Когда речь идёт о настоящих бомбах, то чем они мощнее — тем разрушительнее. В компьютерной области всё наоборот. Чем сложнее вирус и чем глубже он способен проникнуть в систему — тем менее вероятно, что атака затронет кого-нибудь ещё, кроме этой конкретной цели.
Вот почему «кибероружие» нельзя считать настоящим оружием, считает Томас Рид (Thomas Rid), соавтор статьи Cyber-Weapons, которая на днях опубликована в специализированном журнале RUSI Journal по информационной безопасности. Да и вообще, о какой «войне» можно говорить, если нет жертв?
Основной тезис заключается в том, что нельзя использовать в сфере информационной безопасности термины «война» и «оружие», потому что здесь они имеют совершенно иной смысл. Самые мощное и эффективные инструменты кибератак имеют точечный эффект, так что к ним не совсем применим термин «оружие». Если требуется точечный и надёжный эффект, то нужно вложить больше ресурсов в разработку такого инструмента. Таким образом, в «кибервойне» складывается парадоксальная ситуация: чем больше интеллектуальных и финансовых ресурсов стороны вкладывают в разработку «оружия» — тем менее заметным будет эффект.
Томас Рид говорит, что самые универсальные «инструменты» — это боты и программы для DDoS-атак, которые можно направить на любую цель. Одновременно это оружие можно назвать наименее опасным, потому что единственное, на что они способны — вывести публичный веб-сайт на некоторое время из всеобщего доступа. У противника это может вызвать разве что раздражение, и такая акция может иметь только пиар-эффект, она не наносит противнику никакого ущерба.
Совсем другое дело — вредоносный софт, который можно внедрить в корпоративную сеть и нанести реальный урон, например, если похитить конфиденциальные данные или вывести из строя некие механизмы. Но в данном случае злоумышленник должен нацелиться на конкретную цель, и он будет совершенно безвреден для остальных целей. В качестве примера можно привести Stuxnet, который был нацелен на конкретную цель (конкретная SCADA-система, которую он мог вывести из строя). На пути к своей цели Stuxnet заразил около ста тысяч компьютеров под Windows, но не нанёс им никакого вреда.
Если кто-то в Пентагоне думает, что возможно распространение широкомасштабной эпидемии, в которой какой-то вирус будет заражать всё подряд и выводить из строя все системы, которые попадаются на пути, то он глубоко заблуждается или просто пересмотрел голливудских боевиков. Опять же, можно не волноваться, что какие-то сумасшедшие хакеры с Северной Кореи обрушат фондовую биржу, обнулив стоимость всех акций. Вмешаться в работу такой системы через интернет вообще нереально.
Для создания чего-нибудь такого сложного, чтобы внедриться в защищённую систему и попытаться нанести реальный урон, требуются огромные ресурсы. До сих пор ничего подобного не создано, и сложно представить, что какое-то государство отправит свои лучшие интеллектуальные силы на решение такой задачи.
Многие американские политики и военные склонны переоценивать угрозу хакерских атак и они слабо осознают, что все известные на сегодняшний день хакерские инструменты имеют определённые ограничения и, в общем-то, они гораздо менее опасны, чем принято о них думать. О чём действительно нужно волноваться, говорит Томас Рид, так это о SCADA-системах, уровень безопасности которых оставляет желать лучшего, а производители промышленных контроллеров недостаточно заботятся об их защите. Но эти системы настолько сложны и специфичны, что даже сами операторы SCADA-систем не совсем понимают, как они работают, и в случае возникновения проблем обращаются за помощью к производителю. Здесь проблемы, скорее всего, могут возникнуть из-за инсайдеров. Пожалуй, самый серьёзный на сегодняшний день взлом SCADA-системы произошёл на одной из систем водоснабжения в Австралии в 2000 году по вине бывшего сотрудника компании, который хотел отомстить работодателю.
В конце концов, говорит Томас Рид, всем заинтересованным сторонам нужно перестать использовать агрессивную риторику «кибервойны» с «кибероружием» и начать более реально смотреть на вещи.
