець із Пентаґону згодом опише як «почасти наглядову, почасти сторожову і почасти снайперську». Якщо хакери або їхні ботнети намагалися вдертися до мереж Міністерства оборони, військові могли заблокувати інтернет-адресу для запобігання шкідливого трафіку, а потому попередити військові та розвідувальні організації, щоб ті простежили за трафіком з атакованого вузла. Ідея полягала в тому, щоб забезпечити кращий захист мереж Міністерства оборони, використовуючи напрацьовані АНБ методи збору інформації, а також створити щось подібне до системи миттєвого попередження компаній, спостерігаючи за будь-яким шкідливим ПЗ у мережах іще до початку атаки на важливі промислові об’єкти. Першими в списку одержувачів попереджень були енергетичні та фінансові компанії.

Проте всі ці заходи не можна було вважати повноцінним планом захисту держави. Намагання відстежити в інтернеті шкідливе ПЗ через нечисленні точки доступу – це те саме, що шукати муху на стіні, дивлячись через соломинку. (Немає жодних доказів того, що завдяки згаданій стратегії спостереження за власними мережами АНБ бодай раз запобігло масштабній кібератаці.) Александер заявив, що для ґрунтовного захисту країни АНБ потрібно прокласти більше стежок у мережах американських компаній. Деякі з них АНБ уторувало завдяки секретній контррозвідувальній операції під назвою «Візантійська опора» (Operation Byzantine Foothold), у рамцях якої хакери АНБ вистежували китайських та інших іноземних шпигунів, що проникли в мережі військових підрядників. АНБ намагалося визначити джерело поширення фішинґових електронних листів, що містили шкідливе ПЗ. Зібрана по нитці інформація про методи хакерів допомогла посилити кіберзахист компаній. Проте лише кілька підприємств погодилися співпрацювати з Пентаґоном – ділитися інформацією з власних мереж і дозволяти АНБ зиркнути бодай одним оком усередину. Александер хотів, аби влада розширила програму, охопивши компанії за межами воєнно-промислового комплексу. Але на це були потрібні час і певна політична воля, яких Буш наприкінці президентського терміну вже не мав. Натомість МакКоннелл вважав: якщо стане відомо про керівну роль АНБ у забезпеченні внутрішньої кібербезпеки, це призведе до політичної катастрофи. Не минуло й двох років після публікації в New York Times гучної статті, присвяченої програмі АНБ із незаконного прослуховування телефонів і перегляду електронної пошти всередині країни. Участь агентства в кіберзахисній програмі означала розширення такої діяльності, а також поєднання функцій збору розвідувальної інформації і кіберборотьби – аж до відсічі хакерам. Деякі члени Конгресу хотіли обмежити розвідувальну діяльність АНБ, яка стала невід’ємною частиною його кіберзахисної місії. МакКоннелл вважав, що агентству наразі потрібно стишитись і зосередитися на менш сумнівних методах кіберзахисту, спостерігаючи за державними мережами і мережами оборонних підрядників.

Відтак МакКоннелл почав працювати у цивільному полі. Міністерство внутрішньої безпеки, яке мало законні повноваження для забезпечення безпеки домену .gov, що ним користувалася більшість державних установ (за винятком військових і розвідувальних структур), наглядало за виконанням ініціативи зі скорочення кількості інтернет-шлюзів у невійськових державних структурах: із понад 1000 до 50. Це завдання виявилося масштабнішим і розпливчастішим, ніж у Міністерства оборони, позаяк ці цивільні мережі не мали централізованого управління і їх було значно більше. Реалізація проекту потребувала більше часу, ніж залишалося до кінця президентського терміну Буша, а отже, МакКоннеллу теж бракувало часу.

Натомість Александера терміни не обмежували. Він обійняв посаду лише 2005 року, і хоча традиційний термін на цій посаді не перевищує чотирьох-п’яти років, майбутній президент чи міністр оборони завиграшки міг його продовжити. Справді, попередник Александера пропрацював на цій посаді шість років – довше за всіх керівників у 56-річній історії агентства. Що помітнішою ставала участь АНБ у розвідувальних операціях, зокрема в антитерористичних, то впливовішим ставав директор агентства і то складніше було його замінити. Александер розумів, що панівне становище агентства в розвідувальній ієрархії надалі залежатиме від зміцнення лідерських позицій АНБ у забезпеченні кіберзахисту та веденні кібервійни. Це було наступне масштабне завдання, яке уряд проголосив одним із пріоритетів державної безпеки. За побіжними оцінками, час протидії тероризмові минув, а кібербезпеки – настав. Александерові потрібно було лише дочекатися моменту, коли більшість лідерів країни це збагне й звернеться до нього за допомогою. Йому потрібна була криза.

9. «Американська картеч»

П’ятниця 24 жовтня 2008 року стала несподівано метушливим днем у штаб-квартирі АНБ. Того дня президент Буш приїхав до Форт-Міда, щоб зустрітися з керівниками агентства, і це був його останній запланований візит перед складанням президентських повноважень у січні наступного року. У 16:30, коли більшість співробітників АНБ уже збиралася вирушати додому на вихідні, високопосадовець Річард Шаффер, що відповідав за комп’ютерну безпеку, увійшов до кабінету Кіта Александера з терміновим повідомленням.

Молодий аналітик однієї з «мисливських» команд АНБ, що стежили за зловмисними вторгненнями, виявив у військовій комп’ютерній мережі шкідливу програму. Це був маячок, який надсилав сигнали розташованому невідь-де головному комп’ютерові, запитуючи інструкції для дій – можливо, скопіювати файли або стерти всі дані. Ця ситуація сама по собі не була аж надто тривожною. Однак сигнали виходили із секретної мережі, яку використовувало Центральне командування США, що вело війни в Іраку й Афганістані. Усі вважали, що проникнення в цю мережу неможливе, позаяк вона не під’єднана до інтернету.

У жодну секретну ізольовану мережу досі ніхто не проникав. Такі мережі не під’єднували до глобальної мережі інтернет, позаяк через них проходили важливі надсекретні військові повідомлення, зокрема плани воєнних дій і накази підрозділам на полі бойових дій. Протягом кількох наступних днів аналітики працювали не покладаючи рук – намагалися визначити, як саме шкідлива програма потрапила до мережі, припускаючи, що, найімовірніше, вона проникла всередину випадково, із зараженого USB-носія, яким скористався якийсь солдат в Афганістані. Саме там спостерігалася найбільша кількість заражень комп’ютерів. І це становило ще одну проблему – програма була заразливою і швидко поширювалася, самовідтворюючись і проникаючи в інші комп’ютери мережі через USB-носії. Аналогічне ПЗ виявили також у двох інших секретних мережах.

Керівники АНБ запідозрили роботу ворожої розвідки, яка намагалася викрасти секретну військову інформацію. Аналітики вважали, що заражений USB-носій могли підкинути, приміром, на автостоянці, де він чекав на якусь довірливу людину – такого собі «пацієнта нуль», – яка би підібрала знахідку й вставила у захищений комп’ютер Центрального командування або на військовій базі. Шкідлива програма не могла під’єднатися до інтернету, щоб отримати інструкцію. Проте шпигун міг керувати нею, перебуваючи на відстані кількох кілометрів від зараженого комп’ютера, за допомогою радіосигналу – АНБ також використовувало подібне обладнання, інсталюючи шпигунське ПЗ у локальні мережі. Існували ознаки того, що «хробак» проникав також у несекретні системи, які мали з’єднання із зовнішнім світом, і міг стати для іноземних шпигунів точкою входу в мережі Пентаґону.

Це проникнення було безпрецедентним в історії військових і розвідувальних служб. Александер вирішив, що час оголошувати тривогу.

Генерал ВПС Майкл Басла працював у Пентаґоні в п’ятницю ввечері, коли надійшов тривожний дзвінок із Форт-Міда. Басла обіймав тоді посаду заступника директора Об’єднаного комітету з питань командування, контролю, зв’язку і комп’ютерних систем. Він миттєво збагнув небезпеку, про яку повідомили керівники АНБ. «Так багато слів, – згадував Басла згодом, – щоб повідомити: “Г’юстон, у нас проблема”»[10].

Колесо державної військової машини почало обертатися. Тієї ночі Басла разом із керівниками АНБ провів нараду з адміралом Майклом Малленом – головою Об’єднаного комітету і старшим військовим радником президента Буша. Агентство проінформувало заступника міністра оборони Ґордона Інґленда, який разом із лідерами Конгресу брав діяльну участь у впровадженні «Ініціативи оборонної промисловості».

Ніхто не знав напевно, коли саме шкідливе ПЗ спробує виконати свою місію, хоч би у чому вона полягала. Проте члени пошукової групи АНБ, які виявили «хробака», вважали, що знають спосіб його нейтралізації. «Хробак» надсилав запит головному серверові, вимагаючи інструкцій. Чом би не дати «хробакові» те, чого він хоче? Фахівці пошукової групи хотіли підмінити сервер управління, зв’язатися з «хробаком» і наказати йому перейти в режим сну і не робити наступних кроків. Цей план не був цілком безпечним. Якщо група порушить або зупинить роботу важливих мережевих програм, як-от секретного зв’язку між командирами на полі бою, це може зашкодити військовим операціям в Афганістані та Іраку. Секретна мережа повинна працювати без перешкод.

Однак Пентаґон погодився на план АНБ, якому дали кодову назву «Американська картеч» (Backshot Yankee). Фахівці пошукової групи провели ніч із п’ятниці на суботу за детальною розробкою плану, поглинаючи содову, щоб не заснути, і вгризаючись у піцу. В суботу зранку вони поставили сервер у вантажівку й вирушили в розташоване неподалік Агентство оборонних інформаційних систем, яке керувало глобальними телекомунікаційними системами Міністерства оборони. Сервер заразили шкідливим ПЗ, а потому активували комп’ютера-самозванця, який скомандував «хробакові» вимкнутися. План подіяв.

Тепер в АНБ з’явився спосіб деактивації «хробака». Проте спочатку потрібно було його знайти – причому геть усі копії, що розповзлися мережами Міністерства оборони. АНБ згуртувало своїх кращих хакерів з елітного Відділу особливого доступу, які почали шукати заражені «хробаком» військові комп’ютери. А відтак пішли далі і почали відстежувати його сліди у цивільних комп’ютерах, зокрема у тих, які працювали в урядових мережах США та інших країн. З’ясувалося, що «хробак» розповзся дуже широко.

Нічого дивного у цьому не було. Виявилося, що «хробак» не був надто новим. Уперше його виявили фінські фахівці з інформаційної безпеки у червні 2008 року, коли він проникнув у комп’ютер військових організацій країн – членів НАТО. «Хробака» назвали Agent.btz. Слово «agent» (агент) – загальна назва всіх виявлених зразків шкідливого ПЗ, а суфікс «btz» – це внутрішній маркер виду. Не було жодних доказів того, що зараження «хробаком» Agent.btz призвело до викрадання або знищення даних на американських комп’ютерах. Насправді «хробак» був не надто складним, отож повставало запитання: навіщо іноземна розвідка витрачала зусилля на створення «хробака», який ховався в комп’ютерах усього світу і нічого не крав?

Проте військові керівники надалі боялися проникнень у мережі, вважаючи їх страшною загрозою державній безпеці. Тиждень потому, як АНБ попередило Пентаґон, Маллена запросили на нараду з президентом Бушем і міністром оборони Гейтсом. АНБ узяло на себе завдання із виявлення кожного зараженого Agent.btz комп’ютера та знешкодження цього «хробака» за допомогою підміненого сервера. У листопаді Стратегічне командування США, яке тоді відповідало за ведення кібервоєн, видало декрет: заборонити використання зовнішніх накопичувачів на комп’ютерах Міністерства оборони й усіх військових комп’ютерів. Така реакція була надмірною, але це свідчило про ступінь переляку й тривоги вищого військового керівництва.

Александер тривожився не так сильно. У цій паніці він убачав можливість зробити АНБ новим військовим лідером у кіберпросторі. Адже саме його пошукова група виявила «хробака», доводив він. Саме його експерти придумали, як його спритно вбити. Саме його елітні хакери, використовуючи свої шпигунські навички, вистежили «хробака» у схованках. Представники Пентаґону розмірковували: розпочати атаку й знищити «хробака» чи хитрістю змусити його виконувати команди підміненого сервера. (Процес очищення комп’ютерів тривав аж 14 місяців.)

У той час відповідальність за координацію воєнного удару – справжньої кібервійни – покладалася головно на Об’єднане командування функціональними частинами для ведення мережевої війни (Joint Functional Component Command for Network Warfare), підпорядковане Стратегічному командуванню. Проте цей підрозділ був нечисленним, якщо порівнювати його з АНБ, і не мав такого досвіду в інформаційному захисті та шпигунстві, який мало агентство. Влада вирішила, що нищівний удар по комп’ютерних системах, зокрема розташованих в інших країнах, був надто серйозним кроком у протидії «хробакові» Agent.btz, який, урешті-решт, не заподіяв жодної шкоди. Але операція «Американська картеч» показала, що у разі реальної загрози державі – кібератаки на електромережі або на банк – військовим доведеться згуртувати всіх найкращих снайперів під одним дахом.

«Було зрозуміло, що потрібно об’єднати всі наступальні та оборонні ресурси», – заявив Александер, виступаючи перед комітетом Конгресу в 2010 році, після розсекречення Пентаґоном деяких подробиць проведеної операції. Саме цього він завжди і хотів.

Операція «Американська картеч» стала каталізатором створення Кібернетичного командування США, – єдиного органу, який керував би всіма військовими операціями, покликаними захищати від віртуальних атак, а також ініціювати власні атаки. Цю ідею підтримував директор національної розвідки Майк МакКоннелл, а згодом схвалив і Боб Ґейтс. Вище військове керівництво збагнуло, що їм завдали удару нижче спини і що багато хто з них переоцінював власні можливості швидкого реагування на втручання у пентаґонівські комп’ютери. «Наші очі розплющилися», – зазнався Басла.

Кмітливість Александера та його команди кібервоїнів переконала пентаґонівську братію, Ґейтса і Білий дім, що саме АНБ спроможне й ладне очолити кібервійсько і повинно перебрати провідну роль. Александер керуватиме новим Кіберкомандуванням із Форт-Міда. Він отримає додатковий штат і фінансування. Але воїни та інфраструктура надаватимуться з АНБ.

Агентство надалі працювало над винищенням шкідливого «хробака» Agent.btz. Цей процес тривав понад рік, і агентство скористалося цим часом для розширення сфери впливу. Щойно з’являвся якийсь новий вірус, АНБ закривало всю інформацію про нього, залишаючи доступ лише тим, «кому потрібно» знати, що сталося. Кожен випадок ставав секретним проектом у рамцях масштабнішої операції. За словами колишнього інформаційного аналітика з Міністерства оборони, який мав доступ до інформації про «Американську картеч», така поведінка АНБ ускладнювала життя іншим агентствам, заважала їм реагувати на виявлені прогалини в захисті та збирати інформацію про те, що сталося, – саме цього, очевидно, прагнув Александер. Завіса таємниці покривала майже всі аспекти нової кібермісії АНБ. Колишній аналітик Міністерства оборони описує реакцію АНБ на операцію «Американська картеч» як «захоплення влади».

Потребу в секретності можна було б зрозуміти, якби «хробак» Agent.btz був частиною розвідувальної програми Росії, Китаю або іншої держави. Проте представники Пентаґону ніколи не заявляли, що втручання в мережу спричинило витік секретної або будь-якої іншої життєво важливої інформації. Ніхто не з’ясував, чи заражений носій інформації, що став, на думку аналітиків, переносником інфекції, спеціально підкинули біля будівлі військового відомства або якийсь безтурботний військовослужбовець чи цивільний співробітник «підчепив» «хробака» Agent.btz за межами військової мережі, можливо, увійшовши до неї в інтернет-кафе з власного ноутбука, а потому мимохіть випустив шкідливу програму зі зовнішнього світу у внутрішню мережу. Цілком імовірно, що «пацієнт нуль» просто випадково підчепив «хробака» і іноземна держава тут ні до чого. Адже Agent.btz виявився різновидом практично нешкідливого «хробака» трилітньої давнини. Деякі офіційні особи, що працювали над операцією «Американська картеч», сумнівалися в причетності іноземних шпигунів. Адже якби шпигуни збиралися проникнути у святилище військового кіберпростору, то, мабуть, діяли б хитріше і бодай щось украли б. А, можливо, шпигуни просто зондували американську систему захисту й спостерігали за реакцією американців на вторгнення, щоб зрозуміти, як влаштована система безпеки.

Якби законодавці та чиновники з адміністрації Буша збагнули, що «хробак» Agent.btz був порівняно нешкідливим, вони б двічі подумали, перш ніж надавати АНБ такі широкі повноваження з управління кіберзахистом і кібератаками. Можливо, Александер і його підлеглі були зацікавлені в засекреченні подробиць вторгнення, щоб отримати важелі впливу й просунути АНБ на очолення Кіберкомандування. Це припущення вірогідне, якщо зважити на спроби Александера залякати державних службовців кіберзагрозами, а відтак переконати їх, що саме він і є та людина, яка «переможе чудовисько». «Александер, наче чарівник із країни Оз, створив ауру неймовірних можливостей, захованих за завісою у Форт-Міді, – каже колишній працівник адміністрації Обами, який тісно співпрацював із генералом у питаннях кібербезпеки. – Він використовував секретність, щоб упевнитися, що ніхто не зазирне за завісу».

Секретність була – і надалі залишається – потужним джерелом влади АНБ. Але агентство черпало силу також із параної, яка пустила паростки у душах чільників Міністерства оборони після операції «Американська картеч». Аби захиститися від потенційних вірусів, керівництво військових відомств заборонило використання зовнішніх носіїв у Міністерстві та всіх підрозділах збройних сил декретом, який викликав обурення військовослужбовців на полях бойових дій, позаяк портативні носії інформації використовували для перенесення документів і карт з одного комп’ютера на інший. Заборона протрималася кілька років після закінчення операції «Американська картеч». «Якщо ви дістанете USB-накопичувач і вставите його в мій комп’ютер, за кілька хвилин у двері постукають і комп’ютер конфіскують», – розповів Марк Мейбері, старший науковий співробітник ВПС США, під час інтерв’ю у його пентаґонському кабінеті 2012 року. На представників адміністрації Буша накотила хвиля страху перед кіберзагрозами. Вона накрила їх із головою і вихлюпнулася на наступного президента.

10. «Секретний складник»

Щойно Барак Обама переступив поріг Білого дому, його почали бомбардувати поганими новинами щодо стану державного кіберзахисту. Він провів секретну нараду з Майком МакКоннеллом у Чикаґо, і директор розвідки розповів йому оновлену версію страшної історії, викладеної 2007 року Бушу. Під час передвиборної кампанії китайські шпигуни зламали електронні поштові скриньки членів виборчого штабу Обами і його конкурента, сенатора Джона МакКейна. Тепер, коли 44-й президент США посів своє місце в Овальному кабінеті, Центр стратегічних і міжнародних досліджень – шанований аналітичний центр у Вашинґтоні – оприлюднив докладний і песимістичний звіт про кібернебезпеки для США. Його автори провели щонайменше 16 зустрічей за зачиненими дверима із вищими військовими та державними керівниками й описали декілька розсекречених утручань у мережі так, що волосся ставало дибки. Серед іншого там були описи зламування електронної пошти міністра оборони Роберта Ґейтса; зараження комп’ютерів Міністерства торгівлі шпигунською програмою, яку, на думку кількох незалежних експертів, китайські хакери встановили на ноутбук міністра торгівлі Карлоса Ґутьєрреса під час його офіційного візиту до Пекіна; проникнення в комп’ютерні мережі Держдепартаменту, після яких зникли «терабайти» інформації. За словами одного з укладачів звіту, ці та інші проникнення в мережу, згадані у документі, становили лише 10 % від загальної кількості виявлених зовнішніх утручань у системи. Решта випадків були надто серйозними, або ж надто тривожними для публічного обговорення.

Учасники наради, серед яких були високопосадовці АНБ, керівники деяких найбільших технологічних і оборонних підприємств країни, члени Конгресу й експерти в сфері кібербезпеки, що продовжували працювати в новій адміністрації, схвалили ініціативу «нового мангеттенського проекту», розпочатого Бушем. Проте вони визнали, що великого поступу не було. Адміністрація Обами мусила врахувати попередні досягнення й, спираючись на них, сформулювати нові вимоги до деяких галузей промисловості та критично важливих об’єктів інфраструктури задля посилення й підтримки їхньої кібербезпеки. «Це стратегічне питання одного рівня з проблемами зброї масового знищення та глобальним тероризмом, за розв’язок яких відповідає федеральний уряд, – писали учасники наради. – Нездатність Америки захистити кіберпростір – це одна з найневідкладніших проблем національної безпеки, що стоять перед новою адміністрацією… Це битва, в якій ми програємо».

Іноземні шпигуни невтомно намагалися дістати доступ до засобів комунікації, промов і політичних заяв найвпливовіших членів нової президентської адміністрації. У перший рік президентства Обами китайські хакери розпочали кампанію, скеровану проти службовців Держдепу, зокрема й проти держсекретаря Гілларі Клінтон. Хакери розіграли надзвичайно майстерний сценарій: п’ятеро співробітників Держдепартаменту, які вели перемовини щодо зниження викиду парникових газів із китайськими урядовцями, отримали фішинґові електронні листи нібито від знаменитого вашинґтонського журналіста Брюса Стокса. Останнього в Держдепартаменті знали добре, адже він писав про проблеми міжнародної торгівлі та кліматичні зміни. Ба більше, він був чоловіком посла Венді Шерман, яка свого часу працювала старшим політичним радником Білла Клінтона з питань Північної Кореї, а згодом обіймала третю за важливістю державну посаду й вела переговори з Іраном щодо згортання ядерної програми у 2013 році. Тодд Стерн, дипломатичний представник США у Китаї, що опікувався питаннями зміни клімату, доводився Стоксу давнім другом. У темі електронного листа було зазначено «Китай і кліматичні зміни», тож здавалося, що це звичайний лист із запитаннями від журналіста. А в самому повідомленні містилися коментарі щодо роботи одержувачів листа та їхніх поточних справ. Хоч би ким був відправник повідомлення, він знав Стокса і його друзів настільки добре, що міг скласти лист у його стилі. Досі невідомо, чи відкрив хтось із одержувачів повідомлення, що містило вірус, здатний вивантажувати документи зі службових комп’ютерів і відстежувати електронні комунікації їхніх власників.

У 2009 році один із підлеглих Гілларі Клінтон одержав листа нібито від колеги із сусіднього кабінету. У листі було вкладення, яке, за словами відправника, стосувалося нещодавньої наради. Одержувач не міг пригадати нараду й не був упевнений, що вона взагалі відбувалася. Тому він пішов до сусіднього кабінету, щоб розпитати співробітника про щойно отриманий електронний лист.

– Який лист? – запитав колега.

Завдяки обачності молодого співробітника Державний департамент перешкодив встановленню програми для стеження на комп’ютерах в офісі Гілларі Клінтон. Ця історія стала черговим нагадуванням про те, якими майстерними стали шпигуни, і доказом того, що вони вибудовують схему взаємин членів адміністрації, імена яких украй рідко згадують у пресі. Китайські шпигуни вдосконалили цю техніку в наступні роки і донині користуються нею. Чарлі Крум, відставний генерал ВПС, який колись керував Агентством оборонних інформаційних систем, а нині обіймає посаду віце-президента з питань кібербезпеки в компанії Lockheed Martin, каже, що кібершпигуни ретельно вивчають сайт компанії, шукаючи у прес-релізах імена співробітників, занотовуючи публічні появи керівників та інші інформаційні крихти, які можуть допомогти проробити всі деталі підходу до потенційної мети атаки. Відтоді, як шпигунам доводилося порпатись у смітниках біля приватних будинків чи стежити за людьми на вулицях, аби роздобути такі подробиці, минули роки.

Перед обличчям загрози американській безпеці й іноземних шпигунських атак, спрямованих проти його власної команди, Обама вже на початках президентства дав зрозуміти, що має намір зробити кібербезпеку одним із найвищих пріоритетів держави. У промові, виголошеній у травні 2009 року в Східному залі Білого дому, він зазначив: «Ми знаємо, що кіберзлочинці зондують наші електромережі і що в інших країнах кібератаки занурювали в темряву цілі міста». Обама не сказав, де саме це сталося, проте розвідники та військові виснували, що йшлося про два аварійних знеструмлення в Бразилії, у 2005-му й 2007 році, влаштованих хакерами, що отримали доступ до систем контролю електромереж SCADA.

До виступу Обами офіційні особи США здебільшого лише натякали на проникнення в електромережі та рідко погоджувалися, щоб їхні імена згадували. Власники й оператори електромереж спростовували чутки про спричинені хакерами знеструмлення, зокрема й кілька таких випадків у США, відкидаючи подібні припущення як безглузді спекуляції, і цитували результати офіційних розслідувань, в яких аварії зазвичай пояснювали природними явищами, як-от падіння дерева на дроти або їхнє забруднення. Але тепер президент визнавав уразливість американських електромереж і те, що нічні жахіття про знеструмлення хакерами цілих міст уже стали реальністю в інших країнах.

«Моя адміністрація впровадить новий ефективний підхід до захисту американської цифрової інфраструктури, – проголосив Обама. – Цей новий підхід починається згори, з моєї особистої відповідальності: віднині ми ставимося до нашої цифрової інфраструктури – мереж і комп’ютерів, від яких ми щодня залежимо, – так, як це повинно бути, як до нашого стратегічного державного активу. Захист цієї інфраструктури стане пріоритетом державної безпеки. Ми повинні впевнитися, що ці мережі безпечні, надійні та безвідмовні. Ми виявлятимемо, запобігатимемо й стримуватимемо атаки проти об’єктів цієї інфраструктури та швидко відновлюватимемо їх після будь-якого пошкодження або знищення».

Захист кіберпростору, заявив Обама, перетворився на державне завдання.

Кіт Александер погоджувався з президентом. Як на нього, залишалося вирішити одне-єдине питання: хто саме в уряді візьметься за таке гераклове завдання?

Після призначення на посаду директора АНБ у 2005 році Александер відвідав штаб-квартиру Міністерства внутрішньої безпеки, розташовану в респектабельному передмісті Вашинґтона, у комплексі Cathedral Heights, де криптографи військово-морських сил США допомогли зламати шифр «Енігма», використовуваний нацистами під час Другої світової війни. Він привіз із собою згорнутий аркуш паперу, щоб передати його Майклові Чертоффу, колишньому федеральному прокуророві та судді, якого нещодавно призначили новим міністром внутрішньої безпеки. Згідно із законом, міністерство повинне координувати політику кібербезпеки на рівні уряду, захищати комп’ютерні мережі цивільних державних служб і співпрацювати з компаніями заради захисту критично важливих об’єктів інфраструктури. Це була величезна й нечітко визначена зона відповідальності та лише одне з безлічі завдань, доручених міністерству, створеному тільки два роки тому, яке також наглядало за патрулюванням кордонів США, перевіркою авіапасажирів і вантажів, удосконаленням неефективної державної імміграційної системи, а також запобіганням новим несподіваним терористичним атакам на США.

У захищеному від прослуховування кабінеті Александер розгорнув на столі для проведення конференцій аркуш паперу. Це була велетенська діаграма, що демонструвала всю зловмисну діяльність в інтернеті, про яку вже знало АНБ. Наміри Александера можна трактувати по-різному. Можливо, він прийшов, щоб допомогти молодому міністерству впоратися зі своєю місією із забезпечення кібербезпеки. Або ж натякав, що Міністерство внутрішньої безпеки не впорається без АНБ, тому краще йому відійти вбік і дозволити фахівцям робити свою справу. Правда полягала у тому, що Міністерство внутрішньої безпеки було не в змозі скласти таку діаграму, яку щойно показав Александер. Щоб працювати на рівні АНБ, міністерству бракувало досвідченого персоналу, величезного бюджету, системи глобального стеження, а також бюрократичної та політичної підтримки Вашинґтона.

З погляду Александера та його підлеглих, було безвідповідально знехтувати можливістю допомогти міністерству всім, чим можна. Проте це не означало, що агентство зійде з орбіти, поступившись провідною роллю у кіберпросторі. Воно підпорядковувалося Міністерству оборони, і його повноваження поширювалися на захист держави від іноземних атак на землі, у повітрі, на воді й у комп’ютерних мережах.

За словами колишнього держслужбовця, якому доводилося працювати з обома, Чертофф і Александер швидко знайшли спільну мову. Здавалося, що міністр із радістю дозволив кібервоїнам з Форт-Міда узяти на себе керівництво. Наступні чотири роки Александер присвятив розбудові кіберармії АНБ, і кульмінацією його діяльності стали операція «Американська картеч» і створення Кіберкомандування. У 2009 році Обама призначив колишню губернаторку Арізони Дженет Наполітано міністром внутрішньої безпеки. Александер наказав своїм підлеглим надавати Наполітано та її команді всю можливу допомогу та консультації. Але він не мав наміру відступати з поля битви. Не тоді, коли він готувався почати свою найбільшу кампанію.

Александер вже бачив, як «Ініціатива оборонної промисловості» (Defense Industrial Base – DIB) дозволила урядові отримати доступ до інформації з корпоративних комп’ютерних мереж. Компанії перетворилися на цифрових розвідників у кіберпросторі, а інформація, яку вони постачали, допомагала АНБ поповнювати каталог з описами загроз – перелік відомого шкідливого ПЗ, хакерських методів і підозрілих інтернет-адрес. Александер називав цю ініціативу «секретним складником». Спочатку програма DIB охоплювала лише 20 компаній. Але Александер прагнув поширити модель DIB на підприємства інших галузей, зокрема енергетичної та фінансової, і залучити для участі в програмі щонайменше 500 компаній.

У АНБ цей план назвали «Транш 2» (Tranche 2). Оператори «критично важливих об’єктів інфраструктури» (під це визначення підпадали електростанції, підприємства атомної промисловості, банки, розробники програмного забезпечення, транспортні та логістичні компанії, ба навіть медичні установи й постачальники медичного обладнання, якщо його можна вивести із ладу віддалено), згідно із законом або регулятивним актом, повинні були дозволити провайдерові інтернет-послуг моніторити вхідний і вихідний трафіки. Послуговуючись переліком загроз АНБ, провайдер шукатиме шкідливі програми або ознаки іноземних кібервтручань. Так виглядала перша версія плану Александера з перетворення АНБ на головний розвідувально-аналітичний центр із виявлення кіберзагроз. АНБ не здійснюватиме сканування самостійно, але надасть усю необхідну інформацію для пошуку загроз провайдерам. Це допоможе агентству уникнути підозр у тому, що воно торує собі шлях у приватні комп’ютерні мережі, але не перешкодить керувати операцією. Щойно сканер виявить загрозу, аналітики АНБ утрутяться й отримають доступ до неї. Вони вирішать, пропускати трафік чи заблокувати його, і за потреби проведуть контратаку на джерело загрози.

Агентство вже розробило систему для сканування Tutelage, здатну ізолювати електронні листи з вірусами й переносити їх у цифровий аналог чашки Петрі, де аналітики могли б вивчати їх, не заражаючи інші комп’ютери. Ця система була тим самим «сенсором, вартовим і снайпером», що використовувало АНБ для спостереження за власними інтернет-шлюзами в 2009 році. Тепер Александер хотів зробити цю систему частиною програми Tranche 2, штовхаючи сотні компаній і операторів критично важливих інфраструктурних об’єктів на новий фронт кібернетичних воєн.

Деякі офіційні особи з адміністрації Обами занервували. Президент чітко заявив про свій намір захищати кіберпростір як важливий державний ресурс. Але він вагався щодо довжини повідця, на якому перебуватиме АНБ. Обама ніколи не мав теплих почуттів ані до агентства, ані до Александера. І хоча він цінував і використовував величезні можливості, які могло запропонувати АНБ, культура шпигунства здавалася йому чужою.

Улітку 2009 року офіційні представники Пентаґону розробили проект «виконавчого акту», який би дозволив військовим здійснювати контратаки на комп’ютери, звідки виходив шкідливий трафік, скерований не лише проти військових систем, а й проти мереж приватних підприємств критично важливої інфраструктури, як-от електростанції. Це був екстраординарний крок. Досі уряд лише надавав допомогу компаніям, забезпечуючи їх інформацією про хакерів і шкідливе ПЗ, і завдяки цьому вони могли посилювати власний захист. Тепер АНБ вимагало повноважень на проведення контратак проти кожного, хто атакує важливі підприємства Америки, якщо ці атаки могли призвести до людських жертв (скажімо, унаслідок аварії енергосистеми або виведення з ладу системи управління повітряними польотами) або якщо під загрозою опинялась американська економіка чи державна безпека. Ці нечітко сформульовані критерії дозволяли широку інтерпретацію повноважень. До прикладу, чи можна вважати масовану DDOS-атаку на американські банки, яка не руйнує банківську систему і не скерована на викрадення грошей, а лише призводить до збою в роботі, ворожим актом, що загрожує економіці США?

Адміністрація Обами підкорегувала законопроект, але зміни були несуттєвими. Обама не став перешкоджати АНБ наносити удари у відповідь. Він лише вимагав схвалення таких дій президентом або міністром оборони.

Можливо, відчуваючи, що не варто покладатися на безумовну підтримку Обами, Александер презентував свій план програми Tranche 2 законодавцям, які контролювали багатомільярдний бюджет його агентства. Александер розповів їм, що закон, який зобов’яже компанії передавати дані, не схвалює адміністрація президента, принаймні не в цій формі. Білий дім кілька разів (у 2011-му і 2012 році, під час розгляду законопроекту в Конгресі) попереджав Александера про неприпустимість виступів од імені президента й озвучення обіцянок, виконання яких адміністрація не могла дотримати.

«Люди з центру незадоволені мною», – боязко зізнався Александер під час зустрічі з конгресменами. Проте це не зупинило його від просування своїх планів. Александер виявився жалюгідним промовцем, але у вузькому колі він міг бути вельми чарівним і переконливим. Він уклав союз із лідерами Демократичної та Республіканської партій і комітетом із питань розвідки у сенаті. Законодавці давали йому потрібні суми й схвалювали нові бюджети на забезпечення кібербезпеки. Нагляд Конгресу за діяльністю АНБ був мінімальним і ненав’язливим. Александер вигравав війну на Капітолійському пагорбі. Проте у нього з’явилися вороги в адміністрації президента.

Іще до початку роботи у міністерстві у перші дні 2009 року нова заступниця міністра внутрішньої безпеки Джейн Голл Лют виявила, що битва за контроль над кібербезпекою вже добігла кінця і Александер переміг. Чимало її колег давно виснували, що АНБ – це єдиний варіант, адже лише це агентство володіло розлогим каталогом комп’ютерних загроз, який містив описи шкідливого ПЗ, хакерських методів і підозрілих інтернет-адрес. Вони знали, що ця інформація зібрана по крихтах під час проведення секретних і дорогих розвідувальних операцій, що свідчило про надійність і важливість даних. Їм також було відомо, що Міністерство внутрішньої безпеки не мало подібного сховища інформації, а про персонал у сфері кібербезпеки годі й казати. У 2009 році у міністерстві працювали 24 фахівці-комп’ютерники, натомість у Міністерстві оборони таких службовців було понад 7 тисяч і більшість із них працювала в АНБ. Центр нагляду за надзвичайними мережевими ситуаціями Міністерства внутрішньої безпеки не міг відстежувати мережевий трафік у реальному часі, що робило його практично неужитковим для раннього виявлення кібератак. Міністерство могло розраховувати хіба що на роль PR-служби, яка переконує компанії дотримуватись ефективних практик «кібернетичної гігієни», краще стежити за власними мережами й ділитись інформацією з урядом. Але це були символічні жести, а не реальні дії.

Службовця, який відповідав за розвиток кіберзахисної місії міністерства, Лют побачила вперше, коли він простягнув їй заяву про звільнення. Род Бекстром звільнився у березні, протестуючи проти того, що він описав як втручання АНБ у політику, а це, згідно із законом, було прерогативою Міністерства внутрішньої безпеки. «АНБ контролює діяльність міністерства у сфері кібербезпеки», – з докором написав Бекстром. Співробітники агентства мали робочі місця у штаб-квартирі міністерства й упровадили тут свої закриті методи праці. А нещодавно керівники АНБ запропонували перевести Бекстрома і його підлеглих – усіх п’ятьох – у штаб-квартиру агентства у Форт-Міді.

«Під час мого перебування на посаді директора ми опиралися підпорядкуванню [центра] АНБ», – писав Бекстром. Він попередив Лют, Наполітано і головних президентських радників із питань державної безпеки, зокрема й міністра оборони Роберта Ґейтса, що у разі, якщо попустити АНБ віжки, воно грубо потопчеться по недоторканності приватного життя й цивільних свободах і впровадить у міністерстві атмосферу секретності.

Лют не була експертом у сфері кібероперацій. Армійський офіцер у відставці, донедавна вона керувала миротворчими операціями ООН. Але, як де-факто головний операційний керівник міністерства, вона відповідала за виправлення його досі непрозорої кіберполітики. Очевидно, це означало продовження битви з АНБ. (Наполітано не хотіла обіймати керівну посаду, та й навряд чи мала потрібну кваліфікацію. Фактично вона була технофобкою, не мала особистого профілю в мережі та навіть на роботі не користувалася електронною поштою.)

Лют досить довго крутилася в колах розвідників, аби виснувати, що вони отримують владу почасти завдяки секретності та створенню такої собі видимості всезнання. Вона не погоджувалася з поширеною думкою, буцімто лише АНБ володіє технологіями, необхідними для захисту кіберпростору. «Уявіть, що телефонний довідник Мангеттена – це всесвіт шкідливого ПЗ, – якось сказала вона колегам. – АНБ має лише одну сторінку цього видання». Лют вважала, що чимало компаній уже володіють інформацією про найбільші загрози: вони змушені її збирати, бо хакери та іноземні держави щодня намагаються проникнути в їхні мережі. Приватні компанії з кіберзахисту, розробники антивірусних програм і навіть журналісти зібрали й проаналізували масив даних щодо шкідливих програми та інші кіберзагрози; вони продавали цю інформацію або оприлюднювали її на загальнодоступних ресурсах. Розробники програмного забезпечення випускали автоматичні оновлення для виправлення виявлених дір у системі безпеки власних програм. АНБ відстежувало цю інформацію. Чому ж нікому не спадає на гадку, що розвіддані агентства містять відому всім інформацію? «Інформація шпигунського агентства може бути корисною, проте компанії не завжди потребують її для зміцнення власного захисту», – говорила Лют. Потрібно, щоб компанії обмінювались одна з одною відомою їм інформацією та створили щось штибу інтернет-версії сусідського нагляду.

Лют була не єдиною, хто вважав, ніби Александер надто дорого продає свій «секретний складник».

«Є припущення, що коли інформація засекречена, вона правдива, але не у цьому випадку, – розповідає один керівник правоохоронних органів, який сперечався з керівниками АНБ на кількох нарадах із приводу того, чи повинно агентство відігравати провідну роль у захисті промислових комп’ютерних мереж. – Ми можемо надати політикам інформацію з грифом секретності (рівень нижчий, ніж “цілком таємно”), а вони скажуть: “Не треба, у нас є надсекретний звіт, і в ньому міститься геть уся правда”. І заперечити тут важко, тому що АНБ не викладає на стіл усі карти щодо джерел інформації та її унікальності. Законотворці та громадяни не бачать усієї картини загроз».

Навіть зустрічаючись із чільниками найбільших технологічних компаній, зокрема Google, які досить багато знали про кібершпигунів і атаки й мали фінансову зацікавленість у тому, щоб їх зупинити, Александер, однак, намагався переконувати їх, що АНБ володіє достовірнішою й важливішою інформацією. «Його позиція виглядала так: “Якби ви знали те, що знаємо ми, ви б дуже злякалися. Я єдиний, хто може вам допомогти”», – розповідає колишній високопосадовець, що опікувався питаннями безпеки.

«Александер переконав багатьох законодавців і політиків, що АНБ є монополістом і лише у Форт-Міді можна знайти допомогу, – розповідав колишній представник адміністрації президента, який займався питаннями кібербезпеки. – І він використовував цю фразу про “секретний складник”. Я перебував тоді по інший бік таємничої завіси; “секретного складника” не існує. Це повна нісенітниця».

Перші два роки роботи Лют у Міністерстві внутрішньої безпеки панувала незначна напруга. Але в лютому 2011-го вона переросла у відкриту війну за сфери впливу. На конференції з питань безпеки оборонної промисловості, що відбулася у Колорадо-Спрінґс, домівці Академії ВПС США, Александер проголосив, що саме АНБ повинно відгравати роль лідера у захисті кіберпростору. Він вимагав нових повноважень для забезпечення захисту від нищівних кібератак на Сполучені Штати. «У мене немає повноважень для припинення атак на Волл-стріт або промислові підприємства, і цю прогалину потрібно ліквідувати», – сказав він. Александер кинув виклик, оголосивши американський кіберпростір мілітаризованою зоною.

Александер планував виступити з подібною промовою за вісім днів на одній з найбільших щорічних конференцій з комп’ютерної безпеки у Сан-Франциско. Найвпливовіші газети і профільні ЗМІ готувались її відвідати. Але Лют перетасувала всі карти. 14 лютого, за три дні до запланованого виступу, вона разом з іншим керівником Міністерства внутрішньої безпеки оприлюднила на сайті Wired, впливового журналу про технології, статтю. «Останнім часом деякі спостерігачі наполегливо б’ють у барабан війни, закликаючи готуватися до битви, і навіть стверджують, що Сполучені Штати вже ввійшли у стан кібервійни, фактично програючи бій, – писала Лют. – Ми з цим не згодні. Кіберпростір – це не зона військових дій».

Це був прямий удар по Александеру. «Безсумнівно, тут існують конфлікти й зловживання, але кіберпростір – це цивільний простір, – писала Лют, – громада, бібліотека, ринок, шкільний двір, майстерня – і нова чудова епоха в людському досвіді, освіті та розвитку. Лише частина цього простору припадає на американську оборонну інфраструктуру, яку належним чином охороняють солдати. Проте основна частина кіберпростору – це простір цивільний».

Александер не вгамувався. Він виступив із запланованою промовою та повторив ті самі тези. А за кілька днів завдав удару у відповідь. «Багато народу говорить, що їм до вподоби технічні можливості АНБ… але вони не хочуть, щоб АНБ лізло до них», – сказав Александер у Вашинґтоні, під час виступу на конференції, присвяченій внутрішній безпеці, яка залишалася прерогативою Міністерства внутрішньої безпеки. Він знехтував порадою відійти вбік і допомагати із захистом, лише коли про це просять, а не рватися на лінію фронту. Александер навіть пригадав лінію Мажіно – довгу смугу залізобетонних укріплень, збудованих Францією на кордоні з Німеччиною в 30-х роках ХХ століття, натякаючи, що Сполучені Штати можуть програти, якщо зосередяться лише на стратегічному підході до власної оборони й недооцінюватимуть підступність ворогів. (Нацисти здолали лінію Мажіно, обійшовши її, чого Франція аж ніяк не очікувала, і завоювали країну за шість тижнів.)

Війна за сфери впливу набирала обертів. Білий дім рішуче відкинув план Александера Tranche 2, і не тому, що Обама вважав, ніби АНБ не впорається із захистом кіберпростору, а тому, що цей план вельми нагадував масштабну державну програму стеження за громадянами. Адміністрація не відмовлялася від основної ідеї Александера. Але вирішила натомість скористатися вже наявною програмою DIB, яка також була державною програмою стеження, і перевірити, чи зможуть інтернет-провайдери моніторити трафік за допомогою секретної розвідувальної інформації – того самого «секретного складника» АНБ. Ось такий компроміс: АНБ не отримає доступу до мереж компаній, але надаватиме їм розвідувальну інформацію через інтернет-провайдерів.

Навесні 2011 року 17 оборонних підприємств добровільно погодилися взяти участь у тестуванні програми. АНБ надалі передавало інформацію про загрози трьом інтернет-провайдерам – компаніям CenturyLink, AT&T і Verizon. Останні дві були добре знайомі зі системою стеження АНБ, позаяк брали участь у масовому зборі інформації про телефонні комунікації американців незабаром після терактів 11 вересня. І всі три компанії без питань передавали електронні листи й онлайн-дані клієнтів на запит ФБР і АНБ.

Пілотна програма зосереджувалася на двох контрзаходах: «карантині» вхідних електронних листів, заражених шкідливими програмами, і запобіганні вихідному трафіку з інтернет-адрес потенційних зловмисників методом нейтралізації ботнетів. Більшість організацій відстежувала лише вхідний трафік та ігнорувала дані, які виходили з їхніх систем. Хакери користувалися цією прогалиною в захисті та часто маскували документи компаній, що викрадалися, під звичайний вихідний трафік, перш ніж надіслати їх на контрольований сервер.

Тестування програми засвідчило її ефективність. Незалежний аналіз, виконаний Університетом Карнеґі-Меллон, одним із провідних науково-дослідних інститутів країни, показав, що інтернет-провайдери здатні відстежувати й надійно зберігати секретну інформацію про кіберзагрози. Але для надміру возвеличених кібервоїнів із Форт-Міда це стало поганою новиною: практично жодна отримана від АНБ інформація не містила нічого, чого досі не знали компанії, і це підтвердило здогади Лют та інших експертів, які сумнівалися в існуванні «секретного складника» Александера.

Більшість інформації від АНБ вже не була актуальною на час отримання. З 52 випадків шкідливої активності, виявленої під час тестування програми, лише дві нейтралізували завдяки допомозі АНБ. Усі інші загрози компанії виявили самостійно, адже впродовж останніх кількох років вони власноруч вибудовували свої системи моніторинґу мереж і зводили стіну кіберзахисту.

АНБ могло б утішатися тим, що ці компанії вдосконалили свій захист завдяки приєднанню до програми DIB у 2007 році, коли їх примусили передавати інформацію про загрози і приймати державну допомогу, якщо вони хотіли й надалі мати справи з військовими. Проте пілотна програма перекреслила арґументи Александера на користь того, що лише його агентство має унікальну кваліфікацію для захисту нації.

Щоб зрозуміти це, університетська освіта не була потрібна. Керівники корпорацій ще 2010 року почали запитувати, чи справді АНБ аж така передова організація, як проголошував Александер. Під час наради з генеральними директорами підприємств у штаб-квартирі Міністерства внутрішньої безпеки Александер виступив із презентацією каталогу кіберзагроз, укладеного АНБ. Як розповідав один з учасників наради, генеральний директор компанії Google Ерік Шмідт нахилився до свого сусіда і прошепотів: «Тобто, вони намагаються нам сказати, що витратили всі ці гроші та здобули лишень оце? Ми давно це знаємо». Компанія Google, як і чимало інших великих компаній, часто атакованих хакерами, мала власні джерела інформації і збирала базу інформації про китайських хакерів. Її джерелами могли виступати приватні компанії зі сфери комп’ютерної безпеки, як-от Endgame, що продають інформацію про вразливості нульового дня. Водночас Google застосовувала й інші підходи: наприклад, впровадила складніші алгоритми шифрування даних користувачів і рухалася до впровадження так званого протоколу SSL, який забезпечує наскрізне шифрування за замовчуванням для всіх, хто користується сервісами Google. Збір інформації про загрози «більше не працює», запевняв Шмідт. Загрози не з’являються саме там, де АНБ розставляє сенсори. Хакери повсякчас змінюють методи роботи й шукають нові способи входу. Вони знають, що влада стежать за ними, – ось чому змінюють тактику.

Для Google, так само як і для інших великих компаній, ішлося не про один-єдиний «секретний складник», а про технологічне рагу з багатьох складників, рецепт якого постійно змінюється. Загалом, компанії дуже серйозно ставилися до безпеки, вкладаючи власні кошти у захист важливої інформації та наймаючи незалежних експертів, аби надолужити там, де не могли впоратися самостійно.

Проте Александер наполягав на своєму. У 2011 році він вирушив до Нью-Йорка, де зустрівся з керівниками кількох найбільших фінансових організацій країни. Там, у конференц-залі у Мангеттені, йому поблажливо пробачили те, що він поводився так, наче знову опинився у 2007 році, у тому захищеному від зовнішніх загроз кабінеті Пентаґону, коли ось-ось мав повідомити промислових титанів, яке величезне лихо їх усіх спіткало.

АНБ уже ділилося деякою інформацією про кіберзагрози з банками через некомерційну організацію, яку ці ж банки створили, – так званий Центр аналізу й обміну інформацією. Ця система не відстежувала загроз у реальному часі, проте допомагала банкам не відставати від сучасних тенденцій у сфері безпеки й інколи отримувати своєчасні попередження про види шкідливого ПЗ і нові методи проникнення в мережі. Компанії з інших галузей так само створювали подібні центри для об’єднання колективних знань, проте банки досягли кращих результатів, тому що їм було що втрачати (кіберзлодії щороку викрадають мільярди доларів) і тому що їхня робота залежала від мереж передачі даних.

Александер розповів банкірам, що хоче поширити програму обміну інформацією DIB на банківський сектор, але цього разу використати одну хитрість. Александер пояснив, що буде значно легше забезпечити захист компаній, якщо вони дозволять АНБ встановити обладнання для стеження у своїх мережах. Викинути посередника. Дозволити аналітикам із Форт-Міда заходити безпосередньо на Волл-стріт.

У кімнаті запанувала тиша. Спантеличені керівники лише поглядали один на одного. Цей парубійко говорить серйозно?

«Вони вирішили, що він несповна розуму, – розповідає директор фінансової організації, який був присутній на тій нараді та зустрічав Александера раніше. – Адже він говорив про приватні мережі. Атаки, які траплялися в нашій галузі, зазвичай цілили у користувацький інтерфейс – сайти онлайн-банків або у сайт Nasdaq». Упродовж останніх років ці сайти піддавалися так званим DDOS-атакам, які перенавантажують сервери інформаційними запитами, що призводить до порушення їхньої роботи, але це не знищує дані про рахунки, бо вони зберігаються у внутрішній банківській мережі. І ця інформація здебільшого передається мережами, які взагалі не мають з’єднання з інтернетом або ці з’єднання вкрай обмежені. «Це неправда, що банки відкриті для атак з інтернету. А Федеральна резервна система, Міністерство фінансів, біржові брокери, платіжні системи – усі вони по-справжньому добре знають усю інфраструктуру фінансових послуг і те, як вона працює. Александер і гадки про це не мав».

Компанії, що надають фінансові послуги, не нехтують кіберзагрозами. Згідно з одним запитуванням, дві третини американських банків повідомили, що зазнавали DDOS-атак. Проте Александер пропонував компаніям піти на невиправданий ризик. Він намагався впровадити в їхні комп’ютери власних шпигунів. Якби про таку операцію стало відомо, політичні наслідки були б жахливими. Ба більше, якби агентство інсталювало своє обладнання без попередження або судового дозволу, компанії могли притягнути його до відповідальності за незаконну шпигунську діяльність.

Навіть якщо б банки впустили АНБ у свої мережі, навряд чи агентство могло повідомити їм більше, ніж вони знали із власних джерел. Чимало провідних американських банків створили служби безпеки для попередження шахрайства з кредитними картками і банківських крадіжок. Суми грошей, які фінансові організації втрачають щороку внаслідок кіберзлочинів, варіюють від сотень мільйонів до мільярдів доларів залежно від виду й масштабу злочину. ФБР вистежує хакерські банди, які намагаються проникнути в банківські мережі та вкрасти гроші або здійснити шахрайські транзакції з кредитних карт, і ділиться здобутою інформацією з фінансовими організаціями. Проте федерали частенько виявляють, що колеги з корпоративних служб безпеки вже випередили їх.

У 2009 році близько 30 представників правоохоронних органів і розвідслужб і співробітники служб безпеки провідних американських банків зустрілися в штаб-квартирі ФБР у Вашинґтоні. «Десь посередині зустрічі ми запитали, як відбувається обмін інформацією між фінансовим сектором і державою, – розповідає Стів Чабінські, який колись був помічником заступника директора ФБР із питань кібербезпеки, а згодом почав працювати в приватній компанії CrowdStrike. – Усі лише скрушно зітхнули».

«Ви хочете, щоб ми були чесними? – запитав представник міжбанківської ради з питань обміну інформацією, створеної для спілкування між банками та владою. – Це не найкращий обмін. Ми добровільно передаємо вам усю нашу інформацію і нічого не отримуємо натомість». Представники ФБР зауважили, що передали банкам перелік загроз, зокрема й список підозрілих інтернет-адрес, що можуть належати кіберзлочинцям. Створення цього звіту потребувало неабияких зусиль. Деяка інформація була призначена тільки для використання правоохоронними органами або взагалі була секретною.

«Гаразд, – відповів представник банку, – якщо це все, на що ви здатні, у нас проблеми. Тому що нам усе це відомо». Банки обмінюються інформацією та купують її у приватних розвідувальних компаній. Урядовці почали усвідомлювати, що не мають монополії на збір інформації. ФБР вирішило поділитися з банками звітами про поточні розслідування, щоб ті могли оцінити глибину його знань, розповів Чабінські. Однак виявилося, що банки відстежували кожну справу з цього переліку, крім однієї. Хакери націлювалися на мережу автоматичного кліринґового центру – електронної системи, яка обробляла масив транзакцій, зокрема й прямі депозити, платежі по кредитних і дебетових картах, а також електронні перекази між рахунками. Крадіжка особистих даних і паролів людей, які використовували мережу, дозволила б злодіям зняти з численних рахунків близько $400 млн. Банки вже здогадувалися, що хакери полюють на кліринґову мережу, проте не уявляли масштабів і не знали про методи викрадання особистих даних, виявлені ФБР. Банки були вдячні за інформацію та змогли залатати вразливі місця у системах безпеки. Але це був той рідкісний випадок, коли ФБР знало щось таке, чого не знали банки.

Спецслужби рідко переслідують кіберзлочинців, особливо якщо шахраї живуть у країнах з недосконалим законодавством у сфері кіберзлочинів, які не мають домовленості із США про екстрадицію підозрюваних. «Росіяни попередять хакерів, що ми за ними стежимо, і запропонують тим змінити імена, щоб було важче їх знайти», – розповідає один із керівників правоохоронних органів, який працював над розслідуванням кіберзлочинів. І це ставить банки у складне становище, адже їм доводиться наодинці протистояти хвилі криміналітету, масштаби й амбіції якого постійно зростають, натомість правоохоронні органи довели своє безсилля у стримуванні загроз.

Керівники фінансових організацій не підтримали план Александера зі встановлення шпигунського обладнання в їхніх мережах. Проте не зупинили його інших масштабніших планів. Після повернення до Вашинґтона він проштовхнув рішення щодо передачі АНБ повноважень із захисту інших критично важливих галузей економіки. Чільне місце у списку належало енергетиці, за якою йшло водопостачання. «Він хотів звести стіну довкола найуразливіших організацій Америки… і встановити в їхніх мережах обладнання для стеження», – розповідає колишній представник адміністрації президента. Програма Tranche 2 померла, а пілотна програма DIB підірвала осяйну репутацію АНБ, проте Александер продовжував натискати на всі важелі, головно спираючись на підтримку адміністрації президента. Пілотну програму не назвали цілковитою поразкою. Деякі представники адміністрації, зокрема й з Міністерства внутрішньої безпеки, зауважували, що програма довела ефективність передачі секретної інформації компаніям через обраних владою посередників. Хоч би як було складно, але вони можуть працювати в тандемі. І хоча дані АНБ дозволили виявити лише дві унікальні загрози, це таки краще, ніж зовсім нічого, додавали держслужбовці.

Міністерство внутрішньої безпеки отримало номінальний контроль над розширеною програмою DIB, доступ до якої дістали ті підприємства поза оборонною сферою, добробут яких був важливим для державної та економічної безпеки США. Уряд вибирав компанії, що потребували особливого захисту, навмання. Натомість збір інформації про загрози й більша частина технічного аналізу шкідливого ПЗ і методів проникнень надалі залишалися за АНБ, що часто співпрацює з ФБР, діяльність якого (а також бюджет) була спрямована з антитерористичної діяльності на кібербезпеку. У 2013 році в АНБ працювало понад тисячу математиків (більш ніж у будь-якій іншій організації США), 900 кандидатів наук і 400 комп’ютерних фахівців. Мізки й м’язи для забезпечення державного кіберзахисту продовжують надходити з АНБ, і, можливо, так буде завжди.

Виникло бюрократичне непорозуміння, але, врешті-решт, влада надалі контролює захист кіберпростору й розглядає інтернет як стратегічний державний ресурс – саме це й обіцяв Обама у промові, виголошеній у Білому домі в травні 2009 року. Александер знав, що агентство не спроможне відстежити кожну загрозу в інтернеті; йому надалі була необхідна інформація від компаній. Тому він почав тиснути на суспільство. Під час промов і виступів у Конгресі він попереджав, що хакери вдосконалюють власну майстерність, що кількість кіберзлочинів зростає і що компанії не мають технічного ресурсу, щоб захистити себе. Александер вимагав посилення державного контролю в цій сфері, щоб спонукати компанії підвищити стандарти безпеки й гарантувати відсутність кримінального переслідування тим, хто передає в АНБ інформацію про комунікації своїх клієнтів без судового дозволу. Александер називав кіберзлочинність і шпигунство «найбільшим перерозподілом багатства в історії» і попереджав, що поки американський бізнес не посилить кібероборону, державі надалі загрожує «кібернетичний Перл-Гарбор».

«Ми бачимо зростання рівня активності в мережах, – застерігав Александер на конференції з безпеки 2013 року в Канаді, через два роки після зустрічі з керівниками фінансових організацій. – Я стурбований тим, що незабаром ситуація вийде з-під контролю, приватний сектор надалі не зможе протистояти загрозі, і державі доведеться вступити у гру».

Деякі компанії прислухалися до попередження. Але не так, як розраховував Александер. Вони знали, що загроз побільшало. Вони бачили, як хакери пускають коріння в їхніх мережах і щодня викрадають дані. Але виснували, що, попри гучні заяви АНБ, держава не в змозі їх захистити. Компаніям доведеться захищатися самостійно.

11. Корпоративна контратака

У середині грудня 2009 року програмісти зі штаб-квартири Google, розташованої в містечку Маунтін-В’ю в Каліфорнії, почали підозрювати, що хакери з Китаю отримали доступ до приватних облікових записів поштового сервісу Gmail, зокрема й до тих, які використовують китайські правозахисники, що перебувають в опозиції до влади Пекіна. Як і більшість інших відомих інтернет-компаній, Google та її користувачі часто ставали мішенями для кібершпигунів і злочинців. Але коли фахівці придивилися до атаки пильніше, то виявили, що це не звичайна хакерська операція.

Під час цієї операції, яку Google згодом назве «хитромудрою і цілеспрямованою атакою Китаю на нашу корпоративну інфраструктуру», кіберзлодії змогли отримати доступ до системи паролів, яка дозволяла користувачам входити в низку служб Google водночас. Ця система була найважливішим об’єктом інтелектуальної власності, яку розробники вважали «коштовним каменем у короні» вихідних кодів компанії. Google хотіла отримати конкретні докази зламування, щоб поділитися ними з правоохоронними органами та розвідкою США. Отож фахівці компанії відстежили джерело зламу – сервер у Тайвані, з якого висмоктували системну інформацію. Вірогідно, цей сервер контролювали хакери з материкового Китаю.

«Google зламала цей сервер», – розповідає колишній старший офіцер розвідки, який знав про дії компанії. За його словами, у цьому рішенні крився певний правовий ризик. Чи була це справді контратака? Позаяк не існує закону, що забороняє домовласникові простежити за грабіжником до місця його проживання, компанія Google не порушила жодних законів, відстеживши джерело вторгнення в свої системи. Хоча невідомо, як саме фахівці компанії дістали доступ до сервера, попри отримання контролю над ним, вони б переступили межу закону лише тоді, коли б видалили або знищили дані. Але Google нічого не знищувала. Натомість компанія зробила дещо неочікуване й безпрецедентне – поділилася здобутою інформацією.

Компанія Google розкрила подробиці однієї з наймасштабніших кібершпигунських кампаній в американській історії. Докази свідчили про те, що китайські хакери проникли в системи близько тридцяти різних компаній, серед яких виявилися технологічні гіганти Symantec, Yahoo, Adobe, оборонний підрядник Northrop Grumman і виробник обладнання Juniper Networks. Широта кампанії не дозволяла визначити її головну мету. Чи було це промислове шпигунство? Стеження за правозахисниками? Або ж Китай намагався створити щось штибу плацдарму для шпигунів у основних секторах американської економіки, ба більше, інсталювати шкідливе ПЗ у системи управління критично важливими об’єктами інфраструктури? Єдине, у чому компанія Google, як здавалося, була упевнена, то це те, що хакерська операція була масштабною і тривалою і за нею стояв саме Китай. Це були не просто незалежні хакери, а китайська влада, яка мала засоби й мотиви для такої масованої атаки.

Google поділилася своїми знахідками з іншими атакованими компаніями, а також із правоохоронними органами та розвідувальними службами. Протягом останніх чотирьох років керівники корпорацій потай тиснули на урядовців, закликаючи їх оприлюднити інформацію про китайське шпигунство, присоромити цю країну й змусити її припинити цю хакерську кампанію. Але для заяв, у яких вони могли б тицьнути пальцем в обвинувачену державу, президентові Обамі чи держсекретарю Гілларі Клінтон були потрібні докази того, що атаки виходять саме з Китаю. Переглядаючи матеріали, надані компанією Google, державні аналітики не були впевнені у неспростовності цих доказів. Американські урядовці вирішили: якщо вони оприлюднять те, що дізналася Google, зважаючи на нестабільні взаємини між двома найбільшими економіками світу ризик конфлікту дуже великий.

Компанія Google з цим не погодилася.

Заступник держсекретаря Джеймс Штейнберґ розважався на коктейльній вечірці у Вашинґтоні, коли його асистент приніс термінове повідомлення: Google збирається оприлюднити заяву щодо китайської шпигунської кампанії. Штейнберґ, друга за рангом особа у справах зовнішньої політики, миттєво збагнув масштабні наслідки цього рішення. Американські корпорації досі не бажали публічно звинувачувати Китай у шпигунстві або крадіжці інтелектуальної власності. Компанії боялися втратити довіру інвесторів і клієнтів, а тому запрошували незалежних хакерів, щоб ті латали найуразливіші місця в корпоративній системі безпеки, і розлючено лаяли китайських чиновників, у владі яких негайно закрити доступ до одного з найбільших і найдинамічніших ринків для американських товарів і послуг. Для будь-якої компанії виступ проти Китаю мав би вагомі наслідки. Але для Google, найвпливовішій компанії епохи інтернету, це було історичне рішення.

Наступного дня, 12 січня 2010 року, головний фахівець юридичного відділу Google Дейвід Драммонд оприлюднив розлогу заяву в блозі компанії, звинувачуючи китайських хакерів у атаці на інфраструктуру Google, і розкритикував китайську владу за цензуру в інтернеті та переслідування правозахисників. «Ми пішли на незвичний крок, поділившись інформацією про ці атаки з широкою аудиторією, не лише тому, що виявили порушення безпеки та цивільного права, а й тому, що ця інформація стане основою для масштабнішої глобальної дискусії з приводу свободи слова», – заявив Драммонд.

Представники Держдепартаменту побачили рідкісну можливість натиснути на Китай, звинувативши його у шпигунстві. Того ж вечора Гілларі Клінтон виступила з власною заявою. «Ми отримали інформацію про звинувачення Google, які порушують дуже серйозні питання й проблеми. Ми чекаємо пояснень від китайського уряду, – сказала вона. – Для сучасного суспільства й економіки довіра до кіберпростору вкрай важлива».

Ці дипломатичні заяви мали неабияке значення. Завдяки сміливості Google адміністрація Обами отримала змогу звинуватити Китай у шпигунстві, не висуваючи власних арґументів, а просто посилаючись на факти, виявлені компанією під час власного розслідування. «Це була слушна нагода обговорити ці питання без викриття секретних джерел або делікатних методів [збору інформації]», – підкреслив Штейнберґ. Компанія Google не попереджувала адміністрацію про власне рішення, яке йшло врозріз із нехіттю деяких офіційних осіб до громадських обговорень шпигунства. Але тепер, коли все сталося, ніхто не нарікав. «Це було їхнє рішення. Звісно, у мене не було жодних заперечень», – розповідав Штейнберґ.

Адміністрація Обами змінила тон спілкування з Китаєм на суворіший, а почалося все з промови Клінтон щодо започаткування ініціативи сприяння свободі в інтернеті (Internet Freedom initiative), виголошеної через дев’ять днів після заяви Google. Вона закликала Китай припинити цензуру пошукових запитів у інтернеті та блокування доступу до сайтів, які публікують критику державних лідерів. Клінтон порівняла ці віртуальні бар’єри з Берлінським муром.

Натомість компанія Google заявила, що припинить фільтрувати результати пошуку за словами й темами, забороненими державною цензурою. А якщо Пекін заперечуватиме, Google ладна піти ва-банк і полишити китайський ринок, навіть утративши при цьому мільярди доларів потенційного зиску. Ця заява посадила інші американські технологічні компанії на «розпечений стілець». Чи готові вони й надалі миритися з державним утручанням і придушенням свободи слова, щоб зберегти свій бізнес у Китаї?

Після заяви Google іншим компаніям стало простіше визнати, що вони також піддавалися хакерським атакам. Урешті-решт, якщо з цим стикнулася Google, це могло статися з будь-ким. Шпигунські атаки Китаю могли стати навіть ознакою важливості компанії, на яку звернула увагу наддержава. Один-єдиний пост у блозі Google змінив риторику глобальної дискусії на тему кіберзахисту.

Компанія Google також задекларувала, що багато знає про китайських шпигунів. АНБ хотіло знати, наскільки багато.

Google сповістила АНБ і ФБР про те, що її мережі зламали хакери з Китаю. Як правоохоронне агентство, ФБР могло почати розслідування цього проникнення як кримінального злочину. Проте АНБ був потрібний дозвіл Google на участь у розслідуванні та аналіз прогалини в захисті. Того самого дня, коли юрист Google написав свій пост у блозі компанії, головний юрисконсульт АНБ почав готувати проект «Угоди про спільне дослідження та розвиток» – правового акту, розробленого на підставі закону 1980 року задля прискорення комерційного розвитку нових технологій, в яких були зацікавлені не лише компанії, а й держава. В угоді йшлося про спільне створення нових пристроїв чи розробку технологій. Компанія не отримувала грошей, але могла розраховувати на те, що держава профінансує витрати на дослідження й розробку та дозволить використовувати державне обладнання й залучати фахівців із держструктур для проведення досліджень. Кожна зі сторін зберігала результати співпраці у таємниці, поки обидві не погоджувались їх оприлюднити. Як наслідок, компанія отримувала ексклюзивний патент на те, що було створене спільними зусиллями, натомість держава могла використовувати будь-яку інформацію, набуту в рамцях цієї співпраці.

Не відомо, що саме спільно створили АНБ і Google після китайської хакерської заяви. Проте під час написання угоди представниця агентства зробила кілька натяків. «Загалом, у рамках місії із забезпечення інформаційної безпеки АНБ працює з низкою комерційних партнерів і дослідницьких об’єднань, аби запевнити доступність безпечних особливих рішень для Міністерства оборони та клієнтів системи національної безпеки», – сказала вона. Інтригує фраза про «особливі рішення», яка вочевидь стосується чогось створеного на замовлення агентства для збору інформації. Зі слів офіційних осіб, знайомих із деталями угоди між Google і АНБ, компанія погодилася надавати АНБ інформацію про трафік у своїх мережах в обмін на розвіддані щодо іноземних хакерів. Послуга за послугу, інформація за інформацію. А з перспективи АНБ – інформація в обмін на захист.

Ця спільна угода та згадка про «особливе рішення» дозволяють упевнено припустити, що Google і АНБ розробили пристрій або технологію виявлення вторгнень у мережі компанії. Завдяки цьому АНБ могло б отримувати цінну інформацію для своєї так званої системи активного захисту, яка використовує комбінацію автоматичних сенсорів і алгоритмів для виявлення шкідливого ПЗ або ознак запланованої атаки і протидіє їм. Одна система під назвою «Паніка» (Turmoil) розпізнає потенційно небезпечний трафік. Потому інша автоматична система «Турбіна» (Turbine) ухвалює рішення, пропустити цей трафік чи заблокувати його. Остання система також може запропонувати програму для атаки або хакерську методику, яку оператор зможе застосувати для нейтралізації джерела шкідливого трафіку. Він може скасувати інтернет-з’єднання джерела трафіку або скерувати трафік на контрольований АНБ сервер. А там джерело можна інфікувати вірусом або шпигунською програмою, за допомогою якої АНБ надалі спостерігатиме за ним.

Для роботи систем Turbine і Turmoil АНБ потребувало інформації, зокрема про дані, які передаються в мережі. Компанія Google, що має мільйони клієнтів у всьому світі, – це наче каталог користувачів інтернету. Компанія має адреси їхньої електронної пошти. Знає їхнє фізичне розташування під час входу в мережу. Знає, що саме вони шукають у мережі. Влада може наказати компанії надати цю інформацію, як робить це в рамках програми Prism, в якій компанія Google брала участь протягом року ще до того, як підписала угоду про співпрацю з АНБ. Однак саме цей інструмент використовують для розшуку людей, яких влада підозрює в терористичній діяльності або шпигунстві. Місія АНБ із забезпечення кіберзахисту передбачає ширше охоплення мереж у пошуках потенційних небезпек, інколи ще до того, як стане відомо, де саме розташоване джерело загроз. У користувацькій угоді компанія Google повідомляє своїх клієнтів про те, що може передавати їхні «персональні дані» стороннім організаціям, зокрема й державним агентствам, для «виявлення, запобігання або інших заходів у разі шахрайських дій, проблем безпеки або технічних питань», а також для «захисту прав, власності або безпеки Google». За словами людей, знайомих із деталями угоди між АНБ і Google, влада не має дозволу на читання електронних листів користувачів Google, утім може робити це в рамках програми Prism. Натомість угода дозволяє АНБ аналізувати апаратне й програмне забезпечення Google у пошуках уразливостей, якими можуть скористатися хакери. Зважаючи на те що АНБ є єдиним найбільшим охоронцем інформації про вразливості нульового дня, ця інформація може зробити Google безпечнішою за інші компанії, які не дають доступу до своїх найбільших секретів. Угода також дозволяє агентству аналізувати втручання, які вже відбулися, щоб відстежити джерело атак.

Компанія Google пішла на ризик, співпрацюючи з АНБ. Корпоративний девіз компанії «Не будь злим», здається, суперечить роботі з прикриття розвідувального кібервоєнного агентства. Але внаслідок цієї співпраці Google отримала корисну інформацію. Незабаром після викриття китайського втручання Сергію Бріну, співзасновникові компанії Google, надали тимчасовий допуск до секретної інформації, що дозволив йому брати участь у закритих нарадах, де обговорювалась операція проти його компанії. Державні аналітики виснували, що вторгнення координував підрозділ Народно-визвольної армії Китаю. Це була найдокладніша інформація про джерело вторгнення, яку компанія Google отримала. Ці дані допомогли їй посилити захист систем, заблокувати трафік для кількох інтернет-адрес і ухвалити зважене рішення про те, чи варто продовжувати працювати в Китаї. Керівники Google зневажливо відгукувалися про «секретний складник» АНБ. Але коли компанію атакували, по допомогу вона звернулася до Форт-Міда.

Компанія Google розповіла у блозі, що в рамцях операції, яка згодом отримала назву Aurora за іменем файлу на комп’ютері нападників, китайські хакери атакували понад 20 компаній. А невдовзі одна компанія зі сфери інформаційної безпеки вирахувала, що об’єктів атаки було близько тридцяти. Насправді масштаби китайського шпигунства були і є значно більшими.

Експерти з безпеки, державні і незалежні, дали спеціальну назву хакерам, які стоять за такими атаками, як Aurora, націленими на тисячі різних компаній, що працюють практично в кожному секторі економіки США. Вони назвали таких хакерів «підвищеною постійною загрозою» (Аdvanced persistent threat – APT). Ця назва звучить загрозливо й має певний підтекст. Коли держслужбовці говорять про APT, найчастіше вони мають на увазі Китай, а якщо конкретніше, то хакерів, які працюють під керівництвом чи на замовлення китайської влади.

Слово «підвищена» у цьому описі почасти стосується хакерських методів, які анітрохи не поступаються за ефективністю методам АНБ. Китайські кібершпигуни використовують застосунки для спілкування та надсилання миттєвих повідомлень на зараженому комп’ютері, щоб з’єднатись із сервером, що контролює операцію. Вони інсталюють шкідливі програми, а потім віддалено вдосконалюють їх, додаючи нові можливості зі збору інформації. Державний апарат, що підтримує всю цю шпигунську діяльність, також «просунутіший» за розрізнені групи кібервандалов або таких активістів, як група Anonymous, які шпигують за компаніями в політичних цілях, або навіть за російські кримінальні групи, які найчастіше зацікавлені у викраданні банківських даних і номерів кредитних карт. Китай готовий до довготривалої операції. Керівники країни прагнуть, щоб економіка та промисловість сягнули максимального розвитку в досяжному майбутті, і ладні викрадати знання, необхідні для досягнення цієї мети. Ось що говорять американські можновладці.

В описі цієї загрози також варто звернути увагу на слово «постійна». Збір величезних обсягів інформації з багатьох джерел потребує максимальної концентрації, політичної волі й фінансових ресурсів, адже потрібно випробувати безліч різноманітних методів зламу, зокрема й дорогі експлойти нульового дня. Шпигуни, що знайшли плацдарм і облаштувалися в корпоративній мережі, не підуть самостійно, поки їх не викинуть силоміць. Але невдовзі вони повертаються. «Загроза» американській економіці полягає в утраті потенційних прибутків і стратегічних позицій. Водночас існує небезпека, що китайські військові знайдуть точки входу в системи управління критично важливими об’єктами інфраструктури США. Американські розвідники вважають, що китайські військові вже мають схему інфраструктурних мереж, тож, якщо дві держави зійдуться колись у двобої, китайці зможуть завдати удару по таких американських об’єктах, як електричні мережі або газові трубопроводи, не вдаючись до запуску ракет або відправки флотилії бомбардувальників.

Операція Aurora дозволила побіжно оцінити сферу використання експлойтів APT. Уперше, коли йшлося про китайські шпигунські операції, були названі конкретні компанії. «Масштаб цієї діяльності значно більший, ніж хтось будь-коли уявляв», – зізнався Кевін Мандіа, генеральний директор і президент розташованої неподалік Вашинґтона компанії Mandiant, що займається комп’ютерною безпекою і кримінальними розслідуваннями. АРТ – це хакерська діяльність стратегічного державного рівня. «Шкода була завдана не лише п’ятдесятьом компаніям. Тисячі компаній опинились у небезпеці. У справжній небезпеці. Прямо зараз», – сказав Мандіа, ветеран кіберрозслідувань, у минулому офіцер комп’ютерної безпеки ВПС, який розслідував кіберзлочини. Компанія Mandiant – це професійна організація, до якої звертаються компанії, коли виявляють, що в їхні комп’ютерні мережі проникли шпигуни. Незабаром після зламу Google під час закритої зустрічі з представниками Міністерства оборони компанія Mandiant оприлюднила деталі власного розслідування, яке відбулося за декілька днів до атаки.

АРТ – це не одна організація, а кілька хакерських груп, до яких входять не лише команди, що працюють на Народно-визвольну армію Китаю, а й так звані хакери-патріоти – ініціативні, підприємливі ентузіасти комп’ютерів, які хочуть служити своїй країні. У китайських університетах безліч студентів комп’ютерних спеціальностей, які по закінченні навчання йдуть працювати у військові організації. Хакери АРТ вважають найбільшими чеснотами крутійство та терплячість. Вони використовують уразливості нульового дня й установлюють бекдори. Присвячують свій час ідентифікації співробітників у організації, на яку націлилися, відтак надсилають їм старанно складені фішинґові електронні листи, нашпиговані шпигунським ПЗ. Вони проникають в організацію і часто працюють там місяці або навіть роки, перш ніж хтось їх виявить, і весь цей час викачують схеми та креслення, читають електронні листи й переглядають вкладення, стежать за працівниками, що звільнилися, і новачками – своїми майбутніми цілями. Інакше кажучи, китайські шпигуни поводяться так само, як і їхні американські колеги.

Жодна розвідувальна організація не виживе, якщо не знатиме свого ворога. З такою розлогою мережею спостереження, якою є АНБ, інколи простіше отримати докладну інформацію про хакерські кампанії від самих об’єктів атаки. Ось чому АНБ співпрацює з Google. Ось чому представники влади вислухали приватних нишпорок компанії Mandiant, коли ті прийшли з інформацією про АРТ. Захист кіберпростору – складне завдання, навіть для найкращого в світі шпигунського агентства. Подобається це комусь чи ні, але АНБ і корпорації повинні боротися з ворогом спільно.

Сергій Брін з Google – лише один із сотень гендиректорів, допущених у таємне коло АНБ. З 2008 року агентство пропонує керівникам компаній тимчасовий допуск до секретної інформації, інколи лише на один день, щоб дозволити їм потрапити на закриті наради на тему кіберзагроз. «Вони пускають когось на один день і показують безліч розвідданих, пов’язаних із небезпеками, що загрожують бізнесу в Сполучених Штатах», – розповідає керівник телекомунікаційної компанії, якому доводилося відвідати кілька таких заходів, що відбуваються приблизно тричі на рік. Гендиректори мусять підписати угоду щодо нерозголошення будь-якої інформації, отриманої під час брифінґу. «Їм довго пояснюють: якщо порушуватимеш цю угоду, тебе заарештують, засудять і ти проведеш решту життя у в’язниці», – каже керівник.

Навіщо комусь погоджуватися з такими суворими вимогами? «На один-єдиний день вони ставали особливими й бачили те, про що мало кому відомо», – пояснює керівник телекомунікаційної компанії, який завдяки регулярній роботі над секретними проектами мав високий рівень доступу до засекреченої інформації, зокрема й про найтаємніші операції АНБ, як-от незаконну програму стеження, яка запрацювала після терактів 11 вересня. Саме завдяки цим закритим зустрічам «Александер близько потоваришував із багатьма директорами компаній, – додає джерело. – Я був на деяких із цих зустрічей і якось сказав: “Генерале, ви розповідаєте цим хлопцям такі речі, витік інформації про які може загрожувати небезпеці країни”. Але він відповів: “Я знаю. Але це зважений ризик. І якщо витік станеться, їм відомо про наслідки”».

Агентство залякувало керівників, щоб привернути їхню увагу до проблеми. Викриття агентства, що стосуються викрадених даних і ворожих уторгнень, жахають, і повідомляють їх навмисно. «Ми лякаємо їх до бісиків», – зізнався в інтерв’ю суспільній радіостанції один урядовець у 2012 році. Деякі з цих керівників після нарад про загрози виходили з таким самим відчуттям, як оті директори оборонних підприємств, які влітку 2007 року залишали Пентаґон «із сивим волоссям». Деякі розгублені директори, які не знали, як захистити підприємства, зверталися до приватних охоронних компанії, таких як Mandiant. «Я особисто знаю одного генерального директора, життя якого сильно змінилося після закритої наради в АНБ із питань кіберзагроз, – розповів Річард Бейтліч, старший офіцер безпеки Mandiant, в інтерв’ю суспільній радіостанції. – Генерал Александер посадив його в крісло і розповів, що відбувається. Саме цей генеральний директор, як на мене, повинен був знати про [загрози його компанії], але він не знав, і ця інформація змусила його переосмислити все, що він думав про цю проблему».

В АНБ і приватних охоронних компаніях склалися взаємовигідні відносини. Влада залякувала керівників, а ті бігли по допомогу до експертів, таких як Mandiant. Ці компанії, своєю чергою, ділилися з владою інформацією, отриманою в процесі розслідувань. Саме так учинила компанія Mandiant після проникнення в мережі Google у 2010 році. Натомість АНБ використовувало закриті брифінґи, щоб спонукати компанії зміцнювати системи захисту. Під час однієї зустрічі 2010 року представники агентства заявили, що виявили уразливі місця в біосі – вшитій пам’яті персональних комп’ютерів, яка керує її роботою. Цей недолік дозволяв хакерам перетворювати комп’ютер на «цеглину», зробивши його абсолютно неужитковим. Генеральних директорів компаній, що виробляли комп’ютери, які були присутні на цій зустрічі, попередили своєчасно, отож вони виправили недолік.

Закриті наради на вищому рівні – це лише один зі способів, які використовувало АНБ для укладання союзів із корпораціями. Деякі секретні програми дозволяють компаніям ділитись інформацією про власні розробки з агентством, яке вишукувало в них потенційні вразливості, а іноді встановлювало бекдори або інші входи для доступу. Серед компаній, які розкривали АНБ інформацію про власні продукти, були виробники комп’ютерів, серверів і мережевих маршрутизаторів, розробники популярного програмного забезпечення (зокрема і Microsoft), постачальники послуг електронної пошти та інтернет-провайдери, телекомунікаційні компанії, виробники супутників, антивірусні компанії і розробники алгоритмів шифрування.

АНБ допомагало компаніям знайти вразливі місця в їхніх продуктах. Але також платило компаніям, аби ті не усували деякі з виявлених недоліків. Ці вразливості дозволяли агентству заходити в мережі й проводити там шпигунські операції або атаки на іноземні держави, які інсталювали ці продукти в комп’ютерах розвідувальних і військових організацій, а також на критично важливих об’єктах інфраструктури. За словами представників компанії й американських можновладців, Microsoft передавала АНБ звіти щодо вразливостей нульового дня в своїх програмних продуктах іще до оприлюднення офіційних попереджень і виходу програмних оновлень. Компанія Cisco, один із провідних світових виробників мережевого обладнання, залишала в маршрутизаторах бекдори, щоб американські агентства могли відстежувати роботу обладнання, як розповів фахівець у сфері кібербезпеки, який навчав співробітників АНБ технологій захисту. Компанія McAfee, що працює у сфері інтернет-безпеки, надсилала до АНБ, ЦРУ і ФБР потоки мережевого трафіку, результати аналізу ПЗ, а також інформацію про хакерські новинки.

Компанії, які обіцяють розкривати відомості про «діри» в безпеці власних продуктів лише шпигунським агентствам, отримують гроші за своє мовчання, як кажуть експерти й офіційні особи, яким ці угоди знайомі. Ба більше, оці шпарини, через які влада може стежити, – вимога законодавства. Скажімо, телекомунікаційні компанії зобов’язані проектувати своє обладнання так, щоб правоохоронні органи, які отримали дозвіл суду на стеження, могли прослуховувати розмови так само легко, як через лінії стаціонарного зв’язку. Але якщо АНБ збирає інформацію за кордоном, ці закони вже не поширюються на агентство. Натомість спостереження за допомогою бекдорів і секретних уразливостей в обладнанні та програмному забезпеченні, до якого вдається АНБ, у багатьох країнах незаконне.

Звісно, бекдорами і вразливостями можуть скористатись і хакери. У 2010 році аналітик компанії IBM виявив недолік у системі безпеки операційної системи Cisco, завдяки якій будь-який хакер міг скористатися бекдором для правоохоронних органів. Хакер міг зламати обладнання Cisco і скористатись їм для відстежування всіх комунікацій, зокрема й вмісту електронних листів. Залишаючи вразливості у продуктах, у тому числі таких популярних, як програми Microsoft, компанії піддають небезпеці мільйони користувачів, а також електростанції, комунальні служби й транспортні системи.

Згідно з американським законодавством, влада зобов’язана щоразу попереджати компанії, якщо використовує їхні продукти, сервіси або обладнання для стеження та збору інформації. Деякі з цих угод щодо обміну інформацією відомі лише керівникам і кільком юристам. Вигода від такої співпраці може бути значною. Джон Чемберс, керівник Cisco, потоваришував із Джорджем Бушем за часів його президентських повноважень. У квітні 2006 року Чемберс і президент обідали в Білому домі разом із Генеральним секретарем Центрального комітету Комуністичної партії Китаю Ху Цзіньтао, а наступного дня Буш «підвіз» Чемберса президентським літаком до Сан-Хосе, де президент долучився до Чемберса у штаб-квартирі Cisco і взяв участь у панельній дискусії, присвяченій конкурентоспроможності американського бізнесу. До розмови також приєднався тодішній губернатор Каліфорнії Арнольд Шварценеґґер. Близькість до політичної влади – це вже нагорода. Але привілейовані компанії інколи також отримують від уряду завчасні попередження щодо небезпек, які їм загрожують.

Міністерство внутрішньої безпеки також проводить зустрічі з представниками компаній у рамцях власної ініціативи зі створення «міжгалузевих робочих груп». Ці зустрічі дозволяють керівникам із корпоративного світу, з якими влада ділиться інформацією, поспілкуватися один з одним і почути державних діячів. Учасники таких зустрічей часто мають допуск до секретної інформації й успішно пройшли перевірки на благонадійність. Міністерство оприлюднює розклад і програму деяких зустрічей, однак не розкриває назви компаній-учасниць і зберігає в таємниці чимало подробиць обговорюваних питань. Від січня 2010 року до жовтня 2013-го, як стало відомо із відкритих джерел, влада організувала щонайменше 168 зустрічей із компаніями лише в рамцях ініціативи зі створення міжгалузевих робочих груп. А були ще сотні інших зустрічей за галузевим принципом: наприклад, енергетика, телекомунікації і транспорт.

Ці зустрічі виглядали так: «брифінґ про кіберзагрози» за участі влади, зазвичай представників АНБ, ФБР або Міністерства внутрішньої безпеки; останні новини щодо конкретних ініціатив, як-от підвищення безпеки банківських сайтів, спрощення процедури обміну інформацією між комунальними підприємствами або перелік шкідливого ПЗ; обговорення «інструментів» безпеки, розроблених державою та приватними компаніями, наприклад програм для виявлення в мережі хакерів. Одна з нарад у квітні 2012 року була присвячена «сценаріям обміну інформацією для активного кіберзахисту» – розробленому АНБ методу нейтралізації кіберзагроз іще до того, як вони призвели до збитків. І йшлося тут про інформаційний обмін не між державними службами, а між корпораціями.

На більшості зустрічей ішлося про захист промислових систем управління – під’єднаних до інтернету пристроїв контролю обладнання електростанцій, ядерних реакторів, банків та інших критично важливих інфраструктурних об’єктів. Ось чия вразливість у кіберпросторі найбільше непокоїла керівників розвідки. Ця саме та тема, яка так збадьорила Джорджа Буша у 2007 році, і саме її висвітлив у промові Барак Обама два роки потому. Розсекречені програми цих зустрічей дозволяють поглянути, як саме збираються захищати внутрішній кіберпростір компанії та держава.

23 вересня 2013 року Міжгалузева робоча група з питань безпеки обговорювала зміни, запропоновані в законопроекті «Зв’язок між оператором і оперативним центром уряду Сполучених Штатів» (Connect Tier 1 and USG Operation Center). Під Tier 1 мають на увазі провідних інтернет-провайдерів чи мережевих операторів. Деякі найвідоміші компанії США, ознаковані як Tier 1, – це AT&T, Verizon і CenturyLink. Абревіатура USG розшифровується як United States Government (уряд Сполучених Штатів). Вірогідно, ініціатива передбачала організацію каналу передачі даних між АНБ і цими компаніями й розширення пілотної програми DIB, санкціоноване в лютому 2013 року президентським наказом, покликаним підвищити рівень безпеки критично важливих об’єктів інфраструктури у країні. Влада передавала інформацію про загрози, здебільшого через АНБ, двом інтернет-провайдерам – AT&T і CenturyLink. А ті продавали «розширені послуги кіберзахисту» компаніям, визначеним як життєво важливі для національної та економічної безпеки держави. Цією програмою номінально керує Міністерство внутрішньої безпеки, але саме АНБ надає інформаційну підтримку й забезпечує технічну експертизу.

Завдяки обмінові інформацією держава створила бізнес на кіберзахисті. Компанії AT&T і CenturyLink фактично стали приватними охоронцями, які продають захист обраним корпораціям і промисловим підприємствам. AT&T має одну з найдовших історій співпраці з державою у сфері нагляду. Після терактів 11 вересня компанія однією з найперших зголосилася передавати АНБ записи про дзвінки клієнтів, щоб агентство могло проаналізувати їх задля пошуку потенційних зв’язків із терористами, – ця програма співпраці триває донині. Більшість телефонних дзвінків у Сполучених Штатах здійснюється за допомогою устаткування AT&T, хоч би з якої мережі виходив виклик. Інфраструктура компанії є одним із найважливіших сховищ електронної інформації, яку часто відстежує АНБ і американські правоохоронні органи.

Про компанію CenturyLink зі штаб-квартирою у місті Монро у розвідувальному співтоваристві тривалий час було відомо не надто багато. Проте 2011 року вона придбала телекомунікаційну фірму Qwest Communications, з якою АНБ було знайомо навіть дуже добре. Ще до терористичної атаки 11 вересня представники АНБ виходили на керівників Qwest і просили їх надати доступ до високошвидкісних оптоволоконних мереж для стеження та виявлення потенційних кібератак. Компанія категорично відмовилася, позаяк представники агентства не мали судового дозволу на отримання доступу до обладнання компанії. Після терористичної атаки АНБ знову звернулося до Qwest із проханням передати записи телефонних розмов клієнтів компанії без судової санкції, як це зробила AT&T. Але компанія знову відмовила. Лише 10 років потому, після продажу компанії, мережі Qwest стали частиною розширеного апарату безпеки АНБ.

Перелік корпоративних потенційних клієнтів на поширювану державою кіберрозвідувальну інформацію такий самий строкатий, як економіка США. Щоб отримати цю інформацію, компанія повинна відповідати державному визначенню критично важливого об’єкта інфраструктури: «майно, системи й мережі, фізичні чи віртуальні, такі життєво необхідні США, що виведення їх із ладу або знищення матиме руйнівний вплив на безпеку, державну економічну безпеку, національну систему охорони здоров’я, безпеку громадян або їхню сукупність». Це визначення здається вузьким, проте категорії критично важливих об’єктів інфраструктури доволі численні й охоплюють тисячі різних напрямів діяльності. Офіційно існує 16 секторів: хімічна промисловість; комерційні підприємства, серед яких торговельні центри, спортивні заклади, казино та парки відпочинку; лінії зв’язку; основні промислові підприємства; греблі; індустріальна база військового комплексу; служби надзвичайних ситуацій, такі як служби оперативного реагування та пошуково-рятувальні служби; енергетичні підприємства; заклади охорони здоров’я; інформаційні технології; ядерні реактори, матеріали й відходи; транспортні системи; системи водопостачання та каналізації.

Важко повірити, що кожну компанію з цього переліку можна вважати аж такою «життєво необхідною для Сполучених Штатів», що збій в її роботі або її зупинення завдасть удару по національній безпеці та здоров’ю нації. Однак за роки, що минули після терактів 11 вересня, держава розкинула таку розлогу захисну мережу, що практично кожну компанію можна було назвати критично важливим об’єктом інфраструктури. Влада не розкриває інформації про те, які саме компанії попереджає про кіберзагрози. І участь у програмі досі залишається добровільною. Проте законодавці та деякі представники розвідслужб, зокрема Кіт Александер та інші співробітники АНБ, тиснули на Конгрес, вимагаючи врегулювати стандарти кібербезпеки для власників і операторів критично важливих об’єктів інфраструктури. Якби це сталося, влада могла б вимагати від будь-якої компанії – від Pacific Gas & Electric до Harrah’s Hotels and Casinos – погоджуватися на державну допомогу, ділитися з розвідкою інформацією про клієнтів і вибудовувати кіберзахист згідно з державними стандартами.

У 2013 році головний радник Пентаґону з питань кібербезпеки, генерал-майор Джон Дейвіс заявив у своїй промові, що Міністерство внутрішньої безпеки і Міністерство оборони працювали пліч-о-пліч над планом розширення оригінальної програми DIB на інші сектори економіки. Планували почати з енергетики, транспорту та нафтогазової галузі – з секторів, «критично важливих для місії Міністерства оборони, державної економіки та державної безпеки, які ми не можемо контролювати безпосередньо», – казав Дейвіс. Розкриття структури цих систем і потенційні хакерські атаки на них генерал-майор назвав «постійною загрозою». Держава ніколи не зможе охопити всі компанії всебічним захистом самостійно. Вона не здатна зробити цього зараз, ось чому покладається на співпрацю з AT&T і CenturyLink. Значно більше компаній звернеться по допомогу до держави, щойно та розширить периметр кібернетичного захисту. Потенційний ринок для послуг у сфері кібербезпеки практично безмежний.

12. Весняне пробудження

Сполучені Штати ще жодного разу не потерпали від масштабних кібератак, які б призвели до серйозного збою в роботі критично важливих об’єктів інфраструктури. Але на початку 2012 року частина представників влади захвилювалася, вирішивши, що те, чого вони так довго боялися, ось-ось станеться.

У березні того самого року принаймні 20 компаній, що обслуговують газові трубопроводи в США, звернулися до Міністерства внутрішньої безпеки, щоб зголосити підозрілі електронні листи, надіслані співробітникам цих компаній. Здавалося, що це листи начебто від колег, яких вони добре знали або могли знати завдяки специфіці своєї роботи – стандартний фішинґ. Деякі співробітники – досі невідомо, скільки саме, – відкрили повідомлення й вивільнили шпигунське ПЗ у корпоративні мережі операторів трубопроводів. Хакери не отримали доступу до систем управління трубопроводами, проте підійшли небезпечно близько. Якби оператори користувалися внутрішньою системою без зв’язку з інтернетом, імовірно, небезпека їх би оминула. Звісно, ризик того, що співробітник може принести шкідливе ПЗ на USB-носієві, все-таки існує.

Вищі посадові особи з ФБР, АНБ і Міністерства внутрішньої безпеки забили на сполох. Хакер, який здобуде контроль над трубопроводами, може перешкодити потокові природного газу або вивести з ладу систему управління, що призведе до аварії, ба навіть вибуху. Мережа газових труб США має протяжність понад 300 тисяч кілометрів, а природний газ – це приблизно третина енергоресурсу для постачання країни. Досі не було жодної підтвердженої кібератаки, яка б пошкодила труби. Проте подейкують, що під час холодної війни ЦРУ встановило шкідливе ПЗ на обладнанні трубопровідної системи Сибіру, де 1982 року стався вибух. Теоретична можливість віддаленої зміни тиску в трубах існує – подібну атаку АНБ уже проводило на іранському атомному підприємстві.

Щойно газові компанії повідомили уряд про зондування, представники влади надіслали на підприємства «леткі» команди й зібрали необхідну інформацію з жорстких дисків і системних лоґів[11]. Джерело електронних листів простежили до початків однієї операції, яка, за словами аналітиків, почалася ще в грудні 2011 року. Попередження від компаній щодо виявлення шпигунів «нескінченні», каже колишній співробітник правоохоронних органів, який опікувався цією проблемою. Проте аналітики не могли скласти цілісної картини операції. Чи то хакери хотіли зібрати інформацію про конкурентів у трубопровідному бізнесі, наприклад про пошук нових постачальників газу чи будівництво нових установок? А може, вони намагалися перешкодити безперервному постачанню природного газу, інсталюючи шкідливу програму, здатну у визначений день знищити трубопровід?

Аби це з’ясувати, державні слідчі вирішили не оприлюднювати заяв, а тихо спостерігати за «гостями», щоб дізнатися, за чим саме вони полюють. Це був ризикований хід. Хакери могли щомиті розпочати нищівну атаку на корпоративні мережі й украсти або стерти цінну інформацію. А був іще шанс, щоправда незначний, що об’єктом атаки стануть саме трубопроводи, а це спричинило б катастрофічні економічні наслідки і навіть могло б призвести до загибелі людей біля місця вибуху. Представники влади провели закриті зустрічі з обраними компаніями та повідомили їм те, що вже знали. Вони поділилися з персоналом, що опікується корпоративною безпекою, «стратегіями зменшення заподіяної шкоди», повідомляючи адреси електронної пошти, з яких були надіслані фішинґові повідомлення, і конкретні IP-адреса, доступ до яких слід було заблокувати. Проте влада не звільнила мережі від шпигунів і не сказала компаніям, як це зробити. 29 березня група екстреного реагування з Міністерства внутрішньої безпеки, що працює спільно з АНБ, оприлюднила на секретному урядовому сайті попередження для всіх операторів трубопровідних мереж, в якому наказувала дозволити шпигунам шукати інформацію, яка їх цікавить, і не втручатися, поки їхні дії не загрожують роботі трубопровідної системи. Державні діячі з Вашинґтона попередили торговельні асоціації, що представляють інтереси нафтогазових компаній, і наказали тримати деталі операції у таємниці.

Реакція на проникнення в систему контролю трубопроводів продемонструвала новий, значно вищий рівень впливу влади на кібероборону в енергетичному секторі. Газові компанії та їхні лобісти у Вашинґтоні дотримувалися вказівок та інструкцій державної влади. Майже весь час розслідування владі вдалося успішно тримати інформаційну блокаду ЗМІ. Серйозна хакерська кампанія проти життєво важливих об’єктів інфраструктури тривала вже декілька тижнів, і майже ніхто про неї не знав. Новини про проникнення в мережу з’явилися лише у травні, через два місяці після початку державної розвідувальної операції.

Втручалася держава й в інші галузі енергетики. Того літа Міністерство внутрішньої безпеки і Міністерство енергетики провели секретний брифінґ із питань кіберзагроз для гендиректорів електроенергетичних підприємств, пропонуючи їм тимчасовий допуск до закритої інформації, щоб надати більше інформації про загрози для галузі. Енергетичні компанії знали про небезпеки, що чатують у мережах, значно менше за компанії з інших галузей економіки, як-от фінансові організації, які регулярно ділилися одна з одною інформацією та створили систему для обміну повідомленнями щодо вторгнення й нові методи атак секретних мереж. Натомість енергетичні компанії боялися здаватися слабкими в очах конкурентів і надавати тим інформацію про майбутні стратегії, зізнавшись у власних проблемах з кіберзахистом.

Але урядовці втрачали терпець. Прибічники нового закону, покликаного регулювати стандарти кібербезпеки для комунальних компаній, продовжували проштовхувати його у Конгресі, арґументуючи необхідність закону зливою хакерських атак на газові компанії. Восени їхні плани зазнали поразки, второвуючи шлях для наказів Обами, покликаних зміцнити всі можливі способи кіберзахисту. Влада заохочувала компанії дотримуватися стандартів безпеки та методів захисту, розроблених Національним інститутом стандартів і технологій після консультацій із величезною групою промислових експертів і розвідників. Компанії могли проігнорувати поради влади. Але якщо б превентивна кібератака призвела до пошкодження інфраструктури, керівників компанії могли б притягнути до цивільної, ба навіть кримінальної відповідальності і їм довелося б пояснювати у суді, чому вони вирішили відбивати удар самостійно.

2012 року, у розпалі кібератак на газопровідні компанії, влада провела закриті брифінґи для майже 700 працівників комунальних підприємств. У червні 2013 року Міністерство внутрішньої безпеки, ФБР, Міністерство енергетики та Агентство безпеки транспорту почали так звану активну кампанію з ознайомлення підприємств «з контекстом загроз і стратегіями зменшення заподіяної шкоди», – ішлося в інформаційному бюлетені Міністерства внутрішньої безпеки. В рамцях кампанії закриті наради відбулися щонайменше в десяти американських містах, зокрема, у Вашинґтоні, Нью-Йорку, Чикаґо, Далласі, Денвері, Сан-Франциско, Сан-Дієґо, Сієтлі, Бостоні, Новому Орлеані та в «багатьох інших за допомогою захищеного відеозв’язку». Енергетичні підприємства почали навчати своїх працівників основ кібербезпеки. Shell, Schlumberger та інші великі компанії надсилали персоналові фальшиві фішинґові електронні листи з фотографіями милих котиків та іншими привабливими картинками. Експерти, що проводили навчання, кажуть, що майже всі працівники спочатку ловилися на такі повідомлення, але після тренінгу майже 90 % навчилися не відкривати посилання та вкладені файли, які зазвичай запускають установку шкідливого ПЗ.

Натомість представники АНБ продовжували наполегливо вимагати збільшення повноважень для розширення своєї оборонної мережі. У травні 2013 року, під час одного з небагатьох своїх публічних виступів у Вашинґтоні, Чарлз Берлін, директор Оперативного центру національної безпеки АНБ, озвучив поширену в колах американської розвідки думку, згідно з якою, якщо агентство зосередиться лише на захисті державних комп’ютерних мереж і інформації, це «майже аморально». «Місія Міністерства оборони… [полягає] у захисті Америки», – сказав Берлін, що очолював мозковий центр агентства із радіотехнічної розвідки та захисту комп’ютерних мереж. «Я багато років простояв на мурі фортеці, виливаючи киплячу олію на нападників, – говорив він. – Ми більше не здатні захистити Америку».

Тривожною весною 2012 року співробітники правоохоронних органів, розвідувальних і приватних охоронних служб майже не сумнівалися в походженні хакерів. Проте залишалося одне запитання: яка в них мета?

Колишній співробітник правоохоронних органів, що працював над цією справою, каже, що хакери перебували в Китаї і що ця атака була частиною масштабної стратегії Китаю зі складання карти критично важливої інфраструктури Сполучених Штатів. Досі не зрозуміло, яке завдання виконували хакери: просто шпигували чи готували ґрунт для кібервійни. Проте ці дві діяльності пов’язані одна з одною: щоб здійснити атаку на об’єкт, треба спочатку скласти схему інфраструктури та зрозуміти її вразливі місця. За всіма ознаками китайці шукали саме такі вразливі місця. За кілька місяців після виявлення втручання в мережі газових підприємств, канадська технологічна компанія Telvent, яка виробляє системи управління промисловими об’єктами і SCADA-системи, використовувані в Канаді та США, заявила, що хакери, ймовірно з Китаю, відстежували її мережевий трафік.

Кібервійна зі Сполученими Штатами не лежить у площині зацікавлень Китаю. На відміну від економічної конкуренції. Країна відчуває нагальну потребу дізнатись якнайбільше про джерела енергії американських компаній і про те, як цю енергію планують отримувати. Почасти це підтримало б китайські амбіції в енергетичній сфері. Водночас країні також потрібно підтримувати стрімкий темп розвитку економіки, бо, хоч він і сповільнився протягом останніх кількох років, ВВП Китаю від 2009 до 2013 рік збільшився на 7,8 %.

Китай шукає заміну традиційним джерелам викопних видів палива. Країна здебільшого використовує поклади вугілля, і про це передусім свідчить погана якість повітря в багатьох китайських містах. Китай – це друга країна світу за обсягами споживання вугілля, на яку припадає близько половини світового обсягу споживаного вугілля. Виробництво нафти в Китаї досягло максимальної позначки, тож влада шукає додаткові підводні родовища, а також переходить на чистіші джерела палива з багатшими запасами.

Щоб у майбутньому забезпечити Китай джерелами енергії, державні компанії зацікавлені у видобутку природного газу, який досі становить мізерну частку в енергоспоживанні країни – лише 4 % у 2009 році. Проте, щоб здобути цей газ, Китаю потрібно опанувати технологію гідравлічного розриву пластів і методи горизонтального буріння, розроблені й уперше впроваджені американськими компаніями. Звіт за 2013 рік, складений аналітиками кібербезпеки з фірми Critical Intelligence, висновує, що «китайські опоненти» сканували мережевий трафік енергетичних компаній США з метою викрадання інформації про методи гідравлічного розриву й видобутку газу. Автори зауважили, що китайські хакери цілилися здебільшого у компанії, що виробляють такі нафтопродукти, як пластмаса, і використовують як основну сировину природний газ. Проникнення у комп’ютери газових підприємств у 2011–2012 роках могло бути пов’язане з цими завданнями, наголошують аналітики.

Але Китай не планує відмовлятися від традиційних джерел енергії. За даними розробника антивірусів – компанії McAfee, 2009 року відбулася серія кібервторгнень у мережі американських нафтових компаній, метою яких було викрадання інформації про родовища нафти у різних куточках земної кулі. Китай є другим найбільшим споживачем нафти у світі після США, а з 2009 року – ще й другим найбільшим імпортером нафти. Принаймні одна американська енергетична компанія, що збиралася бурити у спірних водах, які Китай вважав своїми, зазнала атаки китайських хакерів.

Китай вступає у конкурентну боротьбу за природні ресурси й водночас намагається збудувати державну енергетичну індустрію. Саме тому китайці активно атакують американські енергетичні компанії та промислові об’єкти. У 2012 році Міністерство внутрішньої безпеки оприлюднило інформацію про 198 атак на життєво важливі об’єкти інфраструктури, що на 52 % більше, ніж попереднього року. 40 % цих атак були скеровані проти енергетичних компаній. Якщо б США опинилися в стані війни з Китаєм, безсумнівно, збройні сили цієї країни спробували б скористатися кіберплацдармами, створеними хакерами в мережах американських енергетичних компаній, і знищити або вивести з ладу критично важливі інфраструктурні об’єкти. Але в найближчому майбутньому Китай навряд чи буде сильно зацікавлений у тому, щоб завдавати збитків економіці США або знеструмлювати країну. Китай – один із найбільших іноземних кредиторів і найважливіший торговельний партнер США, тому безпосередньо зацікавлений у відмінному здоров’ї американської економіки та купівельній спроможності американських споживачів. Тому Китай шукає законні стежки до отримання інформації про пошуки джерел енергії в Сполучених Штатах і вивчення американських технологій: з 2010 року країна інвестувала понад $17 млрд у нафтогазовий бізнес США і Канади.

Отже, Китай веде подвійну гру – вкладає кошти в американські компанії й водночас краде в них інформацію. Цей шлях вельми сумнівний. Якщо китайські викрадачі американської інтелектуальної власності зроблять ці компанії менш конкурентоздатними на світовому ринку, американська економіка зазнає збитків, а отже, зазнає їх і Китай. Фахівці американської розвідки виснували, що ця країна навряд чи припинить кіберкампанію, поки американці не чинять дипломатичного тиску й не вводять економічних санкцій. Тому уряд, намагаючись захистити критично важливу інфраструктуру, вдався до агресивніших політичних дій: наприклад, ухвалив рішення щодо захисту і моніторинґу газових трубопроводів у 2012 році. Єдине, що заспокоює фахівців із національної безпеки, – це те, що досі не виявлено жодних ознак того, що Китай прагне перейти від шпигунства до бойових дій.

Однак цього не скажеш про інших противників США.

Із вересня 2009 року американських банкірів регулярно турбують кібератаками певного виду. Хакери полюють не на гроші банків, а на сайти, за допомогою яких клієнти можуть управляти своїми рахунками, перевіряти баланс, оплачувати послуги й здійснювати грошові перекази. Хакери перенавантажують банківські сервери трафіком із підконтрольних комп’ютерів, надсилаючи безліч одночасних запитів, що «вбиває» сайти. Десятки банків зазнавали таких атак, що призводить до збою в роботі. Серед них Bank of America, Wells Fargo, Capital One, Citigroup, HSBC та інші відомі та менш знані фінансові інституції.

Банки, так само як безліч інших компаній, що ведуть бізнес у мережі, вже стикалися з DDOS-атаками і раніше. Більшість експертів у сфері безпеки вважають такі атаки лише прикрою неприємністю і аж ніяк не загрозою, наслідки якої зазвичай можна усунути впродовж кількох годин. Проте одна атака стала безпрецедентною за масштабом і складністю. Нападники створили величезні комп’ютерні мережі, з яких відправляли на сервери банків неймовірно велику кількість запитів. За однією оцінкою, потік даних у декілька разів перевищував трафік, який 2007 року російські хакери скерували на естонські комп’ютери, що призвело до збою в усій системі електронної інфраструктури країни, – це була найбільш нищівна кібератака в історії. Банківські інтернет-провайдери доповіли, що на жоден сайт іще ніколи не спрямовували такий величезний трафік. Жертвами хакерів стали дата-центри («хмари»), що складаються з тисяч серверів. Це наче противник відправив на знищення однієї цілі не кілька кораблів, а цілу армаду.

Аналітики змогли відстежити кілька джерел трафіку й дізнатись інтернет-адреси. Провайдери блокували ці джерела, але потік запитів просто почав надходити з інших місць. Так само як у випадку атаки на мережі газових компаній, вищі керівники держави занепокоїлися. Проте цього разу влада стикнулася з агресивнішим ворогом. Шпигуни, що проникли в мережі газових компаній, здається, бажали лише отримати інформацію, а не знищувати газові трубопроводи. Натомість хакери, що атакували банки, хотіли перешкодити банківським операціям і викликати паніку серед клієнтів і в банківському секторі загалом. Ця стратегія спрацювала навіть краще, ніж було заплановано. Банківські працівники, що відповідали за безпеку, були в паніці через обсяг трафіку, яким їх атакували, як розповідали колишні держслужбовці, що брали участь у відбитті атаки на банківські сервери. «Протягом перших двох-трьох тижнів доводилося працювати до пізньої ночі», позаяк влада намагалася відстежити джерело атаки й зрозуміти її причини, розповідав Марк Везерфорд, що обіймав тоді посаду помічника заступника міністра внутрішньої безпеки з питань кібербезпеки, тобто був головною людиною у сфері захисту від кіберзагроз.

У цієї атаки була ще одна особливість, яка непокоїла, – вона не припинилася після першого удару. Нападники, які називали себе бригадами Із ад-Дін аль-Кассам (Izz ad-Din al-Qassam), дедалі атакували банки, вишукуючи нові цілі. Вони продовжили свою роботу й наступного року. У 2013 році АНБ ідентифікувало близько двохсот нових атак цієї ж групи на банківські сайти. Нападники проголошували себе групою антиамериканського комітету, яка завдає ударів на знак помсти за випуск любительського онлайн-відео «Невинність мусульман», в якому пророка Магомета зобразили кровожерним педофілом, що викликало хвилю протестів на Близькому Сході. Проте американські розвідники підозрювали, що це лише прикриття, а хакери насправді працюють на уряд Ірану і, вірогідно, мстяться за кібератаки на атомні підприємства в Нетензі.

Протягом останніх років агентства американської розвідки спостерігали за створенням іранської кіберармії. Лідери іранського Корпусу вартових революції, що володіли найбільшою телекомунікаційною компанією в Іраку, не приховували намірів створити кіберармію, яка зможе змагатися з США. Аналітики вважали, що іранська кіберармія збільшується і що до неї входять не лише розвідувальні та військові підрозділи, а й групи патріотичних «хактивістів». Згідно зі звітами розвідки, влада Ірану з 2011 року витратила понад мільярд доларів на розвиток оборонних і наступальних кіберресурсів у відповідь на атаки «хробаком» Stuxnet, а також двома іншими комп’ютерними вірусами, які заражали комп’ютерні системи Ірану і, на загальне переконання, були справою рук американських та ізраїльських спецслужб.

Лише держава мала достатні фінансові та технічні ресурси, а також досвід і мотив для проведення операції проти банків, виснували американські можновладці. «Масштаб і складність атак не вкладалися в жодні рамці. Цього не міг зробити один парубійко з якогось підвалу», – твердить Везерфорд.

Те, що спочатку здавалося звичайною DDOS-атакой, виявилося потенційною міжнародною кібервійною небачених масштабів. Американські державні діячі вищого рангу ставили запитання: чи можуть Сполучені Штати розпочати кібератаку у відповідь на дії Ірану? Вони обговорювали, чи призведе атака на іранську критично важливу інфраструктуру до припинення хакерської активності та чи буде така контратака законною? На це запитання не існувало однозначної відповіді. Банки належали до критично важливих об’єктів інфраструктури, за визначенням самого уряду. Але хакери атакували сайти банків, а не системи управління міжбанківськими транзакціями й не системи зберігання банківської інформації. Це був не той жахливий сценарій, що його змалював Майк МакКоннелл для президента Буша в 2007 році. Везерфорд розповів, що керівник Міністерства внутрішньої безпеки, який відповідав за невідкладні дії у надзвичайних ситуаціях, не запропонував жодного виходу: «Він сказав: “У нас немає сценарію для таких ситуацій”».

Влада почала непокоїтися, що DDOS-атака такого самого масштабу, націлена на корпоративні комп’ютерні мережі, не лише спричинить тимчасові незручності, а й може призвести до фізичних руйнувань. Американські держслужбовці щодня контактували з банками та їхніми провайдерами. Хакери повідомляли про дату запланованих кібератак на онлайн-форумах. І щоразу банки та влада готувалися до нападу. «Інтернет-провайдери й уряд серйозно непокоїлися, що можуть зазнати поразки, – каже Везерфорд. – І що можуть постраждати інші критично важливі об’єкти інфраструктури й інтернет у цілому».

Після повідомлення групою Із ад-Дін аль-Кассам про наступну заплановану атаку керівник відділу безпеки провайдера поставив запитання Везерфордові, та й уряду загалом. «Що ви робитимете, хлопці? – запитав він. – Атака почнеться у будь-яку мить і матиме наслідки для всієї держави. Як учинить уряд?»

Везерфорд намагався переконати його, що ситуація під контролем, хоча й знав, що жодного контрнаступу не передбачено. Везерфорд вважав, що АНБ надто зволікає з розсекречуванням даних щодо загрози, яки могли б захистити банки. Агентство мусило «відчистити» інформацію, приховати джерела та методи, за допомогою яких здобували дані, до того як передати їх у Міністерство внутрішньої безпеки, яке своєю чергою зробить їх доступними для провайдерів. Везерфорд розповів, що телефонував у АНБ щодня й переконував якнайшвидше обробити розвіддані, щоб встигнути передати їх компаніям до початку нової атаки. «Для обробки інформації потрібно було шість годин. Але й сама атака могла тривати лише шість годин», – каже він.

Група високопоставлених фінансистів тиснула на представників АНБ під час особистих зустрічей. Вони хотіли знати, чому уряд не атакує джерело шкідливого трафіку й не виведе його в офлайн подібно тому, як для знищення ворожого табору запускає ракету. Представники АНБ відповідали, що кіберзброя, насамперед тисячі експлойтів нульового дня, тримають на випадок загрози державі або початок війни. «Щойно ми скористаємось одним із них, ми ніколи не зможемо застосувати його знову, – сказав один посадовець, як розповідає фінансовий керівників, що брав участь у тій нараді. – Ви справді хочете, щоб ми змарнували оцю зброю тому, що ваші сайти не працюють?»

Керівники відступили.

Атаки на банки стали перевіркою намірів держави. АНБ і військові не застосують силу, поки нападники не загрожуватимуть інфраструктурі транзакцій фінансового сектора або не почнуть знищувати дані рахунків, роблячи їх ненадійними. Держава відповість лише на кібератаку, що завдасть руйнівного удару по різних верствах суспільства. Злам сайту, хоч би яким брутальним він був, – не привід для початку війни. Так само як шпигунські дії.

Банки – та й інші компанії, які постраждали внаслідок дій іноземних кібернападників і мародерів, – ставили очевидне запитання: якщо держава не збирається їх рятувати, то хто це зробить?

13. Оборонний бізнес

За неповних 50 кілометрів од ділового центру Вашинґтона, на околиці міста Ґейтерсберґа (штат Меріленд), уздовж жвавої вулиці поблизу транспортного агентства й крамниці іграшок Toys «R» Us розташувалася присадкувата офісна будівля. Двоє охоронців на прохідній – перша ознака того, що це не якийсь там склад чи звичайний офісний центр. У майже позбавленому вікон крилі будівлі площею 7 тисяч кв. м розташований центр кіберспостереження. Декілька десятків аналітиків і дослідників шкідливого ПЗ моніторять трафік у глобальній розподіленій мережі комп’ютерів і серверів, на яких зберігається частина найсекретнішої інформації Сполучених Штатів, зокрема схеми реактивних винищувачів, систем управління ракетами та супутниками-шпигунами. Проте цей об’єкт, який вельми нагадує надсекретні об’єкти у Форт-Міді або Пентаґоні, ані належить владі, ані підпорядковується їй. Розташована тут компанія NexGen Cyber Innovation & Technology Center (це повна назва) належить компанії Lockheed Martin – найбільшому оборонному підрядникові країни. Тут і в подібних центрах у Денвері, Фарнборо (Велика Британія) і Канберрі (Австралія) компанія, яка зробила своє ім’я на розробці систем озброєння, створює новий бізнес у сфері кіберзахисту.

Проблему кібербезпеки Lockheed вивчила на власній шкірі, коли 2006 року мережі компанії атакували китайські хакери, що викрали креслення Єдиного ударного винищувача. Компанія є найбільшим постачальником товарів і послуг у сфері інформаційних технологій для цивільних і розвідувальних агентств, а також для військових структур і саме тому становить бажану ціль для хакерів. Після кібератаки 2006 року компанія впродовж кількох років досліджувала методи й технології, використовувані хакерами для проникнення в секретні системи та крадіжки державних таємниць. Молодий аналітик Lockheed Ерік Гатчінз дізнався, що деякі військові льотчики використовують термін «убивчий ланцюг» (kill chain), щоб описати всі поступові кроки до відкриття вогню – від ідентифікації мети до визначення її географічного положення. Гатчінзу спало на гадку, що спритні хакери, які намагаються проникнути в комп’ютерні мережі Lockheed, також слідують певній покроковій моделі: вишукують цілі, готують шкідливе ПЗ, запускають фішинґову атаку і, врешті-решт, крадуть дані. Разом із двома колегами він адаптував військову концепцію та взяв «убивчий кіберланцюг» (сyber kill chain) за основу для оборонної стратегії Lockheed, призначеної для захисту не лише мереж компанії, а й мереж деяких державних замовників, а також банків, фармацевтичних компаній і щонайменше 17 комунальних підприємств, які обмінюються інформацією з компанією та дозволяють їй сканувати власний трафік у пошуках загроз.

Модель «убивчий кіберланцюг» складається з семи різних етапів, більшість яких залишає можливість заблокувати вторгнення або атаку до їхнього початку. Перший етап – це стеження. Компанія Lockheed відстежує ключові слова у пошукових запитах різних пошукових систем, які виводять користувачів на сайт компанії. Для вдалої фішинґової атаки хакери вишукають у прес-релізах і на веб-сторінках компанії імена співробітників. Потому вони визначають, якими програмами користуються менеджери, що працюють над конкретними державними замовленнями. Вони слідкують за публічними виступами керівників, щоб створити достовірний електронний лист із посиланням на якийсь запланований захід. Компанія попереджає своїх співробітників, які можуть стати потенційними жертвами атаки, про особливу пильність, з якою треба відкривати вкладення в електронних листах, і про небезпеку натискання на лінки.

На другому етапі, який в Lockheed називають «озброєння», аналітики шукають очевидні кримінальні докази присутності шкідливого ПЗ: наприклад, заражений pdf-документ, прикріплений до електронного листа. У Lockheed ведуть базу даних усіх заражених pdf-файлів, що будь-коли потрапляли на очі аналітикам компанії, і ця інформація використовується у програмі автоматичного сканування всіх електронних листів, отриманих співробітниками компанії, і відправки у карантин листів, які можуть бути заражені шкідливим ПЗ.

«Убивчий ланцюг» містить такі етапи: «доставка» (надсилання шкідливої програми через електронну пошту або інфікований USB-носій); «експлойт», під час якого аналітики приділяють пильну увагу пошукові вразливості нульового дня (Гатчінз каже, що вони виявили принаймні три експлойти, направлені на вразливості у продуктах компанії Adobe); «установка» на комп’ютер; «управління і контроль» комунікацій із вузловим комп’ютером і, нарешті, «відпрацьовування об’єкта» (викрадання файлів, видалення даних або знищення елементів фізичного устаткування). На останньому етапі хакер представляє максимальну загрозу. Якщо аналітики Lockheed зауважують таку активність, вони миттєво повідомляють керівництво компанії, яку атакують. Хакери, виявлені на ранніх етапах «ланцюга», скажімо, на третьому етапі, несуть менше загрози, бо їм потрібно пройти ще кілька кроків, перш ніж вони зможуть заподіяти шкоду. Якщо аналітики виявили, що хакер намагається заразити комп’ютери за допомогою зовнішніх носіїв, компанія може запрограмувати свої системи так, щоб заборонити виконання комп’ютерних програм з будь-яких USB-носіїв. Що раніше Lockheed або інша компанія, яка використовує модуль «убивчого ланцюга», інсталює захист, то в більшій безпеці опиниться.

За допомогою цієї моделі Lockheed могла завчасно попереджати своїх клієнтів про потенційні вторгнення, за словами віце-президента з питань кібербезпеки, генерала у відставці Чарлі Крума. Компанія не називає замовників, тому це твердження перевірити неможливо. Але концепція здається логічною. Однак чимало експертів з кібербезпеки, серед яких і ті, що працюють на конкурентів Lockheed, говорять, що ця оприлюднена 2011 року концепція почала новий етап в еволюції кіберзахисту. «Убивчий ланцюг» розбивав процес вторгнення на окремі дії та етапи, кожен з яких дозволяв заблокувати противників. А захисники мереж могли ефективніше керувати ресурсами, позаяк їм не доводилося реагувати на кожне попередження як на екстрену ситуацію. Це була концептуальна схема, яка дозволяла збудувати лінії захисту на значній віддалі від об’єкта атаки й заблокувати нападників, поки вони не підійшли впритул.

Ця концепція була важлива ще з однієї причини: її розробила корпорація, а не державне агентство. Гатчінз, який у 34 роки обійняв посаду головного інформаційного аналітика Lockheed, ніколи не працював на державу й ніколи не служив у збройних силах. Фактично він навіть не працював на жодну іншу компанію, крім Lockheed, в яку прийшов 2002 року, щойно отримавши освіту в сфері комп’ютерних наук у Вірґінському університеті. У Lockheed працює багато колишніх держслужбовців і армійських офіцерів – серед них і Крум, який до 2008 року очолював Агентство захисту інформаційних систем. Проте компанія Lockheed розробила модель «убивчого кіберланцюга» задля власного захисту, не сподіваючись на допомогу АНБ або якогось іншого агентства. А згодом компанія перетворила свої знання на бізнес.

Аналітики Lockheed самостійно моніторять трафік у власних мережах, але вони також отримують інформацію майже від 50 оборонних підприємств, також залучених до роботи над засекреченими державними програмами. Lockheed є головним підрядником Центру захисту від кіберзлочинності – найбільшої державної кіберкриміналістичної організації, яка веде антитерористичну й контррозвідувальну діяльність. А ще ця компанія адмініструє «Глобальну інформаційну мережу» (Global Information Grid – GIG), застосовуючи розроблену модель для захисту глобальної інформаційної технологічної мережі Міністерства оборони. Сума контракту становить $4,6 млрд. Лише у власних мережах Lockheed аналізує щодоби близько двох мільярдів транзакцій – кожен надісланий і отриманий лист, кожен відвіданий сайт, кожну дію, зареєстровану в цифрових журналах безпеки або лоґах. Усі дані зберігаються протягом одного року, натомість інформація про шкідливу діяльність – протягом необмеженого часу. Компанія Lockheed створила ефективну бібліотеку хакерської історії, до якої можна звернутися під час аналізу нових вторгнень. Вивчаючи заархівовані дані, аналітики виявили, що нещодавні вторгнення насправді є частиною масштабних кампаній, які почалися декілька місяців або навіть років тому й були націлені на конкретні фірми й організації. Крум говорить, що на час його звільнення з Міністерства оборони у 2008 році військове відомство спромоглось ідентифікувати й відстежити близько п’ятнадцяти операцій загальнодержавного масштабу. Нині Lockheed відстежує близько сорока хакерських операцій. Міністерство оборони також спостерігає за кількома з них (Крум відмовляється сказати, за якими саме), і компанія ділиться власною інформацією з державою в рамцях програми DIB. За словами Крума, Lockheed виявила шість кампаній, про які не знало Міністерство оборони. Усі подробиці засекречені.

Єдине, чого в рамцях закону Lockheed не може робити, – це зламати чужу комп’ютерну систему для збору інформації. Ця діяльність надалі залишається прерогативою АНБ. Проте компанія не зводить пильного погляду з деяких іноземних противників, за якими стежить і держава. У головному центрі управління NexGen Center на стінах висять годинники, які показують поточний час у всіх країнах, де Lockheed має станції кіберспостереження, – у Пекіні теж. Упродовж семи років компанія збирала інформацію про операції з категорії «підвищеної загрози», і аналітики мають доступ до всіх цих даних. Величезний монітор на стіні показує операції у цілому світі, які відстежує Lockheed, і здебільшого це спроби вторгнення у власні мережі компанії з трьох мільйонів інтернет-адрес у майже 600 локаціях у 60 країнах світу. Що більша компанія, на яку націлені хакери, то більше інформації можна здобути. Державні контракти надалі залишаються основним бізнесом компанії, позаяк урядові замовлення приносять понад 80 % прибутку, який 2012 року становив $47,2 млрд. Однак у 2011 році Lockheed розширила співпрацю в комерційному секторі, зосередившись на технологічних послугах для перших 200 компаній зі списку Fortune 500, більшість яких є операторами критично важливих об’єктів інфраструктури, розповів Крум. І компанія хоче відкрити ще один кібернетичний центр на Близькому Сході, де попит на інтернет-розвідку та захист мереж зростає.

Навряд чи Lockheed – це єдина компанія, яка узяла кібероборону у власні руки. Після атак на банківські сайти у 2012 році американські фінансові організації створили власні підрозділи кіберстеження. (Деякі з них, поза сумнівом, є клієнтами Lockheed.) Коли неймовірний потік трафіку спричинив масштабний збій, їм довелося поквапитися. Нині найбільші банки Сполучених Штатів наймають фахівців у сфері кібербезпеки, які вміють знаходити вразливості в програмному забезпеченні та мережевих конфігураціях, аналізувати шкідливе ПЗ, досліджувати методи його роботи й призначення, а також відбивати атаки. Серед основних постачальників талановитих фахівців для банків – військові та розвідувальні організації.

Колишній керівник відділу інформаційної безпеки Bank of America починав свою кар’єру як лінгвіст-криптограф у військово-повітряних силах, а згодом очолював технологічний підрозділ в адміністрації директора національної розвідки США. Керівник відділу інформаційної безпеки банку Wells Fargo 20 років служив у військово-морських силах, а пізніше працював у ФБР. Керівник відділу інформаційних ризиків у JPMorgan Chase ніколи не працював на уряд, проте один рік пропрацював у компанії SAIC, яка процвітає здебільшого завдяки контрактам із розвідувальними агентствами, тому її часто називають «АНБ-захід». Іще рік він пропрацював у компанії Booz Allen Hamilton, яка є одним із провідних підрядників федерального уряду в сфері кібербезпеки і де колишній директор АНБ Майк МакКоннелл почувається наче удома.

«Упродовж кількох найближчих років усі хлопці з кіберпідрозділів, що залишилися в грі, працюватимуть у банках. Вони закриють доступ до своїх мереж і обмінюватимуться інформацією лише один з одним», – розповідає колишній офіцер військової розвідки, учасник кібератаки на Ірак у 2007 року, який згодом працював для великої оборонної компанії.

На думку експертів, банки переманюють співробітників військових і розвідувальних служб, навчених працювати за високими державними стандартами, зваблюючи їх подвоєнням або й потроєнням зарплати після переходу до приватного сектора. Банки почали активніше купувати інформацію про вразливості нульового дня та експлойти від приватних аналітиків, хоча раніше найбільшим їхнім клієнтом було АНБ. Один експерт у сфері безпеки, який має тісні зв’язки з продавцями експлойтів, розповідає, що банки накопичують кіберзброю на той випадок, якщо виникне необхідність відповісти на атаку. Якщо будь-коли вибухне «приватна» кібервійна, вірогідно, її розпочне якийсь банк.

Не лише фінансові компанії розробляють власні оборонні операції. Серед компаній, які наймають військових фахівців з інформаційної безпеки на такі високі посади, як віце-президент або керівник відділу, – Johnson&Johnson, T-Mobile USA, Automated Data Processing, Coca-Cola, Intel, AstraZeneca, eBay, FedEx і сотні інших. Коли компанії не можуть себе захистити, вони шукають допомоги ззовні, тож на ринку з’являється дедалі більше послуг у сфері безпеки. У звіті для акціонерів за 2012 рік компанія Lockheed Martin заявила, що «стикнулася зі зростанням конкуренції, зокрема у сфері інформаційних технологій і кібербезпеки... з боку незвичних конкурентів з-поза меж аерокосмічної й оборонної промисловості». Це завуальований натяк на молоді компанії у сфері безпеки, як-от CrowdStrike, Mandiant і Endgame, які вибудовують власну базу джерел інформації та методів її збору й аналізу.

Компанії опинилися на порозі нової ери приватної кібербезпеки. «У нас уже є кібернетичний еквівалент агентства Пінкертона», – каже Марк Везерфорд. Так само як багатьох інших експертів, Везерфорда турбує те, що деякі фірми не лише займаються захистом, а й інколи переходять межу, організовуючи атаки у відповідь, щоб зупинити хакерів і шпигунів. Він розмежовує хакерство у відповідь і виставлення кіберперешкод, які ускладнюють викрадання даних із атакованої мережі. Влаштування пасток, ба навіть зваблення хакерів за допомогою заражених шпигунським ПЗ документів, які вони переноситимуть до власних систем, – це сумнівні, однак, захисні методи. «Проте реальне вторгнення в мережі, атака на них – це та межа, яку я не хочу перетинати», – стверджує Везерфорд.

На його думку, вже за кілька років більшість компаній матимуть змогу фільтрувати трафік за дорученням власних клієнтів, взявши на себе роль справжніх кібервартових. Ця модель роботи вдосконалюється завдяки державним програмам передачі провайдерам секретної інформації про кіберзагрози. Наказ президента Обами від 2013 року, покликаний посилити безпеку критично важливих об’єктів інфраструктури, зобов’язує уряд «наставляти» компанії, спонукаючи їх купувати доступні на ринку комерційні продукти та послуги, що відповідають схваленим стандартам безпеки. Це один із прикладів стимулювання державою приватного бізнесу в сфері кібербезпеки, що призведе до неминучого зростання цього сектора економіки, і, ймовірно, кращий вихід, ніж державна монополія на цю сферу діяльності.

«Держава ніколи не зможе реагувати так швидко, як приватний сектор», – стверджує Везерфорд. Приватні підприємства можуть краще захистити себе.

Перебираючи на себе повноваження у сфері національної кібероборони, компанії почали впливати на курс державної політики США. 18 лютого 2013 року фірма Mandiant, що спеціалізується на комп’ютерній безпеці, оприлюднила безпрецедентний звіт, присвячений китайському кібершпигунству, називаючи Народно-визвольну армію Китаю джерелом нестримного й невгамовного шпигунства проти Сполучених Штатів. Це було пряме звинувачення, на яке б не зважилася жодна офіційна особа. Звіт фірми Mandiant був надзвичайно детальним. Він містив адресу локації хакерів і навіть фотографії їхнього офісу – бежевої 12-поверхової будівлі в районі Пудун у Шанхаї. Зважаючи на площу будівлі (понад 12 тисяч кв. м), а також публічні заяви китайських урядовців, Mandiant виснував, що там працюють сотні, а можливо, і тисячі співробітників.

Компанія Mandiant зосередилася лише на одній з близько двадцяти груп, діяльність яких відстежувала протягом кількох років. Ці хакери працювали для китайського аналога АНБ. Група хакерів, яких Mandiant назвала APT1, працювала в Другому відділі Третього підрозділу Генерального штабу Народно-визвольної армії Китаю, відомої на загал під кодовим позначенням 61398. Генеральний штаб армії нагадує Об’єднаний комітет начальників штабів армії США, а Третій підрозділ займається радіотехнічною розвідкою, комп’ютерними атаками й експлуатацією мереж. Компанія Mandiant назвала APT1 «однією з найнебезпечніших китайських кіберзагроз».

Компанія Mandiant, яка на той час існувала менше 10 років і була заснована колишнім експертом у галузі кіберкриміналістики військово-повітряних сил, фактично заклала бомбу під одну з найчутливіших і складних сфер американської зовнішньої політики. Звіт сприйняли як одкровення. Не лише тому, що в ньому прямо вказали на китайських хакерів – те, чого раніше не хотів робити жоден аналітик, ані приватний, ані державний, – а й тому, що інформація була дуже змістовною. На 74 сторінках звіту висвітлювалася діяльність розлогої шпигунської інфраструктури, що складалася з 937 серверів або «програм для стеження», розміщених на 849 різних інтернет-адресах, більшість яких зареєстрована на організації з Китаю, але понад 100 були розташовані у Сполучених Штатах. Слідчі виявили сайти, створені хакерами так, щоб вони виглядали наче звичайні сайти новин, як-от CNN.com, щоб використовувати їх для атак APT. Компанія Mandiant назвала імена конкретних хакерів, зокрема й людини, яка ховалася під прізвиськом «Потворна горила» (Ugly Gorilla). Кілька років тому цей хакер розкрив себе в онлайн-спілкуванні на тему китайського кібервійська, спілкуючись із видатним фахівцем у сфері комп’ютерних наук, який написав докладну книжку про китайські «інформаційні війни». Mandiant навела неспростовні докази зв’язків між певними хакерами і була впевнена, що деякі з них не лише особисто знайомі, а й, можливо, працюють в одному офісі. У звіті був навіть словник китайського хакерського сленґу: наприклад, заражений комп’ютер називали «курячим м’ясом».

Компанія виснувала, що китайські кіберпідрозділи отримували «безпосередню підтримку від лінгвістів, дослідників відкритих джерел, розробників шкідливого ПЗ і промислових експертів». Імовірно, працювала ціла команда, яка замовляла й обслуговувала комп’ютерне обладнання, а також персонал, який забезпечував фінансовий і організаційний менеджмент, логістику й транспорт. Інакше кажучи, це був організований на вищому рівні бюрократичний апарат, який нагадував американські державні структури.

Подробиці, що їх містив звіт Mandiant, зазвичай характерні для секретних документів державної розвідки. Це ще одна причина того, чому звіт став таким важливим. Він продемонстрував, що приватні дослідники можуть зібрати й проаналізувати інформацію не гірше, а можливо, і краще, ніж державні розвідувальні служби. Почасти це свідчило й про рівень кваліфікації фахівців Mandiant. Але водночас цей звіт виявив і справжню природу кіберпростору. У некерованому середовищі, в якому хакери можуть потрапити будь-куди завдяки спільній мережевій інфраструктурі, насправді не існує жодних секретів. За умови достатньої підготовки і за допомогою відповідних інструментів приватні нишпорки можуть відстежити хакера не гірше, ніж федеральні агенти або військові оперативники. Звіт Mandiant не лише зірвав завісу таємничості з китайського кібершпигунства, а й перевернув догори дриґом уявлення про те, що лише держава готова до битв у кіберпросторі.

Наслідки оприлюднення звіту не забарилися. Представники китайської влади виступили зі своїми звичайними спростуваннями, називаючи необґрунтованими звинувачення у шпигунстві на замовлення влади. Не минуло й місяця, як радник з питань державної безпеки США Том Донілон у своїй промові застеріг Пекін і назвав китайське кібершпигунство «дедалі важчим випробуванням для наших економічних взаємин із Китаєм» і «ключовою проблемою для обговорення з усіма рівнями китайської влади». Між країнами вже тривали переговори за зачиненими дверима: представники американської влади вимагали в Китаю припинення агресивних операцій. Відтепер ці дискусії перейшли у публічну площину. Зауваги Донілона стали першою офіційною заявою представників Білого дому щодо китайського кібершпигунства. Донілон запевнив, що проблема «перемістилася на передній план», і закликав китайську владу звернути увагу на «актуальність і масштаб цієї проблеми й приховану в ній загрозу для міжнародної торгівлі, репутації китайської промисловості та наших відносин загалом».

Уперше американці вимагали від Китаю покласти край кібершпигунству. «Пекін повинен піти на серйозні кроки для розслідування та припинення цієї діяльності, – сказав Донілон, – і розпочати з нами конструктивний прямий діалог для вироблення прийнятних норм поведінки в кіберпросторі».

Адміністрація Обами нарешті кинула виклик. І Mandiant допомогла в цьому. Так само як у випадку з одкровеннями компанії Google щодо китайського шпигунства, оприлюдненими після операції Aurora, американські високопосадовці почали обговорювати проблему, яка впродовж років тихенько їх нервувала. Звіт Mandiant містив детальну і, що найважливіше, надсекретну документацію, на підставі якої можна було висунути конкретні звинувачення. Уряд ніколи б не наважився на оприлюднення такого звіту.

Викривальна заява Mandiant викликала неабиякий суспільний резонанс. Проте публікація звіту була ретельно підготована задля максимального висвітлення пресою й погоджена з владою. Ще в жовтні 2012 року, після декількох років збору інформації про китайських шпигунів, керівники Mandiant збиралися оприлюднити звіт про свої знахідки. «Ми вирішили, що це цікава ідея, тож треба її втілити», – розповідає Ден МакВортер, директор операційного відділу компанії Mandiant, що відповідав за пошук інформації про кіберзагрози. Але спочатку компанія планувала оприлюднити лише стислий звіт, зовсім не те багатосторінкове обвинувачення, що було оприлюднене згодом. Від плану довелося відмовитись у листопаді, після телефонного дзвінка з видання New York Times. Ішлося не про прохання журналіста дати експертний коментар для статті. Йшлося про допомогу. Керівництво видання виявило, що хакери атакували їхні комп’ютери, і хотіло, аби Mandiant провела розслідування.

Аналітики Mandiant виявили, що китайські шпигуни проникли в комп’ютерні мережі газети й шпигували за понад 60 найманими працівниками, зокрема і за журналістом, який працював у Китаї над викриттям політичної корупції на верхніх щаблях влади. Шпигуни намагалися замаскуватися, перенаправляючи трафік через контрольовані ними комп’ютери в американських університетах Північної Кароліни, Нью-Мексико, Арізони і Вісконсина – вдаючись до методів, уже відомих компанії Mandiant завдяки спостереженню за іншими шпигунськими операціями, сліди яких вели до Китаю. Шпигуни отримали доступ до комп’ютера в комп’ютерній мережі Times і викрали паролі від 53 особистих комп’ютерів працівників, більшість яких перебувала за межами офісу. Хакери були частиною групи, яку Mandiant колись уже вистежувала і якій дала кодове ім’я APT1. Очевидно, хакери прагнули отримати детальну інформацію про заплановану до публікації велику статтю, присвячену родичам прем’єра Держради КНР Вень Цзябао, про те, як вони використали свої політичні зв’язки та заробили мільйони доларів у тіньовому бізнесі. Компанія Mandiant знайшла докази, що китайські хакери викрали інформацію у понад 30 журналістів і керівників інших західних порталів новин, зокрема електронні адреси, контакти джерел і файли. Ба більше, шпигуни продовжували полювати на кількох журналістів. Згодом з’ясувалося, що шпигуни створили спеціальну шкідливу програму, щоб зламати обліковий запис Джима Ярдлі – тодішнього директора південноазійського бюро газети Times, який працював у Індії, а раніше очолював бюро у Пекіні. Вони також проникли в комп’ютер Дейвіда Барбози, керівника Шанхайського бюро, який написав статтю, присвячену прем’єр-міністрові Вень Цзябао, яка згодом принесла йому Пулітцерівську премію. Розслідування показало, що китайські кібершпигуни також проникали в мережі газет The Washington Post і The Wall Street Journal.

Керівники Mandiant вирішили, що стислого звіту про китайське шпигунство буде недостатньо. У компанії вважали, що в них є безліч доказів масштабної й тривалої операції проти різних галузей американської економіки, зокрема й оборонної, що почалася ще 2006 року. Спростування офіційного Китаю здавалися «комічними», як висловився МакВортер. У січні 2013 року Times написала про власне зіткнення з хакерством. Офіційна влада Китаю публічно висловила сумнів у достовірності даних Mandiant – саме ця компанія надавала допомогу в розслідуванні, а її експерти готували коментарі для статті в Times, що можна було розцінити як довіру до розслідувань Mandiant. Тоді в компанії вирішили, що настав час назвати речі своїми іменами. Спроби Китаю дискредитувати компанію та її інформацію «вочевидь лише зміцнили наше рішення надати документові широкий розголос», – розповідає МакВортер.

Представники адміністрації Обами були задоволені рішенням Mandiant. Річ не в тім, що президент і команда державної безпеки досі не знали про витівки Китаю; але тепер існував документ із конкретними доказами, які могли перевірити й обговорити експерти, змінивши характер дискусії щодо китайського шпигунства. Більше жодних неофіційних звинувачень. Жодних евфемізмів штибу «підвищеної постійної загрози», коли йдеться про Китай. І Сполученим Штатам не потрібно розкривати жодних секретних джерел інформації і методів її отримання, щоб відкрито заявити про китайське шпигунство. (Водночас із підготовкою звіту Mandiant Міністерство юстиції таємно готувало судову справу проти членів хакерської групи 61398. У травні 2014 року прокурори висунули офіційне звинувачення п’ятьом військовим чиновникам із Китаю, пов’язаним із групою хакерів. Це був перший зареєстрований випадок кримінального переслідування за хакерство на державному рівні.)

Того самого дня, коли Mandiant оприлюднила звіт, Міністерство внутрішньої безпеки надіслало групі власників і операторів критично важливих об’єктів інфраструктури та іншим фахівцям у сфері безпеки, що мали доступ до державної інформації, офіційне повідомлення. Документ містив деякі інтернет-адреси і сайти, згадані у звіті Mandiant. Варто зауважити, що Міністерство внутрішньої безпеки жодного разу не згадало Китай і не пов’язувало кібершпигунів із конкретними локаціями. Компанія Mandiant також не згадувалася.

Це повідомлення отримала вибрана група «рівноправних і партнерських організацій», і, за порадою міністерства, цей інформаційний бюлетень не поширювали у відкритих джерелах. Звіт Mandiant виявився кориснішим, бо був змістовнішим і доступним кожному. Проте урядовий бюлетень підтверджував висновки Mandiant. Час, обраний для його публікації, також говорив сам за себе. Міністерство внутрішньої безпеки могло випустити свій звіт першим, але зачекало, поки Mandiant зніме завісу таємничості з APT1. Mandiant зробила державі послугу. Джерела, близькі до авторів звіту, розповіли, що уряд поділився з компанією Mandiant деякою інформацією, але більшість висновків у звіті випливала з власних розслідувань компанії, які тривали понад сім років.

Фактично за одну ніч Mandiant перетворилася з порівняно непомітної криміналістично-експертної компанії, відомої здебільшого лише фахівцям зі сфери кібербезпеки та невеликим технологічним стартапам, на шановану організацію у сфері комп’ютерної безпеки. Керівники Mandiant стали для журналістів компетентними джерелами інформації. Тепер вони сиділи за одним столом з колишніми співробітниками розвідслужб і аналітичних центрів і висловлювали власні думки щодо того, як краще захистити кіберпростір від шпигунів і хакерів. Бізнес почав процвітати. У 2013 році компанія заробила понад $100 млн на продажах, більша частина яких припадала на програмне забезпечення, розроблене Mandiant для захисту компаній від хакерських атак APT. З офіційних джерел відомо, що понад третина компаній зі списку Fortune 100 користувалася послугами Mandiant. У січні 2014 року, менш ніж через рік після публікації звіту Mandiant про групу APT1, фірма FireEye, що спеціалізується у сфері безпеки, придбала компанію за $1 млрд. Це було найдорожче надбання на ринку послуг кібербезпеки за останні роки й одна з десяти подібних угод у 2013 році, що удвічі більше, ніж попереднього року.

Компанія FireEye належала до пестунок Кремнієвої долини. Її акції з’явилися на біржі Nasdaq у вересні 2013 року, і вже в січні їхня вартість зросла вдвічі. Перший публічний продаж акцій компанії FireEye став найуспішнішим серед компаній у сфері кібербезпеки у 2013 році.

Об’єднання з Mandiant мало на меті збільшення масштабу операцій у сфері кібербезпеки. Mandiant спеціалізувалася на розслідуванні кібервторгнень, натомість FireEye намагалася їм запобігти, ізолюючи вхідний мережевий трафік у віртуальний карантин і аналізуючи дані у пошуках шкідливого ПЗ. Цей процес нагадує методи Міністерства внутрішньої безпеки для відстеження трафіку в державних мережах – і це ще один доказ того, що держава не має монополії на кіберзахист.

Поширення інформації про масштабне китайське шпигунство, доповнене викриттям глобальних розвідувальних операцій АНБ, допомогло Mandiant і FireEye створити новий бізнес, який виник унаслідок злиття. «Лише погляньте на суперспроможність цих компаній у моніторинґу трафіку й запобіганні крадіжкам», – вихваляється Дейвід ДеВолт, виконавчий директор і голова ради директорів FireEye.

Його клієнти вирішили захищатися самостійно. «Ми бачимо ріст усвідомлення, про яке ще рік тому годі було й мріяти».

Якщо деякі компанії ще не переконалися в ефективності приватних фірм у сфері кібербезпеки, додатковий привід зробити це з’явився у червні 2013 року, коли 29-річний Едвард Сноуден, що працював за контрактом для АНБ, оприлюднив неймовірну кількість викрадених ним секретних документів, у яких йшлося про глобальну систему стеження агентства. Сноуден поділився цією інформацією з журналістами видань Guardian i Washington Post, після чого почалася небачена злива публікацій, безпрецедентна за масштабами й специфікою. Було викрито практично всі аспекти шпигунських підходів агентства. Документи доводили, що АНБ збирало інформацію зі сховищ даних Google, Facebook, Yahoo, а також інших технологічних і телекомунікаційних компаній. Також агентство записувало телефонні розмови сотень мільйонів американців і зберігало їх протягом п’яти років. Представники адміністрації намагалися переконати занепокоєних громадян у тому, що більшість шпигунських операцій спрямовані проти іноземців, що мешкають за кордоном. Представники технологічних компаній збентежилися. Вони пояснювали офіційним особам, громадськості й у приватних розмовах, що чимало їхніх клієнтів мешкають в інших країнах і навряд чи їх заспокоїть те, що АНБ шпигує за ними лише тому, що вони не американці.

Іще до витоку інформації, організованого Сноуденом, АНБ робило спроби здобути підтримку хакерів для державного кіберзахисту. У 2012 році Кіт Александер виступав на хакерській конференції Def Con у Лас-Веґасі, зодягнувшись у сині джинси й чорну футболку, змінивши військову форму на одяг, який, на його думку, був звичнішим для аудиторії. У липні 2013 року, за місяць після викриттів Сноудена, організатори Def Con скасували запрошення Александера. «Сестринська конференція» хакерів Black Hat не відмовила керівникові шпигунів. Але за півгодини після початку виступу аудиторія почала його цькувати.

– Свобода! – вигукнув один із присутніх, приватний консультант зі сфери безпеки.

– Так точно, ми обстоюємо свободу, – не розгубився Александер.

– Дурня! – гукнув консультант, і аудиторія зааплодувала.

Деякі хакери – «білі капелюхи», які дбали про посилення кіберзахисту й співпрацювали з АНБ у технічних питаннях, почали сумніватися в своєму виборі, як розповів колишній співробітник агентства, який боїться, що хакери можуть розвернути свою зброю у бік уряду та намагатимуться розкрити більше секретної інформації, ба навіть атакувати державні агентства й комп’ютерні системи державних підрядників. Сноуден продемонстрував, що одна-єдина людина може викрити величезну кількість секретів АНБ. Яких тоді збитків може завдати рух сильно вмотивованих хакерів?

Сам Сноуден був досвідченим хакером. Працюючи за контрактом на АНБ, він навчався на поглиблених курсах «етичного хакерства» і аналізу шкідливого ПЗ у приватному навчальному закладі в Індії. За словами людей, які знали про цю подорож, у країні він перебував із секретною державною місією та працював у американському посольстві в Нью-Делі. Справжня мета його роботи засекречена, проте перед приїздом до Індії у вересні 2010 року Сноуден уже вивчив деякі просунуті техніки зламу й був здібним учнем, за словами його інструктора. Його навчили зламувати комп’ютери та викрадати інформацію начебто для того, щоб краще протистояти зловмисним хакерам. Для того щоб украсти велику частину секретних документів АНБ, до яких він мав вільний доступ, цих умінь було не потрібно. Виявилося, що АНБ, яке прагнуло захистити всі комп’ютери, починаючи від Волл-стріт і до водопровідних компаній, не могло завадити 29-річному співробітникові зробити копії секретних документів про свою глобальну систему стеження.

Викриття Сноудена зашкодили АНБ з політичного погляду більше, ніж будь-що за 61-річну історію існування агентства. У липні 2013 року палата представників США практично ухвалила законопроект, який би захистив простих американців од збору агентством записів телефонних розмов, і це було б перше суттєве обмеження державної влади в питаннях стеження після теракту 11 вересня. Республіканці уклали нетиповий для них союз, бажаючи стриножити шпигунське агентство. Президент Обама створив комісію з експертів розвідки та юристів для розробки реформи програм спостереження АНБ. Комісія склала 300-сторінковий звіт і дала 46 рекомендацій, зокрема: припинити практику закупівлі експлойтів нульового дня, відмовитися від упровадження бекдорів у криптографічні продукти, призначати цивільних осіб на керівні посади в агентстві і, нарешті, розмежувати агентство та Кіберкомандування, заборонивши одній і тій самій людині очолювати їх. Фактично ця програма пропонувала заходи для зменшення впливу агентства та поступової відмови від його провідної ролі у кіберзахисті.

Проте потреба у захисті кіберпростору була актуальною як ніколи. У вересні 2013 року старший офіцер ВПС США розповів, що досі не знає, як сильно їхні мережі вразливі до хакерських атак, позаяк аналіз вразливості був виконаний лише на чверть. А після вторгнення хакерів у систему управління повітряним рухом, що дозволяло зловмисникам впливати на плани польотів літаків і роботу радарних систем, минуло вже понад чотири роки! Генеральний інспектор Міністерства оборони вже за місяць після отримання доступу до систем ВПС звітував, що в Пентаґоні, Міністерстві внутрішньої безпеки й АНБ немає централізованої системи обміну інформацією про кіберзагрози у режимі реального часу. Існувала державна система обміну попередженнями і ще одна система для надсилання інструкцій про те, як на ці загрози реагувати, однак обидві системи не були поєднаними.

Новини із сектора критично важливих об’єктів інфраструктури, які держава прагнула захищати, також не тішили. Трохи раніше цього ж року двоє інженерів виявили низку вразливостей у комунікаційних системах, які використовували підприємства з галузей енергетики та водопостачання в країні. Виявлені вразливості дозволяли зловмисникам викликати масштабні знеструмлення або виводити з ладу системи водопостачання. Представники Міністерства внутрішньої безпеки розіслали попередження, однак лише кілька комунальних підприємств оновили версії вразливих програм. Натомість інтенсивність кібершпигунства проти Сполучених Штатів, здається, не зменшувалася. «У цій країні немає жодної важливої комп’ютерної системи, в яку цієї самої миті не намагаються проникнути, атакуючи її терабайтами інформації», – заявив колишній директор АНБ МакКоннелл у жовтні, під час виступу у Вашинґтоні. І ця заява луною рознеслась у прилюдних і приватних розмовах численних співробітників розвідки, військових і правоохоронних органзацій.

Представники влади досі намагались оговтатися після минулорічної атаки, спрямованої на державну нафтову компанію Aramco у Саудівській Аравії, яка, за деякими оцінками, була найдорожчою компанією світу, бо постачала близько 10 % обсягу світового видобутку нафти. Хакери використали потужний вірус для повного знищення інформації з близько 75 % комп’ютерів компанії, тобто приблизно з 30 тисяч пристроїв. За словами представників компанії, хакери хотіли зупинити виробництво нафти і газу, а вірус видаляв листи, електронні таблиці та документи. Хакери не змогли зашкодити виробничим потужностям Aramco, проте атака стала попередженням про те, що компанія може зазнати серйозних збитків, якщо хтось знищить сховища корпоративної інформації. Деякі американські чиновники підозрювали, що атаку провів Іран, аби помститися за впровадження «хробака» Stuxnet. Якщо так, то це означало ескалацію міжнародної кібервійни й демонструвало США, що не варто розраховувати на те, що американські кіберудари залишатимуться без відповіді.

Кіберзлочинність у США також сягнула критичного рівня. У середині грудня 2013 року торговельний гігант Target виявив, що хакери пробилися в комп’ютерні системи компанії та викрали інформацію про дебетові і кредитні карти клієнтів. Шахраї інсталювали шкідливу програму безпосередньо у касові апарати в магазинах мережі Target і звідти викачували фінансові дані. За першими оцінками компанії, було викрадено фінансову інформацію про 40 млн покупців. Проте за місяць цю кількість скорегували: кількість потерпілих коливалася від 70 до 110 млн. Ці цифри приголомшують і роблять витік інформації з Target однією з найбільших кіберкрадіжок в історії. Слідчі виснували, що хакери, найімовірніше, походили зі Східної Європи або Росії і здійснили свій перший злам комп’ютерної мережі Target за допомогою мережевих сертифікатів, викрадених у пенсільванської компанії, яка обслуговувала холодильні системи у супермаркетах. Компанія Target також виявила, що була викрадена інформація про імена клієнтів, їхні телефонні номери, поштові та електронні адреси. Компанії загрожували величезні штрафи за недотримання промислових стандартів захисту інформації про дебетові і кредитні карти.

Державні агентства не досягли значно більшого успіху, захищаючи власні мережі. У лютому 2014 року комітет сенату повідомив, що цивільні федеральні агентства, за рідкісним винятком, не встановлювали необхідні оновлення програм, зокрема й антивірусних. На відміну від колег із військових і розвідувальних організацій, працівникам цивільних агентств бракує найелементарніших знань у сфері безпеки й усвідомлення її необхідності. Держслужбовці використовували дуже прості паролі. Дослідники виявили, що одним з найпопулярніших паролів було слово «пароль». У звіті йшлося про те, що навіть у Міністерстві внутрішньої безпеки оновлення програмного забезпечення встановлене не на всіх системах, хоча це «основне правило безпеки, якого дотримується майже кожен американець, який має комп’ютер».

Попри викриття Сноудена, Александер продовжував упиратися. Невтішні новини щодо слабкої кібероборони лише посилили його арґументи про те, що АНБ повинно відігравати впливовішу роль у захисті країни. У жовтні 2013 року на конференції з питань кібербезпеки у Вашинґтоні, спонсованій компанією Raytheon, що працює за контрактом на оборонну сферу, Александер просив більше повноважень для захисту фінансового сектора, висуваючи доволі сумнівні технічні арґументи. Він мріяв, що банки надаватимуть АНБ інформацію в режимі реального часу, щоб агентство могло виявити «кіберпакет, ладний знищити Волл-стріт» і перехопити його, наче ракету. Термін «кіберпакет» у цьому контексті не має очевидного пояснення. Імовірно, Александер мав на увазі, що просунутий комп’ютерний «хробак» або вірус може порушити роботу комп’ютерів фінансової установи чи пошкодити інформацію, яка зберігається на цих комп’ютерах. Проте твердження, що один-єдиний пакет даних зможе знищити Волл-стріт, звісно, було абсурдним. Стверджувати таке – це наче заявити, що пейнтбольна кулька може вивести з ладу танк.

Рівень перебільшення Александером кіберзагроз і таке спрощене пояснення дій у відповідь його власного агентства показало його відчайдушну потребу в суспільній підтримці місії, а також переляк, який він відчував. Сноуден допоміг підірвати репутацію агентства, яку Александер вибудовував упродовж багатьох років.

14. На зорі

17 січня 2014 року Барак Обама встав за кафедру у Великому залі Міністерства юстиції у Вашинґтоні, щоб оголосити своє рішення про те, які програми АНБ зі стеження та кібербезпеки він збереже, а які скасує. Якщо американські шпигуни боялися того, що президент відсуне їх на другий план, то після перших вимовлених ним слів могли зітхнути з полегшенням.

Обама почав із порівняння співробітників АНБ з Полом Ревіром[12], лідером організації «Сини свободи», який створив «секретний розвідувальний комітет» для патрулювання вулиць колоніального Бостона, «щоб доповідати про будь-які ознаки того, що британці готуються до рейдів проти молодих патріотів Америки». Це був найпромовистіший виступ Обами на захист АНБ і радіотехнічної розвідки США. Адже президент щойно порівняв їх з героєм американської революції.

Потому Обама згадав, як під час Громадянської війни шпигуни на повітряних кулях визначали розміри армії конфедератів, як розшифровувалися повідомлення, що розкривали військові плани Японії під час Другої світової війни, і як «перехоплення повідомлень зберігало життя солдатів, коли загони генерала Паттона просувались Європою». І далі в такому самому стилі про те, як президент Гаррі Трумен створив на початку холодної війни Агентство національної безпеки, «щоб ми могли поглянути зсередини на Радянський блок і надати нашим лідерам потрібну їм інформацію для протистояння агресії та уникнення катастрофи».

Виступові Обами передував брифінґ Білого дому, під час якого журналістам були подані президентські пропозиції змін у розвідувальній діяльності АНБ.

Реформи були мінімальними. Обама збирався внести кілька поправок у контраверсійну програму каталогізації записів телефонних розмов американців, а саме пропонував зберігати ці записи не в базах АНБ, а десь в іншому місці. Він залишив Конгресу та міністрові юстиції складне завдання – визначити, де саме зберігатиметься ця інформація. Зрештою, президентська адміністрація та законодавці погодилися, що записи зберігатимуть телефонні компанії, які надаватимуть АНБ доступ до інформації в рамцях розслідувань. Обама також погодився на деякі незначні вдосконалення в питаннях захисту приватного життя іноземців, якими зацікавилося АНБ. Але загалом повноваження АНБ залишилися недоторканими.

Обама відклав реалізацію або й відмовився від усіх пропозицій із приборкання АНБ, отриманих їм від радників. Колись він уже відхиляв пропозицію розділити керівництво АНБ і Кіберкомандування. А зараз знехтував закликом ревізійної комісії позбавити агентство повноважень у сфері інформаційного забезпечення й усунути його від роботи із захисту комп’ютерних систем від кібератак і проникнень. Якби Обама погодився на ці зміни, місія АНБ могла б кардинально змінитись і сама організація змінилася б до невпізнання.

Обама відкинув пропозицію комісії не залучати керівництво АНБ до проведення або супроводу операцій на території Сполучених Штатів. Заклики зробити директором АНБ цивільну особу й затверджувати його кандидатуру в сенаті президент також не почув. Директор АНБ Кіт Александер міг заспокоїтися: більша частина збудованої ним імперії залишилася недоторканною, попри всі випади преси в його бік після викривальних заяв Сноудена. Генерал планував звільнитися в березні. Президент Обама запропонував посаду віце-адміралові Майклові Роджерсу, який мав відповідний досвід для посади директора АНБ і кіберкомандувача. Роджерс керував тоді службою радіотехнічної розвідки ВМС США та кібервоєнними операціями. Як і Александерові, йому вже доводилося сидіти на двох стільцях.

У своїй промові Обама не згадав пропозиції комісії щодо припинення збору експлойтів нульового дня та дискредитації стандартів шифрування. Одна високопоставлена офіційна особа розповідала, що президент попросив проглянути рекомендації та поділитися висновками. Врешті-решт адміністрація зупинилася на ухильному рішенні, дозволяючи розкривати інформацію про вразливості, але залишаючи в таємниці будь-які дані, що можуть мати важливе значення для безпеки держави. Це була велика поступка АНБ, яке могло засекретити всю інформацію про вразливості нульового дня, оголошуючи їх важливими для забезпечення безпеки, і працювати як зазвичай. Нова політика не поклала край дискусії. Обама просто відклав її, і здавалося малоймовірним, що він або його радники запропонують якісь значні зміни.

Практично в усіх питаннях, починаючи від методів ведення операцій і закінчуючи персоналом, Обама вирішив зберегти статус-кво. Авжеж, його апеляція до історичної важливості розвідки під час бойових дій свідчила про бажання захистити АНБ і зберегти його повноваження.

Обама вибрав вдалий час для виступу. 17 січня 1961 року, 33 роки тому, президент Дуайт Ейзенгауер у своїй прощальній промові до нації виступив із застереженням щодо «військово-промислового комплексу», чий «глобальний вплив – економічний, політичний і навіть духовний – відчувається в кожному місті, у кожній урядовій будівлі, у кожному офісі федерального уряду». Ейзенгауер говорив про те, що армія вже майже не нагадує ту, в якій він служив під час Другої світової війни, або ту, якою командували його попередники в Білому домі. «До останнього нашого світового конфлікту в Сполучених Штатах не було оборонної промисловості», – говорив Ейзенгауер, переконуючи громадян «стати на варті проти невиправданого альянсу влади й промисловості, умисного чи неумисного», вважаючи його необхідним бастіоном для захисту від комуністичної тиранії, однак розумів «згубні наслідки» такого союзу, якщо не контролювати «потенціал катастрофічного зростання недоречної сили». «Це злиття величезного військового потенціалу та величезної військової промисловості – новий для Америки досвід», – заявив Ейзенгауер.

Те саме стосується злиття військових організацій із величезною індустрією інтернет-технологій. Іще нещодавно в Сполучених Штатах не було кібервійськової індустрії. Збройні сили не вважали інтернет полем битви. Корпорації не купували захист від шпигунів і хакерів. Зростання потужності та стрімке утворення альянсу між великим військовим комплексом і великим бізнесом відбувалося на очах Барака Обами. Проте, на відміну від Дуайта Ейзенгауера, він не бачив підстав для страху й поганих передчуттів.

Ейзенгауер помер через вісім років після свого пророчого виступу. Він передбачив появу військово-промислового комплексу, але не міг уявити, що одного чудового дня ринкова вартість провідних оборонних підприємств перевищить ВВП багатьох країн світу, а створення зброї, транспортування солдатів і навіть їхнє харчування в зоні бойових дій збройні сили Сполучених Штатів доручать підрядникам. Військово-мережевий комплекс також разюче змінить характер воєнних дій і навіть самого кіберпростору. Що принесе наступне десятиріччя?

Насамперед державна влада не буде домінувати в цій сфері, принаймні не постійно. І це фундаментальне порушення балансу сил від часів Ейзенгауера і свідчення того, що його попередженням знехтували. Уряди держав ухвалюватимуть стратегії та закони, а також контролюватимуть стандарти безпеки, яких банки, комунальні підприємства та інші критично важливі об’єкти інфраструктури повинні дотримуватися (можливо, з порушеннями).

І ці організації створюватимуть кіберармії й учитимуть їх воювати в мережах, які, врешті-решт, інтегруються до військового арсеналу держави. Якщо Китай, Іран або інші ворожі країни будь-коли розпочнуть масштабну атаку на американську електростанцію чи банк, військові дадуть відсіч як у віртуальному, так і в реальному світі. Атаку, яка призведе до поширення паніки, порушення життєдіяльності держави або людських жертв, зустрінуть аналогічною контратакою.

Проте щоденний захист критично важливих об’єктів ляже на плечі корпорацій, які впораються з цим завданням не згірше від держави. Компанія Lockheed Martin і подібні до неї фірми розвинуть бізнес із моніторинґу, аналізу трафіку та створення застосунків для виявлення шкідливих програм і хакерської активності, вдаючись до методів, які ґрунтуватимуться на інформації, зібраній у режимі реального часу у власних глобальних інформаційних мережах, а також у мережах клієнтів. Щось штибу краудсорсингу[13]. Такі компанії, як CrowdStrike і та, що повстала після об’єднання Mandiant і FireEye, будуть не лише розслідувати вторгнення, що відбулися, а й пропонувати клієнтам послуги із захисту мереж від потенційних загроз – так само як охоронні фірми пропонують захищати будинки й офіси від грабіжників.

Військово-мережевий комплекс нагадує свого промислового попередника в тому, що стосується делегування деяких питань національної безпеки. Збройні сили не розробляють озброєння та методи оборони, вони платять за це приватним компаніям, і так було повсякчас від заснування Республіки. Проте саме держава завжди володіла монополією на застосування сили. І ось тут військово-мережевий комплекс круто звертає зі шляху історії. Можливості корпорацій зі збору інформації не поступаються можливостям держави. Компанії розробляють методи виявлення загроз, розшукують уразливості нульового дня, а відтак використовують їх у власних інтересах. Передбачаючи зростання загрозливої влади військово-промислового комплексу, Ейзенгауер не міг припустити, що корпорації колись конкуруватимуть з державою навіть на полі битви.

Ринок дозрів для складних і надійних технологій кібербезпеки. Щоразу, коли стає відомо про масштабний витік даних, як-от викрадення даних дебетових і кредитних карт у компанії Target у 2013 році, яке торкнулося майже третини населення США і заполонило перші шпальти всіх головних ЗМІ країни на декілька тижнів, дедалі більше компаній відчайдушно потребують захисту від потенційних утрат. У 2013 році федеральна влада повідомила понад триста компаній про проникнення в їхні мережі – це величезна кількість, але, вірогідно, аж ніяк не повна. Адже йшлося лише про вторгнення, виявлені державою або компаніями, що займаються комп’ютерною безпекою. Власники критично важливих об’єктів інфраструктури опинились у надзвичайно загрозливій ситуації. У грудні 2013 року міністр енергетики Ернест Моніз заявив, що більшість минулорічних кібератак у Сполучених Штатах була скерована проти енергетичної інфраструктури, до якої входять компанії, що володіють і управляють електромережами, а також видобутком нафти й природного газу. Дотепер хакери намагалися лише проникнути в мережі управління цими об’єктами або ж у комп’ютери, розташовані в офісах корпорацій, яким ці об’єкти належать. Проте, за словами Моніза, «немає жодних сумнівів», що Сполучені Штати зазнають масштабніших атак, які загрожують частковим знеструмленням. «Абсолютно зрозуміло, що, коли йдеться про кібератаки, слова “якщо” вже не існує. Я не хочу, щоб дійшло до виходу з ладу енергомережі. Але це перегони, і ми намагаємось якнайшвидше посилити захист... На нас чекає багато роботи».

Очевидно, держава також бере участь у цих перегонах і вона може дещо зробити для компаній: давати більше конкретної та корисної інформації про те, з якого боку очікувати небезпеки; чинити тиск на провайдерів, аби ті блокували доступ до відомих ворожих джерел; урешті-решт, іти у наступ для відбиття атаки, наближення якої можна спрогнозувати. Не всі із запропонованих рішень вимагають змін у законодавстві. Адміністрація має на це повноваження виконавчої влади. Проте енергетичні компанії, так само як менш важливі для економіки підприємства, і досі покладаються лише на власні сили, стримуючи нападників, які щодня наближаються до брами, загрожуючи пробити стіну захисту. Збільшується кількість мереж, розкиданих географічно, і держава просто не в змозі їх захистити, навіть у тому разі, якби втілила план Александера, інсталюючи сенсори у кожній банківській мережі.

Вороги не вгамовуються. Лише з вересня 2013-го до березня 2014 року банки зазнали понад триста DDOS-атак, подібних до приписуваної Ірану операції з виведення в офлайн сайтів, що викликала сильну паніку в фінансовому секторі. Владі чудово відомо про ці атаки – їхня кількість зазначена у звіті АНБ. Якщо компанії прагнуть захистити себе, їм доведеться ділитися з владою деякою інформацією про те, що відбувається в їхніх мережах. Хоча в них є сильний мотив подбати про власну безпеку й захищатися власноруч.

Урешті-решт, потужні заходи з безпеки стануть популярним товаром, особливістю, яку банки, провайдери інтернету та інші компанії, що мають доступ до персональних даних, використовуватимуть для залучення клієнтів – точнісінько так, як автовиробники рекламують товар, згадуючи про подушки безпеки і ABS. Це вже відбувається. Компанія American Express, яка тривалий час позиціонувала себе не як постачальника кредитних карт, а як закритий клуб із річним внеском за членство, яке дає особливі привілеї (певний статус, вищий кредитний ліміт), 2013 року запустила на телебаченні та в інтернеті серію рекламних роликів, у яких наголошує на системі «інформаційної безпеки», що надсилає повідомлення на мобільний телефон клієнта, щойно з’явиться підозра про шахрайське списання коштів. У одному з роликів охайний, добре одягнений міський мешканець під спостереженням відеокамер минає охоронців на вході до елегантного багатоквартирного будинку, повз який мчать поліцейські машини. Лунає голос за кадром: «А хто захистить вас у мережі, де ми витрачаємо понад два мільярди доларів щороку?» Відповідь: «American Express – завдяки алгоритму, що вивчає характер ваших витрат і виявляє аномалії». (Випадково чи ні, закадровий текст озвучила акторка Клер Дейнс, яка зіграла в серіалі Homeland роль оперативної співробітниці ЦРУ, що намагалася запобігти терористичній атаці на США.)

Звичайно, фінансові організації багато років поспіль використовували системи виявлення шахрайських операцій, однак лише нещодавно почали рекламувати їх як престижний сервіс, реагуючи на ріст усвідомлення клієнтами того, що вони та їхні гроші вразливі у кіберпросторі. Наш стильний власник кредитки отримує попередження на айфон і, стоячи посеред жвавої вулиці, повідомляє American Express, що ні, дев’ять секунд тому він не авторизовував операції купівлі в інтернет-магазині електроніки на суму $1245. Він спокійно насолоджується обідом у кафе й упевнено кладе на стіл кредитку Amex, знаючи, що він «громадянин безпечнішого світу». Повідомлення прозоре. Ви можете себе захистити. (Ви повинні хотіти себе захистити.) Але це коштуватиме вам грошей.

У лютому 2014 року адміністрація Обами підготувала низку інструкцій у сфері кібербезпеки та прикладів «кращих практик», заохочуючи компанії переймати їх. Проте не примушувала до цього. «Урешті-решт, саме ринок визначає, як треба чинити компаніям» і чи дотримуватися цих інструкцій, пояснював один із керівників адміністрації президента.

Саме комерційні компанії відповідальні за більшість інновацій у сфері кібербезпеки – за появу нових засобів і методів безпечного зберігання даних і проведення кібератак на противників. Компанії, що спеціалізуються у сфері кібербезпеки, спроможні залучати найдосвідченіших і найкваліфікованіших працівників, оскільки платять значно більше, ніж державні агентства та військові організації. Держава ніколи не зможе запропонувати конкурентну зарплату кваліфікованим технічним фахівцям. Аби звабити талановитих працівників, державні та військові структури обіцятимуть повну пригод роботу – шпигунство, військові операції – і апелюватимуть до почуття обов’язку й честі, які завжди супроводжують працю заради суспільства. Проте цього виявиться не досить, щоб вирішити проблеми безпеки, з якими стикнеться держава, особливо у цивільних агентствах, де рівень безпеки досі незадовільний. Найімовірніше, вам спадає на гадку Міністерство у справах ветеранів, яке регулярно втрачає інформацію про пацієнтів, зокрема номери соціального страхування та інші важливі дані, але не ЦРУ з його надійним захистом. На жаль, державні організації, які володіють особистою інформацією громадян, доволі вразливі та зазвичай найгірше захищені.

Агентства, які не можуть найняти захисників, звертатимуться до корпорацій, у лавах яких працюють досвідчені колишні військові або державні службовці і керівники яких колись відповідали за низку державних програм і операцій з кіберзахисту. Державну службу вже нині вважають лише сходинкою на шляху до особистого збагачення. Державні агентства та військові вже знають, що більшість співробітників затримаються на стільки часу, скільки потрібно для здобуття знань і навичок, високого рівня доступу до секретної інформації (необхідна вимога для роботи у сфері кібербезпеки) і накопичення професійних контактів, а потім перейдуть у приватний бізнес. Це наче обертові двері між державним і приватним сектором, що рухатимуться дедалі швидше.

Уряд США продовжуватиме ділитися секретною інформацією про загрози з провайдерами, які використовуватимуть отримані дані для сканування трафіку своїх клієнтів, а отже, ваших електронних листів, пошукових запитів, переглянутих вами сайтів. Конгресові доведеться внести законодавчі зміни, щоб спонукати уряд частіше ділитися інформацією. Постачальники послуг, так само як і компанії, що працюють із персональними даними, вимагають гарантій відсутності відповідальності за порушення таємниці приватного життя у разі передачі даних владі. Деякі з цих компаній також хочуть отримати імунітет на той випадок, якщо не зможуть відбити кібератаку і це призведе до фізичних збитків або втрат інформації. Якщо провайдерам гарантуватимуть захист від відповідальності, держава чекатиме від них посилення заходів із захисту кіберпростору. Уся інфраструктура кіберпростору фактично належить близько 5 тисячам провайдерів і операторів зв’язку, тому очікується, що вони припинять продавати доменні імена кіберзлочицям, не обслуговуватимуть відомих або підозрюваних зловмисників і почнуть перенаправляти або блокувати трафік під час масштабних кібератак.

Деякі спостерігачі порівнюють сучасних кіберзлочинців з європейськими піратами XVII століття. Це дуже влучне й доречне порівняння. Англійські пірати колись панували у морі, атакуючи торговельні кораблі та завдаючи прикрощів потужнішому королівському флотові, здебільшого іспанському. Китайські кібершпигуни, так само як ті пірати, діють на замовлення уряду, але на віддалі й потай, щоб влада могла заявити про безпорадність перед ними. Однак за цей фасад проникнули. Американські офіційні особи публічно й у приватних розмовах закликають китайський уряд припинити кіберпіратство, яке, як відомо обом сторонам, він підтримує. Водночас, так само як пірати, щоб протистояти можливим загрозам, держави можуть залучати кіберприватників. Сучасний аналог дозвільної системи або традиційна система заохочень дає змогу приватним кібернайманцям атакувати злочинців і шпигунів або принаймні вдаватися до «активної оборони», яка є прерогативою АНБ. Звісно, влада звернеться до цих брудних методів лише у тому разі, якщо стан кібербезпеки значно погіршиться. Проте компанії, що володіють потрібним досвідом і навичками, вже працюють. Здається неймовірним, але не виключено, що держава колись надасть конкретним фірмам повноваження, які дозволять їм проводити контратаки проти небезпечних цілей, зокрема під час масштабних атак, що загрожують критично важливим об’єктам інфраструктури.

Уряди досі забороняють розпочинати приватні кібервійни, до яких належать проникнення в мережі противника як відплата за крадіжку інформації з мережі або атаки на неї. Проте правила, які визначають право на самооборону, ще потрібно скласти. Чи будуть вони сформульовані у формі законів? Можливо, в далекій перспективі. Але в найближчому майбутньому вони матимуть форму загальноприйнятих норм поведінки, які досить складно регламентувати. Щойно одна компанія зламає комп’ютер противника з метою самозахисту, інша вирішить учинити так само, попри законну заборону. Приватні кібервійни, ймовірно, неминучі. Одного дня якась компанія вирішить звабити хакерів документами, зараженими вірусами, що знищать ворожу мережу, щойно вони їх відкриють. Провокація перетвориться на дуель. Потому владі доведеться втрутитися, щоб зупинити конфлікт, або – у найгіршому сценарії – застосувати силу.

Щоб захистити людей від щоденних кіберзагроз, які не несуть значної небезпеки для життя чи гаманця, компанії створюватимуть безпечні зони інтернету. Банки вже намагалися позбутися доменної назви .com і перейти на .bank чи власну назву банку. Вони сподівалися, це стане сигналом для клієнтів, що вони мають справу зі справжнім банком, а не з шахрайським сайтом. Компанії створюватимуть цілі кібернетичні інфраструктури, фундаментом яких буде безпека, а трафік аналізуватиметься активніше й ретельніше, ніж у глобальній мережі інтернеті. Це буде онлайн-аналог територій під пильною охороною. Власники такої інфраструктури, так само як і власники приватного бізнесу, зможуть обмежувати користування нею, укладати власні правила й вимагати їхнього виконання, а також пропонувати особливі переваги, насамперед безпеку. Пригадайте всі сервіси, якими ви користуєтеся на щодень – банк, електронна пошта, улюблені інтернет-крамнички, – усі вони працюють в одній або в декількох приватних мережах. Власники цих мереж ретельно аналізують трафік, відстежуючи шкідливі програми, попереджають вас про потенційну небезпеку викрадення ваших особистих даних, контролюють тих, хто намагається увійти до мережі, і не пускають до неї підозрілих відвідувачів. По суті, це аналог надсекретних мереж, якими користуються військові. Однак такі мережі не зупинять ворогів, так само як не здатні на це військові – і це довела операція «Американська картеч». Проте вони зможуть надати вищий рівень безпеки, ніж той, який ми маємо нині на неконтрольованій території глобального інтернету.

Хто зможе забезпечити таке співтовариство? Можливо, Amazon. Дійсно, компанія вже створила версію такої інфраструктури – для ЦРУ. Веб-сервер служби Amazon, який слугує за сховище для зберігання й обробки даних інших компаній, отримав за контрактом $600 млн за створення закритої системи, або «хмари», для шпигунського агентства. На відміну від інших «хмар», доступ до яких здійснюється через глобальну мережу, ця «хмара» буде управлятись апаратним і мережевим обладнанням, розробленим Amazon. Раніше компанія не надавала послуг зі створення приватних мереж, і ЦРУ може стати першим клієнтом на цьому новому ринку.

У найближчому майбутньому ви проводитимете більше часу всередині таких захищених співтовариств. І платитимете за вхід утратою анонімності. Компанія потребуватиме інформації про те, хто ви, ба більше, де ви і ваш комп’ютер або мобільний пристрій розташовані. Операторові безпечної зони потрібно знати ваше розташування, щоб визначити, друг ви чи ворог. І це дозволить йому викинути вас із цієї зони за порушення правил. Анонімність сприйматимуть як загрозу. Адже вона означатиме, що вам є що приховувати, так само як зловмисному хакерові, який ховає свою локацію за допомогою зламаного сервера, розташованого в іншій країні. У вас буде посвідчення, схоже на ID-картку з фото, яке підтверджуватиме вашу належність до зони безпеки й згоду з її правилами в обмін на захист. Безпека в кіберпросторі не буде вашим правом. Вона стане привілеєм. І ви за нього заплатите.

Фундаментальні питання щодо нашого майбутнього в кіберпросторі полягають не в тому, чи слід нам ухвалити закони й правила, що регулюватимуть поведінку в ньому. Некеровані простори розпадаються. Вони нездорові. Вони дають прихисток злочинцям і терористам. Жодна людина серйозно не розглядає майбутнє без законів і правил. Дилема полягає в тому, яку вагу ми надамо безпеці в кіберпросторі і хто за неї відповідатиме. Які транзакції, і яку їхню кількість, потрібно ретельно аналізувати? Усі електронні листи? Усі пошукові запити? Усі покупки? І хто це робитиме? Чи дозволяти людям відмовитися від безпечнішого кіберпростору на користь того, в якому можлива анонімність? Ми ніколи не визнавали право на анонімність. Проте кіберпростір дарує нам таку можливість. Для багатьох саме це є запорукою свободи самовираження, яку інтернет покликаний підтримувати. Уряд США схвалив цю концепцію, допомагаючи створювати анонімну мережу Tor.

А як щодо нашої приватності? Наш словниковий запас для опису цієї ідеї неужитковий завдяки усюдисущому оку держави. Більша частина інформації, зібраної розвідкою США про американських громадян, складається з лоґів і цифрових записів, так званих метаданих, не захищених від пошуку й вилучення четвертою поправкою. Коли люди говорять про право на недоторканність приватного життя в мережі, чи йдеться їм про право на анонімність? На право бути невпізнанними для влади? З погляду держави, анонімність викликає підозру. Анонімність – це потенційна загроза. Саме тому АНБ присвятило стільки часу, щоб підірвати роботу мережі Tor. Анонімність і колективна безпека в кіберпросторі – несумісні поняття. Немає жодного сумніву, що конфлікт між ними проіснує багато років.

Ми повинні скептично ставитися до того, що влада шукатиме баланс між цими інтересами, що суперечать один одному. Нелегальні розвідувальні операції – не дуже доречна діяльність, якщо йдеться про створення прозорої та чесної відкритої політики. АНБ вело масове нелегальне стеження за американцями впродовж чотирьох років і реалізовувало секретну програму, деякі частини якої були абсолютно незаконними, але саме агентство заклало підвалини військово-мережевого комплексу. Ми й гадки не мали про його народження, аж поки він не націлився на нас.

Власними діями, санкціонованими двома президентами, АНБ зробило інтернет менш безпечним у багатьох сенсах. Інсталюючи шкідливі програми в десятки тисяч комп’ютерів і серверів у всьому світі, агентство цілком могло зробити вразливими комп’ютери невинних людей і піддати їх підвищеному ризику стати об’єктом атаки або шпигунства, зокрема й державного. Агентство ускладнило американським компаніям ведення бізнесу в глобальній економіці. Компанії IBM, Hewlett-Packard, Cisco і Microsoft звітували про зменшення обсягів продажу в Китаї та на інших важливих ринках після оприлюднення викривальних матеріалів щодо шпигунства АНБ. Іноземні держави вбачають в американських технологіях, які колись були золотим стандартом якості та інновацій, інструменти американського шпигунства. Звісно, компанії також завинили й почасти відповідають за таке ставлення, адже брали участь у державних програмах стеження або заплющували очі на те, що АНБ інсталює бекдори в їхніх системах. До намірів корпорацій урівноважити конкурентні питання цивільних свобод і безпеки у кіберпросторі слід поставитися критично. Але саме компанії найбільше вплинуть на майбутнє інтернету, і вони вже роблять перші кроки на цьому шляху – переважно задля протидії шпигунству АНБ, – працюючи над вдосконаленням захисту власних продуктів і послуг. Наприклад, компанія Google посилила шифрування електронних листів, що суттєво ускладнило шпигунам розшифрування перехопленої приватної кореспонденції. Це перемога для користувачів, які переймаються недоторканністю приватного життя. Запит на безпечніші та потенційно більш анонімні технології допоможе розвинутися новому високотехнологічному секторові економіки: захисту від стеження в кіберпросторі.

Проте АНБ – не ворог. Це домівка експертів, які знають, як захистити комп’ютери та їхніх користувачів од недоброзичливців, хоч би ким ті були: злочинцями, шпигунами чи солдатами. АНБ і Кіберкомандування повинні розвивати власні можливості задля державного захисту. Проте шпигунське агентство надто тісно пов’язане з еволюцією Кіберкомандування. Кібервійна – це справа військових, тому військові відомства під контролем цивільних, а не солдатів чи шпигунів повинні відігравати в ній провідну роль. Кібернетичні військові операції стануть частиною військової доктрини – безсумнівно, так учинять усі армії світу. Можливо, майбутній президент вирішить розділити керівництво АНБ і Кіберкомандування, що в перспективі лише посприяє підвищенню компетентності та відповідальності кіберармії.

Але кіберпростір дуже розлогий і надто всеосяжний, щоб дозволити якійсь одній силі управляти їм або диктувати правила поведінки. Немає точного визначення кіберпростору. Це не громадське місце, але й не приватна територія. Ми дійшли до того, що почали залежати від нього, як від електрики чи водопостачання. Проте кіберпростір і надалі залишається колекцією приватних пристроїв. На щастя, ми опинилися на зорі нової епохи, не у її сутінках і ще маємо трохи часу, щоб замислитися про бойові барабани, бій яких супроводжує будь-яку дискусію про природу кіберпростору, до якого ми так прив’язалися.

Проте час спливає швидко. Держави та корпорації змінюють правила в процесі гри, і їхні дії мають серйозніші наслідки, ніж більшість із нас припускає. Вони стосуються кожного, хто стикається з кіберпростором (який, поза сумнівом, таки є громадським місцем), а отже, може побачити те, що Ейзенгауер називав «важливою угодою з актуальних питань цього видатного моменту, мудрий аналіз якого дозволить краще усвідомити й сформувати майбутнє нації». Хоч як непокоїла Ейзенгауера поява потужних і потенційно руйнівних нових технологій, найбільше його хвилювала «науково-технічна еліта», яка заявляла, що краще за всіх знає, як ухвалювати рішення, які вільні люди можуть приймати самостійно. А найбільше Ейзенгауер боявся появи військово-промислового комплексу. І його заклик залишатися пильними, коли йдеться про «зростання недоречної сили», нині знаходить такий самий відгук, як і тоді. «Ми не повинні нікому сліпо вірити. Лише пильне та інформоване суспільство може підкорити громіздку військово-оборонну машину нашим мирним цілям задля процвітання безпеки й свободи».