Текст книги "IT как оружие. Какие опасности таит в себе развитие высоких технологий"

Глава 4
Кибербезопасность:
тревожный звонок для всего мира

Патрика Уорда привезли 12 мая 2017 г. в предоперационный блок больницы Святого Варфоломея в центральной части Лондона. Этот обширный медицинский комплекс, который местные жители называют между собой просто «Бартс», находящийся в нескольких кварталах от собора Святого Павла, был заложен в 1123 г. во время правления короля Генриха I. Больница не прекращала работу во время фашистских бомбежек и успешно пережила Вторую мировую войну под градом бомб, некоторые из которых попадали и на ее территорию[79]79
  «St Bartholomew's Hospital during World War Two,» BBC, December 19, 2005, https://www.bbc.co.uk/history/ww2peopleswar/stories/10/a7884110.shtml.


[Закрыть]. Однако за всю 900-летнюю историю больницы ни одна бомба не привела к такому коллапсу, как та, что «взорвалась» тем утром в пятницу.

Уорд добирался до места три часа из своей маленькой деревни в графстве Дорсетшир неподалеку от городка Пул на юге Англии. Его семья с конца 1800-х гг. обрабатывала прибрежный участок земли, который выглядел так, словно сошел со страниц сборника сказок. Работа Уорда вполне соответствовала этому идиллическому месту. Он долгое время был коммерческим директором Purbeck Ice Cream, производителя деликатесного мороженого. Ему нравилось такое занятие. «Мне платят за то, что я разговариваю и ем мороженое, – сказал он нам. – А я умею делать и то и другое довольно хорошо».

Уорд ждал два года, пока подойдет его очередь в Бартсе на операцию в связи с серьезной патологией сердца, кардиомиопатией, генетическим отклонением, приводящим к утолщению сердечной мышцы. Из-за него крепкий англичанин среднего возраста, который любил побродить по окрестностям и поиграть в футбол, лишился возможности выполнять большинство ежедневных дел. В то утро грудь Уорда побрили и облепили кучей датчиков. Он лежал на передвижной кровати в ожидании давно запланированной операции, когда в помещение буквально влетел хирург. «Мне нужно отлучиться на несколько минут. Я скоро вернусь». Однако Уорда так и не отвезли в операционную. Он томился в ожидании.

Врач появился лишь через час с лишним. «Наши компьютеры взломали. Система полностью вышла из строя. Я не могу сделать операцию». Больница, которая исправно работала на протяжении всей Второй мировой войны, неожиданно перестала функционировать из-за крупномасштабной кибератаки. Все ее компьютерные системы рухнули. Прием автомобилей скорой помощи прекратился, запланированные посещения врачей были аннулированы, а хирургию закрыли на целые сутки. Кибератака парализовала третью часть Государственной службы здравоохранения, которая предоставляет большинство медицинских услуг в Англии[80]80
  «What Does NHS England Do?» NHS England, accessed November 14, 2018, https://www.england.nhs.uk/about/about-nhs-england/.


[Закрыть].

Тем утром в Редмонде группа руководителей высшего звена Microsoft собралась на обычное совещание, проводимое по пятницам. Такие еженедельные встречи Сатьи Наделлы и его 14 прямых подчиненных давно стали рутиной. Они начинаются в 8:00 и проводятся в зале заседаний совета директоров компании на этаже, где у некоторых из нас находятся кабинеты. Мы обычно рассматриваем различные моменты, связанные с продуктом и деловыми предложениями, и завершаем заседание ближе к полудню. Однако совещание 12 мая 2017 г. к разряду обычных не относилось.

Мы еще обсуждали второй вопрос, когда Сатья прервал наш разговор: «Ко мне валом идут копии писем о какой-то масштабной кибератаке на наших клиентов. Что происходит?»

Очень скоро выяснилось, что наши инженеры по информационной безопасности уже предпринимают меры в ответ на запросы клиентов и пытаются выяснить причину и оценить последствия быстро распространяющейся атаки. К обеду стало ясно, что это не обычный взлом. Инженеры Центра Microsoft по обнаружению киберугроз (Microsoft Threat Intelligence Center – MSTIC) быстро связали вредоносную программу с тем кодом, который так называемая группа Zinc использовала в своих экспериментах два месяца назад. MSTIC присваивает хакерским группам из разных стран кодовые наименования по названию элементов периодической системы Менделеева. В ФБР считали, что Zinc имеет отношение к правительству Северной Кореи. Это была та же самая группа, что взломала компьютерную сеть компании Sony Pictures полтора года назад[81]81
  Kim Zetter, «Sony Got Hacked Hard: What We Know and Don't Know So Far,» Wired, December 3, 2014, https://www.wired.com/2014/12/sony-hack-what-we-know/.


[Закрыть].

Ее последняя атака была необычно сложна с технической точки зрения – к исходной программе Zinc добавили новый вредоносный код, который позволял вирусу автоматически передаваться от одного компьютера к другому. После проникновения в систему код зашифровывал данные и запирал жесткий диск. На экране появлялось сообщение с требованием заплатить $300 за электронный ключ для восстановления данных. Без ключа пользовательские данные должны были навсегда остаться заблокированными и недоступными.

Кибератака началась с Великобритании и Испании и за несколько часов охватила весь мир, затронув в конечном итоге 300 000 компьютеров более чем в 150 странах[82]82
  Bill Chappell, «WannaCry Ransomware: What We Know Monday,» NPR, May 15, 2017, https://www.npr.org/sections/thetwo-way/2017/05/15/528451534/wannacry-ransomware-what-we-know-monday.


[Закрыть]. Ее запомнили как WannaCry, по названию вредоносной программы, которая не только заставила плакать системных администраторов, но и послужила тревожным звонком для всего мира.

Вскоре газета The New York Times сообщила, что самую сложную часть WannaCry разработали в Агентстве национальной безопасности США для использования уязвимости операционной системы Windows[83]83
  Nicole Perlroth and David E. Sanger, «Hackers Hit Dozens of Countries Exploiting Stolen N. S.A. Tool,» New York Times, May 12, 2017, https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html.


[Закрыть]. АНБ, скорее всего, создавало код для внедрения в компьютеры противника и получения доступа к ним. Код был украден и попал на черный рынок через хакерскую группировку Shadow Brokers, которая выложила его в сеть. Shadow Brokers сделала это оружие АНБ доступным для любого, кто знал, где искать его. Хотя эта группировка не связана напрямую с конкретным человеком или организацией, эксперты по киберугрозам подозревают, что она является прикрытием для одного из государств, нацеленных на дестабилизацию ситуации[84]84
  Bruce Schneier, «Who Are the Shadow Brokers?» The Atlantic, 23 May 2017. https://www.theatlantic.com/technology/archive/2017/05/shadow-brokers/527778/.


[Закрыть]. В этот раз Zinc добавила действенную вредоносную программу к коду АНБ, создав опасное кибероружие, которое взорвало интернет.

Как выразился один из наших руководителей в сфере информационной безопасности, «АНБ разрабатывало ракету, а северокорейцы превратили ее в реактивный снаряд, разница заключается лишь в характере головной части». По сути, Соединенные Штаты создали хитроумное кибероружие и потеряли контроль над ним, а Северная Корея использовала его для атаки против всего мира.

Еще несколько месяцев назад такой сценарий казался немыслимым. Теперь он стал темой дня. Однако времени на насмешки у нас не было. Нам нужно было помочь клиентам идентифицировать пораженные системы, остановить распространение вредоносного кода и возвратить к жизни заблокированные компьютеры. К полудню наша команда по информационной безопасности пришла к выводу, что машины с новой версией операционной системы Windows устойчивы к атаке в результате выпущенной два месяца назад заплатки, или патча, а вот о более старых машинах на Windows XP этого сказать было нельзя.

Вырисовывалась очень серьезная проблема. В мире более сотни миллионов компьютеров все еще работали на Windows XP. Мы не один год пытались убедить клиентов обновить операционную систему и установить более свежую версию Windows. Windows XP была выпущена в 2001 г., за шесть лет до появления первого iPhone компании Apple и за полгода до поступления в продажу первого iPod. Хотя мы и выпускали патчи для устранения конкретных уязвимостей, устаревшая технология не могла угнаться за все новыми информационными угрозами. Надеяться на то, что программное обеспечение 16-летней давности сможет защитить от сегодняшних атак, сродни надежде отыскать защиту от ракет в окопах.

Несмотря на наши предупреждения, скидки и бесплатные обновления, некоторые клиенты упорно держались за старую операционную систему. Не оставляя попыток сдвинуть их с места, мы в конечном итоге решили продолжить выпуск патчей для устранения уязвимостей старых систем, но в отличие от новых версий, делать это на основе платной подписки. Цель заключалась в создании финансового стимула для перехода на более безопасную версию Windows.

В большинстве случаев такой подход давал результат, но не во время атаки 12 мая. Вирусный характер WannaCry позволял вредоносному коду распространяться невероятно быстро. Нужно было поставить ему заслон. Это вызвало горячие дебаты в Microsoft. Следует ли нам сделать патч для Windows XP доступным всем без исключения, в том числе и тем, кто пользуется пиратскими копиями наших программ? Конец разногласиям положил Сатья, который решил, что мы должны выложить патч в свободный доступ. Когда ему сказали, что это сведет на нет попытки заставить людей отказаться от XP, он отмел возражения, разослав письмо, где говорилось: «Сейчас не время для дебатов. Ситуация слишком серьезна».

Хотя мы и добились прогресса в сдерживании эпидемии WannaCry, политическая ситуация продолжала накаляться. Когда в ту пятницу в Сиэтле подошло обеденное время, в Пекине уже наступило утро субботы. Представители китайского правительства связались с нашей командой в Пекине и направили Терри Майерсону, возглавлявшему отделение Windows, электронное письмо с вопросом о статусе патчей для Windows XP.

Такой запрос был неудивительным с учетом того, что в Китае машин на Windows XP насчитывалось больше, чем в любой другой стране. Китай почти не пострадал от первоначальной атаки лишь потому, что в пятницу, когда начал распространяться вирус, там уже был вечер, и большинство офисных компьютеров отключили до понедельника. Однако местные машины с устаревшей операционной системой Windows XP оставались уязвимыми.

Впрочем, патчи для XP были не единственным моментом, который волновал Китай. Чиновник, направивший Терри письмо, задавал вопросы о заявлении, которое газета The New York Times сделала в тот же день. В ее статье утверждалось, что государственные ведомства США активно ведут поиск уязвимостей программного обеспечения, однако хранят свои находки в секрете, а не уведомляют о них технологические компании, и, таким образом, не позволяют их устранить[85]85
  Nicole Perlroth and David E. Sanger, «Hackers Hit Dozens of Countries Exploiting Stolen N. S.A. Tool,» New York Times, May 12, 2017, https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html.


[Закрыть]. Чиновник хотел получить наши комментарии. Мы ответили, что этот вопрос нужно обсуждать с правительством США, а не с нами. Вместе с тем такая практика по понятным причинам не вызывает восторга ни у нас, ни у других технологических компаний. Мы уже давно призываем правительства раскрывать информацию об обнаруженных уязвимостях и давать возможность своевременно устранять их.

Конечно, все понимали, что это лишь первая ласточка и надо готовиться к шквалу вопросов со всех концов света. Утром в субботу стало ясно, что нам нельзя ограничиваться одной лишь поддержкой пострадавших клиентов – мы должны занять более открытую позицию по новым геополитическим проблемам. В то утро я обсудил с Сатьей по телефону наш следующий шаг. Было решено публично отвечать на вопросы о WannaCry.

Мы отказались от препарирования деталей нынешней атаки и стали говорить о более широкой теме кибербезопасности. Прежде всего, было заявлено, что Microsoft и другие компании в технологическом секторе несут прямую ответственность за защиту клиентов от кибератак. Это было само собой разумеющимся. При этом мы подчеркивали, что клиенты тоже отвечают за кибербезопасность. В нашу обязанность входило предоставление клиентам обновлений и новых версий программного обеспечения, однако, как показало случившееся, толку от этого было мало, если обновления не использовались.

Мы также отмечали еще один момент, который высветила атака WannaCry. Правительства, разрабатывающие высокотехнологичные наступательные средства, должны держать под контролем свое кибероружие. «Произошедшее эквивалентно похищению у американских военных крылатой ракеты Tomahawk»[86]86
  Brad Smith, «The Need for Urgent Collective Action to Keep People Safe Online: Lessons from Last Week's Cyberattack,» Microsoft on the Issues (blog), Microsoft, May 14 2017, https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/.


[Закрыть]. Тот факт, что кибероружие можно записать – или унести – на флеш-накопителе, делает задачу его охраны более сложной и более важной.

Некоторым представителям Белого дома и АНБ очень не понравилось наше упоминание ракеты Tomahawk. Их поддерживали коллеги в британском правительстве, по словам которых, «правильнее было бы сравнивать WannaCry с винтовкой, а не с крылатой ракетой». Однако мыслимо ли выстрелом из винтовки поразить цели сразу в 150 странах? Это были пустые разговоры. Если уж на то пошло, то они лишь показывали, что чиновники, отвечавшие за кибербезопасность, не привыкли открыто говорить на эту тему в прессе или публично отстаивать свою практику.

Что удивляло больше всего, так это отсутствие широкого обсуждения вопроса о том, почему Северная Корея устроила кибератаку. Ясного ответа у нас нет до сегодняшнего дня, но одна теория представляет особый интерес.

Всего за месяц до атаки Северная Корея потерпела позорный провал при запуске своей новейшей ракеты. Дэвид Сангер вместе с двумя другими репортерами написал тогда в The New York Times, что правительство США предпринимает попытки затормозить реализацию северокорейской ракетной программы, «в том числе с помощью методов электронной войны»[87]87
  Choe Sang-Hun, David E. Sanger, and William J. Broad, «North Korean Missile Launch Fails, and a Show of Strength Fizzles,» New York Times, April 15, 2017, https://www.nytimes.com/2017/04/15/world/asia/north-korea-missiles-pyongyang-kim-jong-un.html.


[Закрыть].

По их словам, невозможно узнать, что на самом деле стало причиной неудачи, однако министр обороны Джеймс Мэттис очень странно прокомментировал ее. Он сказал: «Президент и команда его военных советников знают о последней неудаче Северной Кореи с запуском ракеты. Президенту нечего к этому добавить». И это президенту, который, как известно, редко отказывается от комментариев.

А что, если Северная Корея ответила на кибератаку против ее ракеты своей собственной кибератакой? Конечно, WannaCry действовал нецеленаправленно, но что, если так и было задумано? Что, если северокорейцы хотели показать: «Вы поразили нас в одном месте, а мы достанем вас везде»?

Некоторые особенности WannaCry соответствуют этой теории. Во-первых, атака против целей в Европе началась именно в то время, когда все на востоке Азии выключали свои компьютеры и отправлялись по домам на выходные. Если северокорейцы хотели добиться максимального воздействия на Западную Европу и Северную Америку и как можно меньше затрагивать Китай, то они выбрали идеальный момент. Вирус распространялся вслед за движением солнца на запад, где у работников в частном и государственном секторах продолжался рабочий день. А в распоряжении китайцев были целых два выходных дня, чтобы принять меры до начала рабочей недели в понедельник.

Помимо прочего северокорейцы добавили то, что специалисты по информационной безопасности называют «механизмами самоуничтожения», дающими возможность остановить распространение вредоносной программы. Один из таких механизмов заставлял вирус искать пока что несуществующий веб-адрес. До тех пор, пока этого адреса не было, WannaCry продолжал распространяться. Но стоило кому-то зарегистрировать и активировать такой веб-адрес, что технически не представляло сложности, и код прекращал тиражироваться.

Немного позднее 12 мая один из аналитиков по информационной безопасности в Великобритании исследовал вредоносный код и обнаружил этот механизм самоуничтожения. За небольшую плату, всего $10,69, он зарегистрировал и активировал нужный URL и, таким образом, положил конец распространению WannaCry[88]88
  Lily Hay Newman, «How an Accidental 'Kill Switch' Slowed Friday's Massive Ransomware Attack,» Wired, May 13, 2017, https://www.wired.com/2017/05/accidental-kill-switch-slowed-fridays-massive-ransomware-attack/.


[Закрыть]. Некоторые говорили, что это свидетельствует о недостатке опыта и знаний у создателей WannaCry. Но что, если это говорит о прямо противоположном? Что, если разработчики WannaCry оставляли себе возможность деактивировать вредоносную программу до наступления понедельника во избежание проблем в Китае или в самой Северной Корее?

Наконец, было кое-что подозрительное в требовании выкупа и подходе, используемом WannaCry. Как отметили наши специалисты по информационной безопасности, Северная Корея и раньше применяла программы-вымогатели, однако почерк тогда был другим. Для атак выбирались важные цели, такие как банки, а требования касались выплаты крупных сумм с соблюдением предосторожностей. Нецеленаправленные требования заплатить $300 за разблокирование компьютера были как минимум отходом от прежней тактики. А что, если вся эта задумка с вымогательством на деле являлась дымовой завесой для прессы и публики и представляла собой скрытое послание властям США и их союзников?

Если Северная Корея развернула кибератаку в ответ на кибератаку со стороны США, то все произошедшее имело еще большее значение, чем люди подозревали. Это означало, что мир подошел к опасной черте, за которой начиналась глобальная «горячая» кибервойна. Иными словами, это была атака, в которой ущерб гражданскому населению наносился не случайно. Он был преднамеренным результатом.

Независимо от ответа этот вопрос отражает серьезную проблему. Кибероружие стало намного совершеннее за последнее десятилетие, в корне изменив возможности борьбы в современной войне. При его использовании далеко не всегда очевидно, что в действительности происходит. Публика пока не вполне понимает, какими рисками и неотложными вопросами государственной политики необходимо заниматься в такой ситуации. До тех пор, пока эти вопросы не вытащат на свет, опасность продолжит нарастать.

Если кто-то и сомневался в опасности кибервойны, то кибербомба, которая взорвалась всего шесть недель спустя, не оставила места для сомнений.

27 июня 2017 г. кибератаке с использованием того же самого, украденного у АНБ, кода подверглась Украина. По оценкам от нее пострадали 10 % компьютеров в стране[89]89
  Andy Greenberg, «The Untold Story of NotPetya, the Most Devastating Cyberattack in History,» Wired, August 22, 2018, https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/.


[Закрыть]. Позднее Соединенные Штаты, Великобритания и пять других стран обвинили в этой атаке Россию[90]90
  Там же; Stilgherrian, «Blaming Russia for NotPetya Was Coordinated Diplomatic Action,» ZD Net, April 12, 2018, https://www.zdnet.com/article/blaming-russia-for-notpetya-was-coordinated-diplomatic-action.


[Закрыть]. Специалисты по информационной безопасности дали ей название NotPetya из-за сходства с известной программой-вымогателем Petya, которую так назвали в честь одноименного спутника в советской космической системе GoldenEye из кинофильма 1995 г. о Джеймсе Бонде[91]91
  Josh Fruhlinger, «Petya Ransomware and NotPetya Malware: What You Need to Know Now,» October 17, 2017, https://www.csoonline.com/article/3233210/petya-ransomware-and-notpetya-malware-what-you-need-to-know-now.html.


[Закрыть]. Эта вымышленная система могла уничтожить все системы электронной связи в радиусе 50 км.

В реальном мире 2017 г. радиус распространения вредоносной программы NotPetya был намного больше. Она охватила всю Украину, заразив компьютеры компаний, транспортных предприятий и банков, а затем перекинулась за ее границы и проникла в системы транснациональных компаний, включая FedEx, Merck и Maersk. У датского транспортного гиганта прекратила работу вся его глобальная компьютерная сеть[92]92
  Greenberg, «The Untold Story of NotPetya.»


[Закрыть].

Когда инженеры по информационной безопасности из Microsoft приехали в здание Maersk в Лондоне, им открылась совершенно нереальная по меркам XXI в. картина. Одним из первых на месте оказался Марк Эмпсон, высокий, подвижный инженер-эксплуатационник Microsoft. «В современном офисе всегда слышен шум и характерный фон от компьютеров, принтеров и сканеров, – рассказывает он. – Там ничего такого не было. Стояла гробовая тишина».

По словам Эмпсона, когда он шел по коридорам Maersk, казалось, что жизнь в здании прекратилась. «Начинаешь задавать стандартные вопросы: "Что случилось? Какие серверы вышли из строя? Что в результате работает?" А в ответ слышишь, что не работает ничего».

– Ну, а телефоны?

– Молчат.

– А интернет?

– Тоже не действует.

Это было суровое напоминание о том, насколько наша экономика и жизнь зависят от информационной технологии. В мире, где все взаимосвязано, нарушение в любом месте может привести к серьезным последствиям. Именно это заставляет серьезно относиться к возможности кибератак против сегодняшних электронных сетей.

Если город останется без электричества, телефонной связи, систем газо– и водоснабжения, интернета, то он окажется в каменном веке. Зимой люди могут замерзнуть, летом – изжариться от пекла. Те, кто подключены к медицинским аппаратам, вообще рискуют лишиться жизни. Только представьте, к чему может привести кибератака против системы управления дорожным движением в грядущую эру беспилотного транспорта.

Все это – признаки нового мира, в котором мы живем. После инцидента с вирусом NotPetya компания Maersk предприняла беспрецедентные меры для поддержания уверенности общества в том, что ее капитаны сохранили контроль над судами. Необходимость такого шага показывает, насколько мир зависит от компьютеров, и демонстрирует потенциальные последствия нарушений в результате кибератаки.

Повсеместное использование программных средств в инфраструктуре наших обществ также объясняет, почему все больше стран вкладывают средства в разработку наступательного кибероружия. По сравнению с первыми хакерами и их преемниками, которые работают на международные преступные группировки, правительства действуют в совершенно других масштабах и на других уровнях сложности. Соединенные Штаты были одними из первых и до сих пор сохраняют лидерство в этой сфере. Впрочем, другие, включая Россию, Китай, Северную Корею и Иран, быстро учатся. Все они тоже включились в гонку кибервооружений.

Атаки WannaCry и NotPetya были массированной демонстрацией роста поражающей способности кибероружия. Однако через несколько месяцев стало очевидно, что далеко не все правительства в мире обратили внимание на этот тревожный звонок.

Во время встреч с дипломатами в разных частях света мы не раз слышали такие замечания: «Никого ведь не убили. На людей это вообще не было нацелено. Одни машины атаковали другие».

Также выяснилось, что взгляды на кибербезопасность разнились в зависимости от поколения, и эта разница была, пожалуй, больше, чем в случае прошлых прорывов в сфере средств поражения. Молодежь существовала в цифровом мире с рождения. Ее жизнь в целом была связана с технологиями, и атака на личный гаджет воспринималась как вторжение в собственный дом. Она носила персональный характер. Старшее поколение, однако, не всегда воспринимало последствия кибератаки таким же образом.

Это подводило к еще более отрезвляющему вопросу. Можно ли вообще разбудить мир до того, как случится цифровая катастрофа типа 9/11? Или наши правительства так и будут сбрасывать сигнал будильника?

После распространения вируса NotPetya мы хотели показать всему миру, что именно произошло на Украине, которая уже не раз подвергалась кибератакам. Хотя эта страна сильно пострадала от NotPetya, в средствах массовой информации за пределами Украины это событие почти не освещалось. Было принято решение направить группу сотрудников Microsoft в Киев, чтобы на месте выяснить реальные обстоятельства[93]93
  Microsoft, «RSA 2018: The Effects of NotPetya,» YouTube video, 1:03, produced by Brad Smith, Carol Ann Browne, and Thanh Tan, April 17, 2018, https://www.youtube.com/watch?time_continue=1&v=QVhqNNO0DNM.


[Закрыть]. Они получали информацию из первых рук от людей, которые потеряли бизнес, клиентов и работу. Они беседовали с украинцами, которые не могли купить продукты из-за того, что кредитные карты и банкоматы перестали действовать. Они встречались с матерями, которые не могли связаться с детьми из-за неработающей связи. Конечно, это событие не шло ни в какое сравнение с терактом 9/11, но оно ясно показывало, куда движется мир.

Украинцы не скрывали произошедшего, однако зачастую жертвы кибератак помалкивали, поскольку стыдились незащищенности своей сети. Это был рецепт сохранения, а не решения проблемы. Microsoft уже сталкивалась с такой дилеммой. В 2017 г. наши юристы увидели возможность привлечь к ответственности двух преступников в Великобритании, которые взломали часть аккаунтов в сети Xbox. Хотя эта проблема рождала ряд неудобных для нас вопросов, я дал зеленый свет на открытые слушания. Тот, у кого не хватает храбрости быть открытым, не может претендовать на лидерство в публичном пространстве.

Однако нужно не только больше говорить, но и больше делать.

Дипломаты в Европе соглашались с этим. «Мы знаем, что нужно делать больше, но нам пока не ясно, что именно надо делать, – сказал мне один из европейских послов в офисе ООН в Женеве. – Даже если бы было ясно, в настоящее время очень сложно убедить в чем-либо правительства. В этом вопросе тон должны задавать технологические компании. К ним правительства скорее прислушаются».

Очень скоро такая возможность представилась. Ряд инженеров по информационной безопасности пришли к выводу, что если бы несколько компаний объединились и стали действовать согласованно, то они смогли бы значительно ограничить возможности группы северокорейских хакеров – или Zinc, – запустившей в сеть вредоносную программу WannaCry. Мы смогли бы распространять патчи для устранения уязвимостей, которые использует Zinc, лечить пострадавшие компьютеры и блокировать учетные записи злоумышленников в наших сервисах. Эффект не был бы долговременным, но это ударило бы по возможностям преступной группы.

В Microsoft, Facebook и других компаниях развернулось обсуждение вопросов о том, нужно ли развивать эту инициативу и как двигаться вперед. Это открыло перед нами более масштабную цель. Я обсудил ее с Сатьей и в ноябре мы представили совету директоров Microsoft свой перспективный план. На наш взгляд, для его реализации имелись все основания, как юридические, так и прочие, и в случае поддержки со стороны других компаний за него стоило взяться.

Мы также сочли необходимым поставить в известность ФБР, АНБ и другие ведомства в Соединенных Штатах и остальных странах. Речь шла не о получении у них разрешения, а о простом информировании о наших планах. Мы хотели быть уверенными в том, что против Северной Кореи не проводится какая-либо тайная операция с использованием тех учетных записей, которые предполагается отключить.

Несколько дней спустя я, находясь в Вашингтоне, посетил Белый дом. Там в западном крыле у меня состоялась встреча с Томом Боссертом, советником президента по национальной безопасности, и Робом Джойсом, координатором Белого дома по вопросам кибербезопасности. Я рассказал им о наших планах, реализация которых была назначена на следующую неделю.

По их словам, при твердой поддержке президента Трампа они готовились официально обвинить Северную Корею в атаке с использованием WannaCry. Это был ключевой шаг в направлении регулярного раскрытия правительством информации о кибератаках. Боссерт считал, что правительству США очень важно официально выступать против кибератак, которые, на его взгляд, являются «непропорциональными и неизбирательными». И на этот раз Белый дом активно сотрудничает с другими странами с тем, чтобы впервые выработать совместную позицию и публично указать на Северную Корею.

Боссерт сначала попросил нас повременить. «Мы не сможем подготовить заявление раньше чем через неделю, а всем нам лучше выступить одновременно». Я сказал, что мы не можем откладывать, поскольку все завязано на выпуск определенных патчей, который публика ожидает 12 декабря. Всем известно, что мы выпускаем патчи во второй вторник каждого месяца, и по этой причине его даже называют «вторником обновлений». Мое предложение было таким: «Давайте подумаем об отсрочке заявления, а не действий, тогда, может, нам удастся выступить вместе».

В этом разговоре всплыла важная, но парадоксальная особенность ответа правительства на WannaCry. Как Боссерт объяснил мне, а потом сказал на пресс-конференции, возможности правительства США в плане реагирования на инцидент довольно ограничены, если учесть уже введенные санкции. «Чтобы изменить поведение северокорейцев, президент Трамп и так использовал практически все доступные рычаги. Осталось разве что уморить их голодом», – заявил он на публике[94]94
  Andy Sharp, David Tweed, and Toluse Olorunnipa, «U.S. Says North Korea Was Behind WannaCry Cyberattack,» Bloomberg, December 18, 2017, https://www.bloomberg.com/news/articles/2017–12–19/u-s-blames-north-korea-for-cowardly-wannacry-cyberattack.


[Закрыть].

Хотя администрация позднее признала, что потенциальный ответ на кибератаки можно было бы расширить, технологический сектор располагал своими возможностями, которые у правительства отсутствовали. Технологические компании могли легко лишить Северную Корею некоторых ключевых каналов распространения вредоносных программ. Поэтому объединение двух заявлений должно было произвести более сильный эффект.

Мы решили двигаться в двух взаимосвязанных направлениях: одним была реализация намеченных мер, а другим – публичное объявление об их развертывании. Команды по информационной безопасности в Microsoft, Facebook и еще одной технологической компании, которая не хотела, чтобы ее упоминали публично, 12 декабря, во «вторник обновлений», начали совместно работать над ограничением деятельности группы Zinc. Эта операция была развернута без каких-либо препятствий и сбоев.

А вот подготовка объявления о ней оказалась более сложным делом. Специалисты по информационной безопасности практически во всех областях не любят публично рассказывать о том, что они делают. В определенной мере это обусловлено характером их деятельности, которая связана с защитой, а не с распространением информации. Кроме того, всегда существует риск спровоцировать ответную атаку. Нам нужно было преодолеть это нежелание, если мы хотели добиться эффекта в противодействии кибератакам одного из государств.

Дополнительную сложность создавали непростые отношения технологического сектора с Белым домом во главе с Трампом. В последние месяцы среди прочего возобновились баталии вокруг вопроса об иммиграции. Как результат, некоторые активно не желали публично признаваться в том, что у них есть какие-то общие дела с администрацией. Я, однако, чувствовал, что нам нужны партнеры везде, где только можно, даже если в некоторых вопросах от них приходится отмежевываться. А кибербезопасность была общим делом, в котором не только можно, а необходимо сотрудничать, чтобы добиться реального прогресса.

По словам Белого дома, его заявления следовало ожидать 19 декабря. Мы быстро сообщили Facebook и еще одной компании о том, что должны публично объявить о наших действиях против группы Zinc, если хотим двигаться вперед вместе. Однако утром за день до назначенной даты мы все еще были в одиночестве и ожидали решения двух других компаний. Я твердо решил, если придется, то мы выступим одни. На мой взгляд, единственное, что может удерживать страны от участия в кибератаках, это демонстрация способности давать эффективный ответ. Кто-то должен сделать первый шаг. Возможно, это будем мы.

Вечером пришла хорошая новость от Facebook – там решили выступить публично вместе с нами и рассказать о совместных действиях. Еще больше нас обрадовала новость, полученная на следующее утро, когда Боссерт выступал на пресс-конференции в Белом доме. По его словам, к заявлению Соединенных Штатов присоединились пять других государств – Австралия, Великобритания, Канада, Новая Зеландия и Япония. Впервые страны выступили совместно с публичным обвинением другого государства в кибератаке. Затем он объявил, что Microsoft и Facebook предприняли на прошлой неделе конкретные меры по ограничению возможностей группы, организовавшей кибератаку.

Действуя совместно, правительства и технологические компании добились большего, чем они могли бы сделать по отдельности. Вряд ли это стоит считать панацеей от глобальных киберугроз. Нельзя говорить здесь и о победе. Однако это, без всякого сомнения, новое начало.