Кибервойн@. Пятый театр военных действий Харрис Шейн

Льют была не единственной, кто считал, что Александер слишком дорого продал свой «секретный ингредиент».

«Есть предположение, что если какая-то информация засекречена, то это правдивая информация. Но это далеко не так, – говорит высокопоставленный чиновник из правоохранительных органов, который спорил с руководителями АНБ на нескольких совещаниях по вопросу лидирующей роли агентства в защите компьютерных сетей предприятий. – Мы можем представить политикам информацию с грифом секретности, ниже чем “совершенно секретно”, а они скажут “Нет, у нас есть сверхсекретный отчет, и в нем отражена истина”. И это трудно опровергнуть, поскольку АНБ не выкладывает на стол факты, как оно получило эту информацию и является ли она уникальной. Политики и граждане не получают точных сведений об угрозе и не видят всей картины».

Даже когда Александер встречался с высшими руководителями крупнейших технологических компаний, в том числе Google, которые довольно много знали о кибершпионах и атаках и имели финансовую заинтересованность в том, чтобы их остановить, он и тогда пытался убедить их, что информация от АНБ лучше и важнее. «Его позиция была такова: “Если бы вы только знали то, что знаем мы, вы бы очень испугались. Я тот единственный, кто может вам помочь”», – говорит бывший высокопоставленный чиновник, занимавшийся вопросами безопасности.

«Александер убедил многих законодателей и политиков, что у АНБ есть монополия в этом вопросе и что все должно решаться в Форт-Миде, – говорит бывший чиновник Администрации, который работал в области кибербезопасности. – И он использовал эту фразу – “секретный ингредиент”. Я тогда находился по другую сторону тайны. Не было там никакого “секретного ингредиента”. Это все полная чушь».

Первые два года работы Льют в Министерстве внутренней безопасности сохранялось незначительное напряжение. В феврале 2011 г. это напряжение проявило себя в публичной борьбе за сферы влияния. На конференции по вопросам оборонной промышленности, которая проходила в Колорадо-Спрингс, родном доме Академии ВВС США, Александер заявил, что АНБ должно играть лидирующую роль в защите киберпространства – пятого театра боевых действий. Он потребовал новых полномочий для обеспечения защиты от разрушительных атак на Соединенные Штаты. «Не в моей власти прекратить атаки на Уолл-стрит или промышленность, и этот изъян нужно исправить», – сказал он. Александер бросил перчатку, фактически объявив американское киберпространство милитаризованной зоной.

Александер планировал выступить с похожей речью через восемь дней на одной из крупнейших ежегодных конференций по компьютерной безопасности в Сан-Франциско. Конференцию должны были освещать крупнейшие газеты и профильные СМИ. Льют осадила его на ходу. 14 февраля, за три дня до его выступления, она вместе с другим руководителем Министерства внутренней безопасности опубликовала статью на сайте Wired, влиятельного журнала о технологиях. «Сегодня некоторые наблюдатели настойчиво и все громче бьют в барабан войны, призывая готовиться к битве, и даже утверждают, что Соединенные Штаты уже находятся в состоянии кибервойны, фактически проигрывая в ней, – написала Льют. – Мы с этим не согласны. Киберпространство – это не зона военных действий».

Это был прямой удар по Александеру. «Несомненно, здесь имеют место конфликты и злоупотребления, но киберпространство – это принципиально пространство гражданское, – писала Льют, – общие интересы, библиотека, место для торговли, школьный двор, мастерская – новая, восхитительная веха в человеческом опыте, образовании и развитии. Отдельные элементы всего этого являются частью американской оборонной инфраструктуры, которая должным образом охраняется солдатами. Но все же основная часть киберпространства – территория гражданская».

Александер был неудержим. Он выступил с речью, как и было запланировано, и повторил все те же тезисы. Через несколько дней он нанес ответный удар по Льют. «Есть много ребят, которые говорят, что им нравятся технические возможности АНБ… но они не хотят, чтобы АНБ влезало в защиту их сетей», – сказал Александер на конференции в Вашингтоне, посвященной внутренней безопасности, обеспечение которой было сферой деятельности Министерства внутренней безопасности. Он в штыки воспринял предположение не рваться его агентству на передовую, а отойти в сторону и оказывать помощь, только когда об этом попросят. Александер даже припомнил линию Мажино – длинную полосу железобетонных укреплений, построенных Францией на границе с Германией в 30-х гг. ХХ в. Он предположил, что Соединенные Штаты рискуют проиграть, если недооценят хитрость своих врагов и сосредоточатся исключительно на стратегическом подходе к собственной обороне. (Нацисты преодолели линию Мажино, обойдя ее с флангов. К такому повороту Франция не была готова, что в итоге привело к завоеванию страны в течение шести недель.)

Борьба за сферы влияния разгоралась. Белый дом все-таки отменил план Александера Tranche 2, и не потому, что Обама решил, будто АНБ не справится с защитой киберпространства, а потому, что план слишком сильно напоминал масштабную государственную программу наблюдения за гражданами. Администрация не отказывалась от основной идеи Александера. Просто было принято решение использовать существующую программу DIB, которая тоже была государственной программой по наблюдению, и проверить, смогут ли интернет-провайдеры отслеживать трафик с помощью секретной государственной информации – того самого «секретного ингредиента» АНБ. Это было компромиссное решение. АНБ не получит доступ к сетям компаний, но оно будет сливать им информацию через интернет-провайдеров.

Весной 2011 г. 17 оборонных предприятий добровольно согласились участвовать в пилотной программе. АНБ передавало информацию о цифровых угрозах трем крупным интернет-провайдерам – компаниям CenturyLink, AT&T и Verizon. Последние две из этого списка были близко знакомы с системой наблюдения АНБ, поскольку участвовали в массовой прослушке телефонов американцев вскоре после терактов 11 сентября. И во всех трех компаниях обычным делом было передавать ФБР и АНБ электронные письма и онлайн-данные своих клиентов.

В пилотной программе акцент был сделан на две контрмеры: изоляции входящих электронных писем, зараженных вредоносными программами, и предотвращении взаимодействия исходящего трафика с интернет-адресами злоумышленников. Большинство организаций отслеживали только входящий трафик и игнорировали данные, которые отправлялись из их систем. Хакеры использовали эту недоработку и часто маскировали похищаемые документы компаний под обычный исходящий трафик, прежде чем отправить эти документы на сервер, находящийся под управлением хакеров.

Пилотная программа прошла успешно. Независимый анализ, выполненный Университетом Карнеги-Меллона, одним из ведущих научно-исследовательских институтов в стране, показал, что интернет-провайдеры справились с получением и надежным сохранением секретной информации о цифровых угрозах. Но для хваленых кибервоинов из Форт-Мида были и плохие новости: из полученной от АНБ информации компании не узнали практически ничего нового. Этот факт подтверждал выводы Льют и других экспертов, которые сомневались в эффективности «секретного ингредиента» Александера.

Большая часть информации АНБ устаревала к тому моменту, когда она поступала получателям. Из 52 случаев вредоносной активности, обнаруженной во время работы пилотной программы, только два были результатом использования информации от АНБ. В остальных случаях компании справились сами, поскольку потратили несколько лет, чтобы построить свою систему сетевого наблюдения и укрепить собственную кибероборону.

АНБ могло несколько утешить то, что эти компании улучшили свою защиту, благодаря своевременному подключению к программе DIB в 2007 г., когда от них потребовали передавать информацию об угрозах и принимать государственную помощь, если они хотели продолжить работать в оборонной отрасли. Однако пилотная программа отсекла аргументы Александера о том, что только его агентство имеет необходимую квалификацию для защиты нации.

Не требовалось университетского образования, чтобы это понять. Еще в 2010 г. руководители корпораций начали задавать вопросы, действительно ли АНБ настолько продвинутое, как об этом говорит Александер. Во время совещания с гендиректорами в штаб-квартире Министерства внутренней безопасности Александер выступил с презентацией каталога сигнатур цифровых угроз, составленного АНБ. Как говорит один из участников совещания, гендиректор Google Эрик Шмидт наклонился к сидящему рядом с ним и прошептал: «Иными словами, он хочет сказать, что они потратили все эти деньги и в итоге получили только это? Мы все ушли уже намного дальше». Компания Google, как и многие другие крупные компании, часто подвергавшиеся атакам хакеров, имела собственные источники информации и уже начала операции по сбору сведений о хакерах из Китая. Источниками информации могли выступать частные компании, работающие в сфере компьютерной безопасности, такие как Endgame, продающие информацию об уязвимостях нулевого дня. Вместе с тем Google применяла и иные подходы: например, использовала более сильные алгоритмы шифрования данных своих пользователей и делала шаги в сторону внедрения протокола SSL, обеспечивающего сквозное шифрование для всех, кто пользуется сервисами Google. Шмидт сказал, что сами по себе сигнатуры цифровых угроз «больше не работают. Угрозы появляются не там, где АНБ устанавливает свое оборудование». Хакеры постоянно меняют методы своей работы и ищут новые точки входа. Они знают, что власти следят за ними, – именно поэтому они и меняют свою тактику.

Для Google, как и для других крупных компаний, имел значение не какой-то один «секретный ингредиент», но целое рагу из методов и технологий, рецепт которого постоянно менялся. Вообще говоря, компании относились к безопасности очень серьезно, вкладывая деньги в защиту своей информации и нанимая внешних экспертов для решения сложных задач.

Тем не менее Александер продолжал упорствовать. В 2011 г. он отправился в Нью-Йорк, где встретился с руководителями некоторых крупнейших финансовых организаций страны. Там, в конференц-зале на Манхэттене, он возомнил, что снова оказался в тайном кабинете Пентагона, как в 2007 г., и рассказывал титанам индустрии, какая огромная проблема стоит перед ними. Правда, ему простили это заблуждение.

АНБ уже делилось некоторой информацией о цифровых угрозах с банками через некоммерческую организацию, которая получила название Центра анализа и обмена информацией и была создана по инициативе самих банков. Эта система не работала в реальном времени, но она помогала банкам не отставать от современных тенденций в сфере безопасности и иногда получать ранние предупреждения о типах вредоносного ПО и методах взлома. Другие компании тоже создавали подобные центры для объединения своих коллективных знаний, однако считалось, что банки достигли лучших результатов в этой деятельности, поскольку могли потерять очень много (миллиарды долларов ежегодно вследствие киберкраж), а кроме того, их работа сильно зависела от сетей передачи данных.

Александер рассказал банкирам, что хочет расширить программу обмена информацией DIB и на банковский сектор, но на этот раз использовать одну хитрость. Александер объяснял, что будет намного легче обеспечить защиту компаний, если они позволят АНБ установить в своих сетях оборудование для наблюдения. Выкинут посредника. Дадут аналитикам из Форт-Мида прямую линию на Уолл-стрит.

В комнате повисла тишина. Руководители скептически переглядывались. Неужели этот человек говорит серьезно?

«Они подумали, что он сумасшедший, – говорит финансовый директор, присутствовавший на том совещании и встречавший Александера раньше. – Ведь он вел речь о частных сетях. Атаки, которые мы наблюдали в финансовом секторе, обычно проводились в Интернете в точке взаимодействия с клиентами – на сайты онлайн-банков или на сайт Nasdaq». Эти сайты подвергались в последние годы так называемым DDOS-атакам, которые перегружают серверы информационными запросами, что приводит к нарушению их работы, но не уничтожает данные о счетах, хранящихся на внутренних банковских компьютерах. Большая часть этих данных передается по сетям, которые не имеют соединения с глобальным Интернетом или эти соединения крайне ограничены. «Просто сказать, что банки открыты для атак из Интернета,будет неправдой. И Федеральная резервная система, Министерство финансов, биржевые брокеры, платежные системы – все они отлично разбираются в общей инфраструктуре финансовых услуг и в том, как она работает. Александер этого не понимал совершенно».

Компании, оказывающие финансовые услуги, не были равнодушны к киберугрозам. Две трети американских банков сообщили, что они подвергались DDOS-атакам, говорится в одном исследовании. Однако Александер предлагал компаниям взять на себя неоправданный риск. Он пытался внедрить в их компьютеры своих шпионов. Если бы о такой операции стало известно, политические последствия были бы чудовищными. Более того, компании могли понести ответственность за незаконную слежку, если бы агентство установило свое оборудования без судебного предписания.

Даже если бы банки пустили АНБ в свои сети, остается весьма спорным вопрос, как много агентство могло сообщить им того, чего они еще не знали из своих источников. Многие крупные американские банки создали собственные службы безопасности для отслеживания банковских краж и мошеннических действий с кредитными картами. Суммы денег, которые финансовые организации ежегодно теряют вследствие киберпреступлений, варьируют, по разным оценкам, в диапазоне от сотен миллионов до миллиардов долларов в зависимости от типа и масштаба преступления. Розыском хакерских банд, которые пытаются проникнуть в банковские сети и украсть деньги или осуществить мошеннические транзакции с кредитных карт, занимается ФБР, и бюро старается делиться с финансовыми организациями получаемой информацией. Однако зачастую специалисты из корпоративных служб безопасности опережают федеральных агентов.

В 2009 г. в штаб-квартире ФБР в Вашингтоне прошла встреча, на которой присутствовали около 30 чиновников из правоохранительных органов и разведслужб и сотрудники служб безопасности ведущих американских банков. «Всю первую часть встречи мы пытались выяснить, как происходит обмен информацией между службами финансового сектора и государственными службами, – говорит Стив Чабински, который был помощником заместителя директора ФБР по вопросам кибербезопасности, а теперь работает в частной компании CrowdStrike. – Все только глубоко вздыхали».

«Вы хотите от нас честности? – спросил представитель банковского совета по обмену информацией, созданного для общения между банками и властями. – Обмен осуществляется не лучшим образом. Мы добровольно передаем вам всю нашу информацию и ничего не получаем взамен».

ФБР возражало, утверждая, что только что передало банкам информацию о цифровых угрозах, в том числе список подозрительных интернет-адресов, связанных с киберпреступниками. На создание этого отчета было потрачено много усилий. Некоторые из представленных в нем сведений имели служебный гриф или даже были засекречены.

«Хорошо, – ответил представитель банка, – если это все, что вы можете, то мы в затруднительном положении. Ведь все эти сведения нам уже известны».

Банки обмениваются информацией друг с другом и покупают ее у частных информационно-аналитических компаний. Правительственные чиновники начали осознавать, что они не владеют монополией на сбор информации. Чабински сказал, что ФБР решило передавать банкам сводки о тех делах, которыми оно занималось, чтобы банки могли оценить глубину знаний бюро. Оказалось, что банки отслеживали каждое дело из этого списка, за исключением одного. Хакеры нацелились на сеть автоматического клирингового центра – электронной системы, которая обрабатывала основную массу транзакций, в том числе прямые депозиты, платежи по кредитным и дебетовым картам, электронные переводы средств между счетами. После кражи списка имен и паролей людей, использующих сеть, воры могли перевести деньги с множества счетов на общую сумму $400 млн. Банки уже были осведомлены, что хакеры охотились на клиринговую сеть, но не знали о масштабах атаки и конкретных методах похищения учетных данных. ФБР смогло определить, что это были за методы. Банки были благодарны за представленную им информацию. Они смогли устранить слабые места в своих системах безопасности. Но это был редкий случай, когда ФБР знало что-то, чего не знали сами банки.

Спецслужбы неохотно затевают преследование киберпреступников, особенно когда мошенники находятся в странах со слабым законодательством в сфере киберпреступлений, с которыми у США нет договоренностей об экстрадиции подозреваемых. «Русские предупредят хакеров о том, что мы следим за ними, и предложат изменить имена, так что нам будет труднее их найти», – говорит один из руководителей правоохранительных органов, работавший над расследованием киберпреступлений. В результате банки оказываются в незавидном положении, когда им приходиться рассчитывать только на свои силы в противостоянии с криминалом, амбиции и масштабы активности которого растут изо дня в день. Правоохранительные органы показали свое бессилие в сдерживании преступной деятельности.

Руководители финансовых организаций не поддержали план Александера по установке наблюдательного оборудования в их сетях. Но не смогли остановить его более масштабную кампанию. Вернувшись в Вашингтон, он пролоббировал решение о передаче АНБ полномочий по защите других критических отраслей экономики. Первым в списке был электроэнергетический сектор, следующим шло коммунальное водоснабжение. «Он хотел возвести стену вокруг важнейших организаций Америки… и установить оборудование для наблюдения в их сетях», – говорит бывший чиновник Администрации. Программа Tranche 2 была мертва, а пилотная программа DIB подорвала исключительную репутацию АНБ, но Александер активно продолжал свою работу. И главным образом, при поддержке Администрации президента. Пилотная программа удержалась от полного провала. Некоторые чиновники Администрации, в том числе из Министерства внутренней безопасности, говорили, что программа показала возможность организации передачи информации компаниям через отобранных властями посредников. Оказалось, что для защиты киберпространства они могут работать в союзе, каким бы непростым он не был. И хотя данные АНБ позволили выявить всего две уникальные угрозы, это все же лучше, чем ничего, утверждали эти чиновники.

Министерство внутренней безопасности получало номинальный контроль над расширяющейся DIB и открывало доступ к программе для необоронных компаний, благополучие которых было признано важным для национальной и экономической безопасности США. Правительство выбирает компании, нуждающиеся в особой защите, а информация об угрозах и большая часть технического анализа вредоносного ПО и методов взлома по прежнему остается прерогативой АНБ, работающего совместно с ФБР, деятельность и бюджеты которого были в значительно степени переориентированы с антитеррористической деятельности на кибербезопасность. По состоянию на 2013 г. в АНБ работало больше 1000 математиков – больше чем в любой другой организации США, более 900 кандидатов наук и более 400 компьютерных специалистов. Мозги и мускулы для обеспечения государственной киберобороны продолжали поступать из АНБ, и, возможно, так будет всегда.

Да, произошел бюрократический скандал, но в итоге власти усилили контроль над защитой киберпространства и рассматривают Интернет как стратегическое национальное достояние, как и обещал Обама в своей речи, произнесенной в Белом доме в мае 2009 г. Александер знал, что его агентство не сможет следить за каждой угрозой в Интернете; ему по-прежнему необходима информация от компаний. Поэтому он усиливал свое давление на общество. В своих речах и выступлениях в конгрессе он предупреждал о том, что хакеры совершенствуются, что количество киберпреступлений растет и что компании плохо оснащены для того, чтобы защитить себя. Он требовал усиления государственного регулирования в этой сфере, чтобы заставить компании повысить свои стандарты безопасности и предоставить судебный иммунитет тем из них, кто передает в АНБ для изучения информацию о коммуникациях своих клиентов без судебного предписания. Александер называл киберпреступность и шпионаж «величайшим перераспределением богатства в истории» и предупреждал, что до тех пор, пока американский бизнес не укрепит свою цифровую оборону, государство стоит перед перспективой «кибернетического Перл-Харбора».

«Мы видим возрастающий уровень активности в сетях, – предостерегал Александер на конференции по безопасности, проходившей в 2013 г. в Канаде, через два года после его встречи с руководителями финансовых организаций. – Я обеспокоен тем, что скоро будет преодолен предел, дальше которого частный сектор уже не сможет противостоять угрозе, и на сцену придется выйти государственным службам».

Некоторые компании уловили идею. Но не в том смысле, какой вкладывал Александер. Они прекрасно знали, что атаки хакеров усиливаются. Они видели, как те укореняются в их сетях и каждый день похищают данные. Но они решили, что, несмотря на громкие речи представителей АНБ, государство не сможет никого защитить. Компаниям придется защищаться самим.

11. Корпоративная контратака

В середине декабря 2009 г. программисты из штаб-квартиры Google, расположенной в городке Маунтин-Вью в Калифорнии, заподозрили, что хакеры из Китая получили доступ к личным аккаунтам электронной почты Gmail, в том числе тем, которые использовались китайскими правозащитниками, противостоящими властям Пекина. Как и большинство других крупных и известных интернет-компаний, Google и ее пользователи часто становились мишенями для кибершпионов и преступников. Но в этот раз, когда специалисты начали вникать в детали, они обнаружили, что имеют дело с необычной хакерской операцией.

Позже Google назовет эту операцию «крайне сложной и целенаправленной атакой, организованной Китаем, на нашу корпоративную инфраструктуру». Киберграбители смогли получить доступ к службе паролей, которая позволяла пользователям единовременно входить во множество приложений Google. Эта система была важнейшим объектом интеллектуальной собственности и относилась к «сокровищнице» исходных кодов компании. Google хотела получить конкретные доказательства взлома, которые можно было бы передать в американские правоохранительные органы и разведывательные службы. Для этого компания отследила источник взлома – сервер, расположенный на Тайване. Именно он получал украденные данные. Предположительно, этот сервер находился под управлением хакеров с материкового Китая.

«Google взломала этот сервер», – рассказывает бывший руководитель из разведслужбы, который был осведомлен о действиях компании. Он говорит, что в этом решении присутствовала некоторая доля правового риска. Был ли это случай ответного взлома? Точно так, как не существует закона, запрещающего домовладельцу следить за грабителем до его места жительства, так же и здесь Google не нарушила никаких законов, отследив источник вторжения в свои системы. Остается неясным, как специалисты компании смогли получить доступ к серверу, но, взяв его под свой контроль, они бы переступили черту закона только в том случае, если бы удалили или уничтожили бы данные на нем. Однако Google не стала ничего уничтожать. Фактически компания поступила неожиданно и беспрецедентно – она поделилась своей информацией.

Компания Google представила доказательства и раскрыла детали одной из самых крупных кампаний кибершпионажа в американской истории. Доказательства показывали, что китайские хакеры проникли в системы примерно трех десятков разных компаний, среди которых оказались технологические гиганты Symantec, Yahoo, Adobe, оборонный подрядчик Northrop Grumman, производитель оборудования Juniper Networks. Такой широкий охват не позволял выделить какую-то одну причину этой атаки. Был ли это промышленный шпионаж? Слежка за правозащитниками? Может быть, Китай пытался получить некий шпионский плацдарм в ключевых секторах американской экономики или, что хуже, внедрить вредоносное ПО в оборудование, используемое для управления важнейшими объектами инфраструктуры? Единственное, в чем Google, казалось, была уверена, так это в том, что хакерская операция была масштабной и продолжительной и что за ее реализацией стоял Китай. Не просто независимые хакеры, а китайские власти, у которых были средства и мотивы для начала столь массированной атаки.

Google поделилась своими находками с другими компаниями, ставшими объектами атаки, а также с американскими правоохранительными органами и разведывательными службами. В течение последних четырех лет руководители корпораций тайно давили на государственных чиновников, призывая их обнародовать информацию о шпионаже и, пристыдив Китай, заставить его прекратить свою кампанию. Но, для того чтобы президент Обама или госсекретарь Хиллари Клинтон могли выступить с речью и указать пальцем на эту страну, нужны были неопровержимые доказательства, которые бы подтверждали, что источники атак находятся в Китае. А глядя на материалы, предоставленные компанией Google, государственные аналитики не были уверены, что такие доказательства у них есть. Американские чиновники решили, что взаимоотношения между двумя крупнейшими экономиками были слишком хрупкими, а опасность развития конфликта слишком велика, чтобы публиковать то, что узнала Google.

Google с этим не согласилась.

Заместитель госсекретаря Джеймс Штейнберг был на вечернем приеме в Вашингтоне, когда его помощник принес срочное сообщение: Google собирается сделать публичное заявление о китайской шпионской кампании. Штейнберг, второй человек в Америке по вопросам внешней политики, сразу же осознал значимость принятого компанией решения. Вплоть до этого момента американские корпорации не изъявляли желания публично обвинять Китай в шпионских действиях или в краже интеллектуальной собственности. Компании боялись потерять доверие инвесторов и клиентов, а потому приглашали хакеров со стороны, чтобы те искали наиболее слабые места в корпоративной системе безопасности, и посылали проклятия в адрес государственных чиновников Китая, которые могли легко отменить доступ к одному из крупнейших и самых быстро растущих рынков товаров и услуг в США. Для любой компании выступление против Китая имело бы огромное значение. Но для Google, самой влиятельной компании эпохи Интернета, подобное выступление было историческим.

На следующий день, 12 января 2010 г., старший сотрудник по правовым вопросам компании Google Дэвид Драммонд опубликовал объемное заявление в блоге компании, в котором обвинял хакеров из Китая в атаке на инфраструктуру Google и критиковал китайские власти за цензуру в Интернете и подавление правозащитного движения. «Мы сделали неожиданный шаг, поделившись информацией об этих атаках с широкой аудиторией. Мы пошли на это не только из-за того, что обнаружили нарушение безопасности и гражданских прав, но еще и потому, что эта информация позволит начать более масштабную дискуссию о свободе слова», – сказал Драммонд.

В то же время чиновники Госдепартамента увидели редкую возможность оказать давление на Китай. Той ночью Хиллари Клинтон выступила с собственным заявлением. «Мы получили информацию об этих обвинениях от Google, и полученные сведения поднимают очень серьезные вопросы и проблемы. Мы ждем объяснений от китайских властей, – сказала она. – Возможность доверительной работы в киберпространстве крайне важна для современных общества и экономики».

Эти дипломатические маневры имели крайне важное значение. Администрация Обамы получила от Google благоприятную возможность для обвинения Китая в шпионаже, не выдвигая при этом собственных убедительных доводов. Чиновники могли просто сослаться на факты, обнаруженные компанией Google в результате ее собственного расследования. «Нам представился удобный случай для обсуждения этих вопросов без необходимости привлечения секретных источников или деликатных методов [сбора информации]», – сказал Штейнберг. Администрация не была предупреждена о решении Google, которое вступало в противоречие с нежеланием некоторых чиновников выводить обсуждение шпионажа в публичную сферу. Но теперь, когда все случилось, никто не жаловался. «Это было их решение. У меня, безусловно, нет никаких возражений», – говорит Штейнберг.

Администрация Обамы начала ужесточать тон общения с Китаем, и первой ласточкой стала речь Клинтон, посвященная ее инициативе о свободе в Интернете (Internet Freedom initiative), которую она произнесла девятью днями позже. Она призвала Китай отменить цензурирование поисковых запросов в Интернете и прекратить блокировку доступа к сайтам, публикующим критику в адрес руководителей страны. Клинтон уподобила эти виртуальные барьеры Берлинской стене.

Со своей стороны Google заявила, что она прекратит фильтрацию результатов поиска по словам и темам, запрещенным государственной цензурой. И если Пекин будет возражать, Google готова повысить ставки и полностью покинуть китайский рынок, потеряв миллиарды долларов потенциальной прибыли. Из-за этого заявления другие американские технологические компании оказались в двусмысленном положении. Будут ли они и дальше мириться с вмешательством властей и подавлением свободы слова, чтобы сохранить свой бизнес в Китае?

После заявления Google другим компаниям стало проще признать, что они подверглись хакерским атакам. В конце концов, если подобное случилось с Google, то могло произойти и с любой другой компанией. Шпионаж со стороны Китая мог даже стать знаком отличия, показывающим, что компания имеет достаточно важное значение и привлекает внимание сверхдержавы. Одной лишь записью в своем блоге Google изменила глобальное обсуждение кибернетической безопасности.

Также компания показала, что довольно много знает о китайских шпионах. АНБ захотело понять, насколько много.

Google известила АНБ и ФБР о том, что ее сети были взломаны хакерами из Китая. ФБР, будучи правоохранительным агентством, могло начать расследование этого проникновения как уголовного преступления. Однако АНБ требовалось разрешение компании Google для того, чтобы принять участие в расследовании и помочь оценить брешь в защите. В тот день, когда юрист Google написал свой пост в блоге компании, главный юрисконсульт АНБ начал готовить проект «соглашения о совместном исследовании и развитии». Это правовое соглашение изначально было разработано на основании закона 1980 г. для ускорения коммерческого развития новых технологий, заинтересованность в которых была как у компаний, так и у государства. Цель соглашения заключалась в том, чтобы создать что-то новое – какое-то устройство или технологию например. Компания, участвующая в соглашении, не получала денег, но могла рассчитывать на то, что государство примет на себя расходы на исследование и разработку, а кроме того, она могла использовать государственное оборудование и привлекать специалистов из госструктур для проведения исследований. Каждая из сторон сохраняла результаты сотрудничества в секрете до тех пор, пока обе стороны не принимали решения об их обнародовании. В итоге компания получила исключительные патентные права на создание того, что было разработано общими усилиями, а государство могло использовать любую информацию, полученную в рамках сотрудничества.

Не понятно, что именно АНБ и Google создали после обнаружения китайского проникновения. Однако в процессе написания соглашения представительница агентства сделала несколько намеков. «В общем случае, в части своей миссии по обеспечению информационной безопасности, АНБ работает с широким спектром коммерческих партнеров и исследовательских объединений, чтобы гарантировать доступность безопасных специализированных решений для Министерства обороны и клиентов систем национальной безопасности», – сказала она. Фраза про «специализированные решения» звучала очень интригующе. Эта фраза предполагает существование чего-то, сделанного по заказу агентства, для того чтобы оно могло выполнять свои функции по сбору информации. По рассказам чиновников, знакомых с деталями соглашения Google и АНБ, компания соглашалась предоставлять информацию о трафике в своих сетях АНБ в обмен на разведданные об иностранных хакерах. Услуга за услугу, информация в обмен на информацию. А с точки зрения АНБ информация в обмен на защиту.

Совместное соглашение и ссылка на «специализированное решение» явно намекали на то, что Google и АНБ разработали устройство или технологию выявления вторжений в сети компании. Таким образом, АНБ могло бы получать ценную информацию для своей так называемой системы активной защиты, которая использует сочетание автоматизированного оборудования и специальных алгоритмов для обнаружения вредоносного ПО или признаков надвигающейся атаки и принимает меры по противодействию им. Одна система под названием «Паника» (Turmoil) распознает трафик, который может оказаться опасным. Затем другая автоматическая система «Турбина» (Turbine) принимает решение, пропустить этот трафик или заблокировать его. Turbine также может предложить какую-либо атакующую программу или хакерскую методику, которую оператор сможет применить для нейтрализации источника вредоносного трафика. Он может сбросить интернет-соединение источника трафика или перенаправить трафик на сервер, находящийся под контролем АНБ. Там источник может быть инфицирован вирусом или шпионской программой, с помощью которой АНБ сможет продолжить наблюдение за ним.

Чтобы Turbine и Turmoil работали, АНБ была нужна информация, особенно сведения о передаваемых по сети данных. Google со своими миллионами клиентов по всему миру фактически была каталогом людей, пользующихся Интернетом. Компания владела их адресами электронной почты. Знала, где они находятся физически, когда входят в сеть. Знала, что они ищут в сети. Власти могут приказать компании передавать им эту информацию, что они и делают в рамках программы PRISM, в которой компания Google участвовала в течение года еще до того, как подписала совместное соглашение с АНБ. Однако этот инструмент используется для поиска людей, подозреваемых властями в террористической деятельности или шпионаже. Миссия АНБ по обеспечению киберзащиты подразумевает более широкий обзор сетей в поисках потенциальных угроз, иногда еще до того, как становится известно, где находится источник этих угроз. В пользовательском соглашении компания Google уведомляет своих клиентов о том, что может передавать их «персональные данные» во внешние организации, в том числе в государственные агентства, для «обнаружения, предотвращения или принятия иных мер по отношению к мошенническим действиям, проблемам безопасности или техническим вопросам», а также для «защиты прав, собственности или безопасности Google». По словам людей, знакомых с деталями соглашения между АНБ и Google, оно не дает властям разрешение на чтение электронных писем пользователей Google. Власти могут делать это в рамках программы PRISM. Наоборот, это соглашение позволяет АНБ анализировать аппаратное и программное обеспечение Google в поисках уязвимостей, которыми могут воспользоваться хакеры. Учитывая, что АНБ является единственным крупнейшим хранителем информации об уязвимостях нулевого дня, эти сведения могут помочь сделать Google более безопасной, чем другие компании, которые не предоставляют доступ к своим драгоценным секретам. Соглашение также позволяет агентству анализировать уже свершившиеся взломы, чтобы в дальнейшем оказывать помощь при отслеживании их источника.

Google взяла на себя риск, сопутствующий сотрудничеству с АНБ. Корпоративный девиз компании «Не будь злым», кажется, не стыкуется с работой под прикрытием разведывательного кибервоенного агентства. Однако Google получила полезную информацию в обмен на свое сотрудничество. Вскоре после разоблачения Китая власти предоставили Сергею Брину, сооснователю компании Google, временный допуск к секретной информации, который позволил присутствовать на закрытых совещаниях, где обсуждалась операция против его компании. Государственные аналитики пришли к выводу, что вторжение координировалось подразделением Народно-освободительной армии Китая. Это была самая специфическая информация об источнике вторжения, которую компания Google смогла получить. Эти данные могли помочь компании укрепить свои системы, заблокировать трафик от определенных интернет-адресов и принять более обоснованное решение о том, стоит ли вообще продолжать работать в Китае. Руководители Google могли с пренебрежением относиться к «секретному ингредиенту» АНБ. Однако, когда компания подверглась атаке, она обратилась за помощью именно в Форт-Мид.

В своем блоге Google рассказала, что более 20 компаний подверглись атаке со стороны китайских хакеров в рамках операции, получившей позже название «Аврора» (Aurora) по имени файла на компьютере атакующих. Вскоре компания, занимающаяся информационной безопасностью, определила, что объектов атаки было около трех десятков. В действительности, охват китайского шпионажа был и остается намного шире.

Эксперты по безопасности, как государственные так и независимые, дали название хакерам, которые стоят за такими атаками, как Aurora, направленными против тысяч разных компаний, работающих практически в каждом секторе экономики США. Они назвали таких хакеров «повышенной постоянной угрозой» (advanced persistent threat, APT). Название грозное и с подтекстом. Когда государственные чиновники говорят об APT, чаще всего они имеют в виду Китай, а еще конкретнее – хакеров, работающих под управлением или по поручению китайских властей.

Слово «повышенная» в этом описании частично относится к хакерским методикам, которые ничуть не уступают в эффективности методам, применяемым АНБ. Китайские кибершпионы могут использовать приложения для общения и отправки мгновенных сообщений на зараженном компьютере, чтобы связываться с управляющим сервером. Они могут установить вредоносную программу и затем удаленно ее настроить, добавив новые возможности по сбору информации. Государственные структуры, поддерживающие всю эту шпионскую деятельность, весьма совершенны и гораздо лучше организованы, чем малочисленные банды кибервандалов или активисты вроде группы Anonymous, которые шпионят за компаниями в политических целях. Они даже лучше организованы, чем российские криминальные группы, которые чаще всего заинтересованы в похищении банковских данных и сведений о кредитных картах. Китай готов к долгой игре. Его руководители хотят, чтобы экономика страны и промышленная мощь достигли максимального уровня за одно поколение, и готовы воровать знания, необходимые для достижения этой цели. Так говорят американские власти.

Здесь в игру вступает слово «постоянная» из описания этой угрозы. Сбор такого огромного объема информации из столь многочисленных источников требует максимального напряжения сил, воли и финансовых ресурсов, ведь нужно испытать множество различных методов взлома, в том числе и дорогостоящие эксплоиты нулевого дня. Как только шпионам удается найти плацдарм, обосноваться в корпоративной сети, сами они уже не уйдут, пока их не вытолкнут силой. И даже тогда они быстро возвращаются. «Угроза», которую подобный шпионаж несет американской экономике, состоит в упущенной выгоде и в потере стратегической позиции. Вместе с тем существует опасность, что китайские военные обзаведутся скрытыми точками входа в системы управления жизненно важными объектами инфраструктуры США. Американские чиновники из разведки полагают, что китайские военные уже составили схему управляющих инфраструктурных сетей, так что если два государства когда-либо окажутся в состоянии войны, китайцы смогут нанести удар по американским объектам, таким как электрические сети или газовые трубопроводы, не прибегая к запуску ракет или отправке флотилии бомбардировщиков.

Операция Aurora позволила сделать первую беглую оценку широты использования эксплоитов APT. Впервые в контексте китайской шпионской деятельности были названы конкретные компании. «Масштаб этой деятельности намного больше, чем кто-либо мог себе вообразить», – сказал Кевин Мандиа, генеральный директор и президент компании Mandiant, расположенной недалеко от Вашингтона и занимающейся компьютерной безопасностью и криминалистикой. АРТ представляет собой хакерскую деятельность, которая ведется на государственном, стратегическом уровне. «Скомпрометированы не 50 компаний. Опасности подвергаются тысячи компаний. Опасности настоящей. Прямо сейчас», – сказал Мандиа, ветеран киберрасследований, который начал карьеру в качестве офицера компьютерной безопасности в военно-воздушных силах и работал над расследованием киберпреступлений. Mandiant стала профессиональной организацией, в которую компании обращались, когда обнаруживали, что шпионы проникли в их компьютерные сети. Вскоре после взлома Google Mandiant раскрыла детали собственного расследования на закрытой встрече с представителями Министерства обороны за несколько дней до опубликования этой информации.

АРТ – это не единая организация, но совокупность хакерских групп, куда входят команды, работающие на Народно-освободительную армию Китая, а также так называемые хакеры-патриоты – инициативная молодежь, помешанная на компьютерах, которая хочет послужить своей стране. В китайских университетах множество студентов, обучающихся компьютерным наукам, после окончания идут работать в военные организации. Наиболее важными качествами хакеры АРТ считают хитрость и терпение. Они используют уязвимости нулевого дня и устанавливают бэкдоры. Они тратят время на идентификацию сотрудников в интересующей их организации, затем отправляют им тщательно подготовленные фишинговые электронные письма, снабженные шпионским ПО. Они проникают в организацию и часто находятся там месяцами или даже годами, прежде чем кто-то обнаружит их присутствие, и все это время скачивают схемы и чертежи, читают электронные письма и просматривают вложения к ним, отслеживают уволившихся и вновь принятых сотрудников, которые могут стать в будущем объектами для атаки. Иными словами, китайские шпионы ведут себя точно так же, как их американские коллеги.

Ни одна разведывательная организация не сможет выжить, если не будет знать своего врага. С такой обширной сетью наблюдения, как у АНБ, иногда проще получить точную информацию о хакерских кампаниях от самих объектов атаки. Именно поэтому АНБ сотрудничает с Google. Именно поэтому власти выслушали частных сыщиков из Mandiant, когда те пришли с информацией об АРТ. Защита киберпространства – слишком масштабная работа даже для лучшего в мире шпионского агентства. Нравится им это или нет, но АНБ и корпорации должны бороться с врагом вместе.

Сергей Брин – всего лишь один из сотен директоров, которые были допущены в тайный круг АНБ. Начиная с 2008 г. агентство предлагает руководителям компаний временное право допуска к закрытой информации, иногда сроком всего на один день. Это дает им возможность присутствовать на закрытых брифингах по проблемам киберугроз. «Агентство могло пригласить кого-нибудь из руководителей на один день и познакомить со множеством пикантных фактов об опасностях, грозящих бизнесу в Соединенных Штатах», – говорит руководитель телекоммуникационной компании, который присутствовал на нескольких таких встречах, проводимых примерно три раза в год. Директора должны были подписать соглашение о неразглашении любой информации, полученной ими в ходе брифинга. «Их многословно предупреждали, что, если нарушишь это соглашение, тебя арестуют, осудят и ты проведешь остаток своих дней в тюрьме», – говорит руководитель.

Почему люди соглашались с такими суровыми требованиями? «Пусть на один день, но они становились особенными и могли видеть вещи, доступные лишь немногим», – говорит руководитель телекоммуникационной компании, который благодаря регулярной работе над секретными проектами имел высокий уровень доступа к закрытой информации и сведениям о самых тайных операциях АНБ, в том числе о незаконной программе слежки, реализация которой началась после терактов 11 сентября. «[На этих закрытых встречах] Александер приобрел много личных друзей среди директоров компаний, – добавляет источник. – Я присутствовал на некоторых из них и сказал как-то: “Генерал, вы рассказываете этим парням такие вещи, утечка информации о которых может подвергнуть нашу страну опасности”. А он ответил: “Я знаю. Но это осознанный риск, на который мы вынуждены пойти. И если утечка произойдет, все они предупреждены о последствиях”».

Однако агентству не было нужды запугивать руководителей компаний, чтобы привлечь их внимание. Разоблачения агентства, касающиеся похищенных данных и вражеских взломов пугают сами по себе, и это сделано специально. «Мы пугаем их до чертиков», – сказал госчиновник, выступая на Национальном общественном радио в 2012 г. Некоторые из руководителей выходили с подобных совещаний с теми же чувствами, которые испытали оборонные подрядчики, «поседевшие» после встречи в Пентагоне летом 2007 г. Неуверенные в собственных силах, некоторые директора обратились в частные охранные компании, такие как Mandiant. «Я лично знаю одного генерального директора, жизнь которого сильно изменилась после закрытого совещания в АНБ по вопросам киберугроз, – рассказал Ричард Бейтлич, старший офицер безопасности Mandiant, в интервью Национальному общественному радио. – Генерал Александер усадил его и рассказал, что происходит. Этот руководитель, на мой взгляд, должен был знать о тех угрозах, которые стоят перед его компанией, но он не знал, и теперь эта информация заставила его переосмыслить все, что он думал об этой проблеме».

У АНБ и частных охранных компаний сложились взаимовыгодные отношения. Власти запугивали руководителей, а те бежали за помощью к экспертам, таким как Mandiant. Эти компании, в свою очередь, делились с властями сведениями, которые они получали в результате своих расследований. Например, именно так поступила Mandiant после взлома сетей компании Google в 2010 г. АНБ также использовало закрытые брифинги для того, чтобы побудить компании укреплять свои средства защиты. На одной встрече, прошедшей в 2010 г., представители агентства заявили, что они обнаружили уязвимость в биосе персональных компьютеров – коде, вшитом в память машины и управляющем ее работой. Эта уязвимость давала хакерам возможность превратить компьютер в «кирпич», сделав его абсолютно бесполезным. Руководители компаний – производителей компьютеров, которые присутствовали на этой встрече и были заранее проинформированы об этой уязвимости, распорядились ее устранить.

Закрытые совещания на высшем уровне – это только один из методов, применяемых АНБ для организации альянсов с корпорациями. Некоторые секретные программы позволяют компаниям передавать документацию по своим продуктам агентству, чтобы оно могло провести анализ на наличие уязвимостей, а в некоторых случаях установить бэкдоры или иные средства для доступа. Среди компаний, которые раскрывали АНБ информацию о своих продуктах, были производители компьютеров, серверов и сетевых маршрутизаторов, разработчики популярного программного обеспечения (в том числе и Microsoft), поставщики услуг электронной почты и интернет-провайдеры, телекоммуникационные компании, производители спутников, антивирусные компании и разработчики алгоритмов шифрования.

АНБ оказывало компаниям помощь в поиске слабых мест в их продуктах. При этом агентство платило компаниям, чтобы те не устраняли некоторые из обнаруженных уязвимостей. Наличие слабых мест давало агентству точку входа для ведения шпионажа или проведения атак на иностранные государства, в разведывательных агентствах, военных ведомствах и ключевых объектах инфраструктуры которых устанавливались эти продукты. К примеру, Microsoft, по словам представителей компании и американских властей, передавала АНБ сведения об уязвимостях нулевого дня в своих программных продуктах еще до публикации официальных предупреждений и выхода программных обновлений. По сведениям профессионала в области кибербезопасности, который обучал сотрудников АНБ технологиям цифровой защиты, компания Cisco, один из ведущих мировых производителей сетевого оборудования, оставляла бэкдоры в своих маршрутизаторах, чтобы американские агентства могли отслеживать работу оборудования. Компания McAfee, работающая в сфере обеспечения безопасности в Интернете, перенаправляла в АНБ, ЦРУ и ФБР потоки сетевого трафика, результаты анализа вредоносного ПО и информацию о тенденциях развития хакерской активности.

Чиновники и эксперты, знакомые с ситуацией, говорят, что компании, которые обещают раскрывать сведения о дырах в безопасности своих продуктов только шпионским агентствам, получают деньги за свое молчание. Более того, закон требует наличия подобных дыр, через которые власти могут вести наблюдение. Прежде всего это относится к телекоммуникационным компаниям, которые обязаны так проектировать свое оборудование, чтобы правоохранительные органы при наличии судебного разрешения могли легко организовать прослушку, как раньше на проводных линиях телефонной связи. Однако, когда АНБ собирает информацию за границей, на деятельность агентства эти законы уже не распространяются. Но, с другой стороны, наблюдение, которое ведется агентством с помощью бэкдоров и секретных уязвимостей в аппаратном и программном обеспечении, во многих странах противоречит местным законам.

Конечно, бэкдорами и неустраненными уязвимостями могут воспользоваться и хакеры. В 2010 г. исследователь из компании IBM обнаружил дыру в системе безопасности операционной системы Cisco, благодаря которой хакер мог использовать бэкдор, предназначавшийся исключительно для правоохранительных органов. Хакер мог взломать оборудование Cisco и воспользоваться им для отслеживания всего проходящего трафика, в том числе и содержимого электронных писем. Когда технологические продукты, особенно широко распространенные программные продукты типа производимых компанией Microsoft, остаются уязвимыми для атак, то опасности подвергаются миллионы пользователей и их личная информация, а также электрические станции, объекты коммунальных служб и транспортные системы.

По американскому законодательству руководители компаний обязаны получать уведомления всякий раз, когда власти используют их продукты, сервисы или оборудование для наблюдения и сбора информации. Некоторые из этих соглашений об обмене информацией заключаются самими руководителями и могут быть просмотрены только некоторыми юристами. Выгода от подобного сотрудничества может быть довольно заметной. Джон Чамберс, руководитель Cisco, стал другом Джорджа Буша, когда тот занимал президентское кресло. В апреле 2006 г. Чамберс и президент обедали в Белом доме вместе с Генеральным секретарем Центрального комитета Коммунистической партии Китая Ху Цзиньтао, а на следующий день Буш позволил Чамберсу лететь на «Борту номер один» в Сан-Хосе, где президент и Чамберс приняли участие в круглом столе, проходившем в штаб-квартире Cisco и посвященном конкурентоспособности американского бизнеса. Губернатор Калифорнии Арнольд Шварценеггер также присутствовал на той встрече. Близость к политической власти уже сама по себе награда. Кроме того, привилегированные компании иногда получают ранние оповещения от властей о грозящих им опасностях.

Министерство внутренней безопасности также проводит встречи с компаниями в рамках своих инициатив «межотраслевых рабочих групп». Эти встречи дают шанс руководителям из корпоративного мира, с которыми власти делятся информацией, пообщаться друг с другом и послушать американских чиновников. Участники подобных встреч зачастую обладают допуском к закрытой информации и проходят предварительные проверки и опросы. Министерство открыто публикует расписание и программу некоторых встреч, но не раскрывает названия компаний-участников и сохраняет в секрете многие детали обсуждаемых проблем. В период с января 2010 г. по октябрь 2013 г., судя по сведениям, которые удалось получить из открытых источников, власти провели не менее 168 встреч с компаниями только в рамках межотраслевых рабочих групп. На самом деле проходили еще сотни встреч, распределенных по отраслям экономики: например, в области энергетики, телекоммуникаций и транспорта.

Обычно эти встречи подразумевали проведение «брифинга по киберугрозам» представителями американских властей, как правило, из АНБ, ФБР или Министерства внутренней безопасности; получение последних новостей о конкретных инициативах, таких как повышение безопасности банковских сайтов, совершенствование процедуры обмена информацией между коммунальными предприятиями или учет вредоносного ПО. Кроме того, проходило обсуждение «средств безопасности», разработанных государством и частными компаниями, вроде тех, которые используются для обнаружения взломщиков в сети. Одно из совещаний, прошедшее в апреле 2012 г., было посвящено «сценариям обмена информацией для обеспечения активной защиты» – разработанной АНБ процедуре нейтрализации киберугроз до того, как они приведут к существенному ущербу. В этом случае имелся в виду информационный обмен не между государственными службами, а между корпорациями.

На большей части встреч речь шла о защите промышленных систем управления – подключенных к Интернету устройств, которые контролируют работу оборудования электростанций, ядерных реакторов, банков и других жизненно важных объектов. Именно эти слабые места американского киберпространства больше всего тревожили руководителей разведки. Именно эта тема так оживила Джорджа Буша в 2007 г., и именно к ней Барак Обама обратился в своей публичной речи двумя годами позже. Рассекреченные сведения о программе этих встреч позволяют взглянуть, какие именно проекты реализовали компании и государство для создания внутренней киберобороны.

23 сентября 2013 г. Межотраслевая рабочая группа по базовым операциям для устойчивой безопасности (Cross Sector Enduring Security Framework Operations Working Group) обсуждала изменения, вносимые в законодательную инициативу под названием «Установление связи между ведущими операторами и государственным оперативным центром» (Connect Tier 1 and USG Operation Center). Под Tier 1 обычно подразумевается крупный интернет-провайдер или сетевой оператор. Некоторые из самых известных компаний уровня Tier 1 в Соединенных Штатах – это AT&T, Verizon и CenturyLink. Аббревиатура USG расшифровывается как United States Government – правительство Соединенных Штатов. Скорее всего, инициатива имела отношение к организации канала передачи данных между оборудованием АНБ и этими компаниями и являлась расширением пилотной программы DIB. Расширение программы было санкционировано в феврале 2013 г. президентским указом, направленным на повышение уровня безопасности ключевых объектов инфраструктуры по всей стране. Власти передавали, преимущественно через АНБ, информацию об угрозах двум интернет-провайдерам – AT&T и CenturyLink. Те, в свою очередь, могли продавать «расширенные услуги киберзащиты» компаниям, которые государственные власти признавали жизненно важными для национальной и экономической безопасности. Формально этой программой руководит Министерство внутренней безопасности, однако информационное обеспечение и техническую экспертизу осуществляет АНБ.

Благодаря такому обмену информацией государство создало кибероборонный бизнес. AT&T и CenturyLink фактически выступают частными караульными, продающими защиту избранным корпорациям и промышленным предприятиям. AT&T имеет одну из самых долгих историй сотрудничества с государством в сфере надзора. Компания была среди тех первых фирм, которые после терактов 11 сентября добровольно передавали АНБ записи о звонках своих клиентов, чтобы агентство могло проанализировать их в поисках потенциальных связей с террористами, – эта программа сотрудничества продолжается по сей день. Большинство телефонных звонков в Соединенных Штатах проходят через оборудование AT&T независимо от того, в сети какого оператора был инициализирован вызов. Инфраструктура компании является одним из самых важных и наиболее часто прослушиваемых хранилищ электронной информации для АНБ и американских правоохранительных органов.

Компания CenturyLink, штаб-квартира которой находится в городе Монро, в течение многих лет была мало известна в разведывательном сообществе. Однако в 2011 г. она приобрела телекоммуникационную фирму Qwest Communications, с которой АНБ было очень хорошо знакомо. Еще до террористической атаки 11 сентября представители АНБ выходили на руководителей Qwest и просили их предоставить доступ к высокоскоростным оптоволоконным сетям для наблюдения и выявления потенциальных кибератак. Компания давала категорический отказ на все запросы агентства, поскольку его представители не имели судебного разрешения на получение доступа к оборудованию компании. После террористической атаки АНБ снова обратилось к Qwest с просьбой передать агентству записи телефонных разговоров клиентов компании без судебной санкции, как это сделала AT&T. И снова компания отказала. Только спустя 10 лет, когда компания была продана, сети Qwest стали частью расширенной аппаратной структуры безопасности АНБ.

Потенциальная клиентская база для реализации поставляемой государством киберинформации, продаваемой через корпорации, настолько же широка и разнообразна, насколько разнообразна сама экономика США. Чтобы получить эту информацию, компания должна удовлетворять государственному определению ключевого объекта инфраструктуры: «имущество, системы и сети, физические или виртуальные, настолько жизненно необходимые США, что их выход из строя или уничтожение может подорвать обороноспособность страны, национальную экономическую безопасность или национальную систему здравоохранения». Может показаться, что это определение довольно узкое, однако категории ключевых объектов инфраструктуры многочисленны, разнообразны и охватывают тысячи различных направлений деятельности. Официально выделены 16 секторов: химическая промышленность; коммерческие предприятия, включая торговые центры, спортивные учреждения, казино и парки отдыха; линии связи; ключевые промышленные предприятия; плотины; военно-промышленный комплекс; экстренные службы, такие как службы оперативного реагирования и поисково-спасательные службы; энергетические предприятия; здравоохранение; информационные технологии; ядерные реакторы, материалы и отходы; транспортные системы; системы водоснабжения и канализации.

Невозможно представить, чтобы каждая компания из подобного списка рассматривалась как столь «жизненно необходимая Соединенным Штатам», что прекращение ее работы нанесет урон национальной безопасности и здоровью нации. Кроме того, за годы, прошедшие после терактов 11 сентября, государство раскинуло такую широкую защитную сеть, что практически каждая компания могла быть объявлена ключевым объектом инфраструктуры. Власти не раскрывают сведения о том, какие компании получают информацию о киберугрозах. К тому же на данный момент участие в программе остается добровольным. Тем не менее законодатели и некоторые представители разведслужб, в том числе Кит Александер и другие сотрудники АНБ, вынуждали конгресс урегулировать стандарты кибербезопасности для владельцев и операторов ключевых объектов инфраструктуры. Если бы это произошло, то власти смогли бы потребовать, чтобы все компании, начиная с Pacific Gas & Electric и заканчивая Harrah’s Hotels and Casinos, приняли государственную помощь, делились информацией о своих клиентах с разведслужбами и выстраивали свою киберзащиту согласно государственным стандартам.

В 2013 г. в своем выступлении главный советник Пентагона по кибербезопасности генерал-майор Джон Дэвис объявил, что Министерство внутренней безопасности и Министерство обороны работали вместе над планом расширения оригинальной программы DIB на другие сектора экономики. Дэвис сказал, что они собирались начать с энергетики, транспорта и нефтегазовой отрасли – с «тех, кто является ключевыми для миссии Министерства обороны, национальной экономики и государственной безопасности и которых мы не можем контролировать непосредственно». Генерал назвал «неизбежной угрозой» раскрытие хакерами структуры этих систем и потенциальные атаки на них. Государство само никогда не справится с обеспечением столь всестороннего режима безопасности. Оно не может справиться и сейчас, и именно поэтому полагается на сотрудничество с AT&T и CenturyLink. Гораздо больше компаний обратится к реализации этой миссии, как только государство расширит пределы кибернетического периметра. Потенциальный рынок для услуг в сфере кибернетической безопасности практически безграничен.

12. Весеннее пробуждение

Соединенные Штаты ни разу не подвергались крупным кибератакам, результатом которых могло бы стать нарушение работы ключевых объектов инфраструктуры. Однако в начале 2012 г. некоторые чиновники заволновались, решив, что то, чего они так долго боялись, может произойти. В марте того года по меньшей мере 20 компаний, обслуживающих газовые трубопроводы в США, обратились в Министерство внутренней безопасности с информацией о подозрительных электронных письмах, отправленных сотрудникам этих компаний. Письма приходили от якобы знакомых людей или коллег – обычный метод фишинга. Некоторые сотрудники – до сих пор неизвестно, сколько их было – открыли эти письма и запустили таким образом шпионское ПО в корпоративные сети операторов трубопроводов. У хакеров не было доступа к системам управления трубопроводами, однако они опасно приблизились. Если бы операторы отключили свои системы управления оборудованием от Интернета, возможно, они оказались бы в безопасности. Хотя, конечно, всегда остается риск того, что ничего не подозревающий сотрудник может принести вредоносную программу на внешнем носителе.

Руководители ФБР, АНБ и Министерства внутренней безопасности самого высшего уровня находились в состоянии боевой готовности. Взломщик, который получит контроль над трубопроводами, сможет нарушить подачу природного газа или вывести из строя систему управления, что приведет к аварии или даже взрыву. Соединенные Штаты покрыты сетью газовых труб общей протяженностью более 300 000 км, а природный газ составляет примерно треть в общем энергобалансе страны. До сих пор не было ни одной подтвержденной кибератаки, которая привела бы к уничтожению трубопроводной системы. Однако во времена холодной войны ЦРУ якобы установило вредоносное ПО на оборудовании трубопроводной системы Сибири. Этот трубопровод взорвался в 1982 г. Теоретически существовала возможность удаленного изменения давления внутри трубопровода. Атаку такого рода АНБ провело на иранском атомном объекте.

Как только газовые компании передали властям информацию о том, что их сети зондируются, чиновники тотчас же отправили на предприятия «летучие» команды для сбора сведений с жестких дисков и анализа сетевых лог-файлов. Источник электронных писем был отслежен. Оказалось, что все эти письма рассылались в рамках одной операции, которая, по оценкам аналитиков, началась в декабре 2011 г. По словам бывшего сотрудника правоохранительных органов, который занимался этой проблемой, предприятия непрерывно сообщали об обнаружении шпионов в своих сетях. Тем не менее истинные цели операции ускользали от аналитиков. Пытались ли взломщики собрать информацию о конкурентах в сфере трубопроводного бизнеса, относящуюся, например, к поиску новых поставщиков газа или строительству новых установок? Или они пытались прервать поток газовой энергии, внедрив вредоносную программу, которая могла бы позднее в определенный день уничтожить трубопровод?

Для того чтобы это выяснить, государственные следователи решили не делать публичных заявлений, а тихо наблюдать, за какой именно информацией пришли взломщики. Это был рискованный ход. В любой момент хакеры могли начать вредоносную атаку на корпоративные сети и украсть или стереть ценную информацию. Кроме того, оставался шанс, пусть небольшой, что объектом атаки станут сами трубопроводы. Это повлекло бы за собой катастрофические экономические последствия и даже могло бы привести к гибели людей, оказавшихся рядом с местом взрыва. Власти провели закрытые встречи с отдельными компаниями, чтобы выяснить степень их информированности. Госструктуры поделились с персоналом, обеспечивающим корпоративную безопасность, «стратегиями уменьшения ущерба», передав им известные адреса электронной почты, с которых были отправлены фишинговые сообщения, и конкретные IP-адреса, доступ к которым операторам трубопроводов следовало закрыть. Однако власти не очистили сети от шпионов и не дали указания компаниям, как это сделать. 29 марта группа экстренного реагирования, базирующаяся в Министерстве внутренней безопасности и работающая в тандеме с АНБ, опубликовала на секретном правительственном сайте предупреждение для всех операторов трубопроводных сетей, в котором предписывалось позволить шпионам искать интересующие их сведения и не вмешиваться до тех пор, пока их действия не угрожают работе трубопроводной системы. Торговые ассоциации, представляющие нефтегазовые компании, были предупреждены госчиновниками из Вашингтона и получили указания сохранять детали проводимой операции в секрете.

Реакция на «трубопроводный взлом» продемонстрировала высокий уровень влияния властей на кибероборону в энергетическом секторе. Газовые компании и их лоббисты в Вашингтоне следовали указаниям и инструкциям государственной власти. В течение всего срока расследования властям удавалось успешно держать информационную блокаду в прессе и других СМИ. Серьезная кампания, направленная против жизненно важных объектов американской инфраструктуры, шла полным ходом уже несколько недель, а о ней практически никто не знал. Информация о взломе сетей газовых операторов впервые просочилась в сводки новостей в мае, через два месяца после начала государственной операции по ведению наблюдения.

Государство также влезло и в другие отрасли энергетики. Тем летом Министерство внутренней безопасности и Министерство энергетики организовали секретный брифинг по киберугрозам для руководителей электроэнергетических компаний, предложив им временный допуск к закрытой информации. Цель брифинга состояла в том, чтобы дать руководству больше информации об угрозах для их отрасли. Осведомленность компаний энергетического сектора об опасностях, грозящих их сетям, была значительно ниже, чем в других отраслях экономики. Лучше всего были подготовлены финансовые организации, которые регулярно делились друг с другом информацией и создали систему для обмена сведениями о вторжениях и методиках взлома, используемых хакерами в закрытых, секретных сетях. Энергетические компании, напротив, боялись показаться слабыми в глазах своих конкурентов, они опасались, что, раскрыв сведения о своей недостаточной кибербезопасности, предоставят конкурентам информацию о своих будущих планах развития.

Вместе с тем госчиновники становились все более нетерпеливыми. В конгрессе сторонники нового закона, регулирующего стандарты кибербезопасности для коммунальных компаний, продолжали проталкивать свое детище, в качестве аргумента указывая на поток взломов, обрушившийся на газовые компании. Той осенью их усилия в конечном итоге провалились, что подготовило почву для президентских указов Обамы, направленных на максимально возможное в рамках его полномочий укрепление киберобороны. Властями поощрялось внедрение компаниями стандартов безопасности и методик защиты, разработанных Национальным институтом стандартов и технологий, который проводил консультации с большой группой экспертов индустрии и агентов разведки. Компании были вольны игнорировать рекомендации властей. Однако, если бы их инфраструктура была повреждена в результате предотвратимой кибератаки, они могли быть привлечены к гражданской или даже уголовной ответственности, и тогда им пришлось бы объясняться в суде, почему они сами подвергли себя опасности.

По результатам кибератак в 2012 г. на трубопроводные и газовые компании власти провели закрытые брифинги для почти 700 сотрудников коммунальных предприятий. В июне 2013 г. Министерство внутренней безопасности, ФБР, Министерство энергетики и Агентство безопасности транспорта начали так называемую активную кампанию по введению предприятий «в контекст угроз и выявлению стратегии снижения ущерба», говорится в информационном бюллетене Министерства внутренней безопасности. В рамках кампании проводились закрытые совещания по меньшей мере в десяти американских городах, в том числе в Вашингтоне, Нью-Йорке, Чикаго, Далласе, Денвере, Сан-Франциско, Сан-Диего, Сиэтле, Бостоне и Новом Орлеане, и во «многих других с помощью защищенной видеосвязи». Энергетические предприятия также начали обучать своих сотрудников основам кибербезопасности. Shell, Schlumberger и другие крупные компании отправляли своим сотрудникам поддельные фишинговые электронные письма с фотографиями милых котиков и другими приманками. Эксперты, проводившие обучение, говорят, что почти все сотрудники сначала «клевали» на подобные письма, но после прохождения подготовки почти 90 % научились не открывать встроенные ссылки и вложенные файлы, которые обычно и запускают установку или внедрение вредоносных программ.

Внутри АНБ чиновники продолжали настоятельно требовать больших полномочий для расширения своего оборонного кодекса. В мае 2013 г. в своем публичном выступлении в Вашингтоне Чарлз Берлин, диектор Оперативного центра национальной безопасности АНБ, отразил широко распространенную среди американской разведки точку зрения, что если агентство сосредоточится исключительно на защите государственных компьютерных сетей и информации, то это будет «почти аморально». «Миссия Министерства обороны [состоит] в защите Америки», – сказал Берлин, управлявший тогда мозговым центром агентства по радиотехнической разведке и защите компьютерных сетей. «Я многие годы стоял на крепостной стене, выливая кипящее масло на атакующих, – сказал он. – В настоящее время мы не способны защитить Америку».

Той тревожной весной 2012 г. у сотрудников правоохранительных органов, разведывательных и частных охранных служб практически не было никаких сомнений по поводу того, откуда появились хакеры. Однако без ответа оставался вопрос о том, какова была их главная цель.

Бывший сотрудник правоохранительных органов, работавший над этим делом, говорит, что хакеры находились в Китае и что их операция была частью масштабной стратегии Китая по систематизации критической инфраструктуры Соединенных Штатов. До сих пор не ясно, был ли шпионаж их основной задачей, или же они готовили почву для кибервойны. Тем не менее оба вида деятельности связаны друг с другом: для того чтобы осуществить атаку на оборудование или объект, сначала нужно составить схему инфраструктуры и понять, где в ней есть слабые места. И по всем признакам китайцы были заняты поиском таких уязвимых мест. Спустя несколько месяцев после того, как взлом сетей газовых предприятий был раскрыт, канадская технологическая компания Telvent, которая производит промышленные системы управления и SCADA-системы, используемые в Канаде и США, заявила, что ее сетевой трафик фильтровали хакеры, предположительно из Китая.

Однако кибервойна с Соединенными Штатами не относится к долгосрочным интересам Китая. К ним относится экономическое соперничество. Страна испытывает острую необходимость в том, чтобы лучше узнать, где американские компании нашли источники энергии и как они планируют эту энергию извлекать. Частично эти сведения должны были поддержать амбиции Китая в энергетической сфере. Вместе с тем стране также нужно было подпитывать быстро растущую экономику. Хотя темпы роста несколько замедлились в последние годы, тем не менее ВВП Китая увеличился на 7,8 % в период 2009–2013 гг.

Китай ищет замену традиционным ископаемым видам топлива. Основным источником энергии в стране является уголь, и это заметно по загрязненному воздуху во многих китайских городах. На Китай приходится примерно половина от общего объема мирового потребления угля. Это второй по величине потребитель угля в мире. Производство нефти в Китае достигло пика, поэтому государство вынуждено искать дополнительные прибрежные месторождения, а также переориентироваться на использование более чистых источников топлива с более богатыми его запасами.

Чтобы в будущем обеспечить Китай энергией, государственные компании были заняты поисками месторождений природного газа. Этот вид топлива до сих пор составляет мизерную долю в энергопотреблении страны – в 2009 г. всего 4 % в общем энергобалансе. Однако, чтобы добыть этот газ, Китаю нужно овладеть технологией гидравлического разрыва пласта и методами горизонтального бурения, которые первыми разрабатывали и внедряли американские компании. В отчете, выпущенном в 2013 г. исследовательской фирмой Critical Intelligence, авторы пришли к выводу, что «китайские оппоненты» сканировали сетевой трафик американских энергетических компаний с целью похищения информации о методах гидравлического разрыва и добычи газа. Авторы также отметили, что китайские хакеры выбирали в качестве объектов для атаки компании, выпускающие нефтепродукты, такие как пластмасса, основным сырьем для производства которой является природный газ. По заключению исследовательской фирмы, взлом компьютеров газовых предприятий в 2011–2012 гг. мог быть связан с этими задачами.

Китай не собирается отказываться и от традиционных источников энергии. По сведениям антивирусной компании McAfee, в 2009 г. американские нефтяные компании накрыло волной кибервторжений, целью которых было похищение информации о месторождениях нефти, найденных компаниями в различных точках земного шара. Китай является вторым крупнейшим мировым потребителем нефти после США и с 2009 г. вторым крупнейшим импортером нефти. По крайней мере одна американская энергетическая компания, собиравшаяся бурить в спорных водах, которые Китай считал своей территорией, подверглась атаке китайских хакеров.

Китай борется за природные ресурсы и в то же время пытается строить национальную энергетическую индустрию. Поэтому государство проявляет повышенный интерес к американским энергетическим компаниям и объектам. В 2012 г. Министерство внутренней безопасности публично сообщило о 198 атаках на ключевые объекты инфраструктуры, что на 52 % выше, чем было зафиксировано годом ранее. Против энергетических компаний были направлены 40 % этих атак. Если США когда-нибудь окажутся в состоянии войны с Китаем, вооруженные силы противника, несомненно, постараются воспользоваться киберплацдармами, созданными хакерами в компьютерных сетях этих энергетических компаний, чтобы уничтожить или вывести из строя жизненно важные объекты. Однако в обозримом будущем Китай вряд ли будет заинтересован в причинении ущерба экономике США или в отключении там электричества. Китай является одним из крупнейших иностранных кредиторов и самым важным торговым партнером США. Он напрямую заинтересован в полном экономическом здоровье Америки и высокой покупательской способности американских потребителей. Поэтому Китай перешел на законные способы получения информации о поисках источников энергии в Соединенных Штатах и изучения американских технологий, инвестировав с 2010 г. более $17 млрд в нефтегазовый бизнес США и Канады.

Китай ведет двойную игру – инвестирует в американские компании и в то же время крадет у этих компаний знания. Такой путь развития неустойчив. Если китайские похитители американской интеллектуальной собственности сделают эти компании менее конкурентоспособными на мировом рынке, то от этого пострадает американская экономика, а значит, и сам Китай. Сотрудники американской разведки пришли к выводу, что если на Китай не оказать дипломатического давления и не применить экономические санкции, то страна вряд ли прекратит свою киберкампанию. Поэтому власти стали вести более агрессивную политику, пытаясь защитить ключевую инфраструктуру страны. Именно это помогло протолкнуть решение о защите и мониторинге трубопроводных сетей транспортировки природного газа в 2012 г. Единственное утешение для американской национальной безопасности состоит в том, что до настоящего времени Китай не показал никаких признаков своего желания перейти от шпионажа к боевым действиям.

Однако о других противниках США этого сказать нельзя.

Начиная с сентября 2009 г. американские банки регулярно становятся мишенью для довольно распространенного вида кибератаки. Хакеры охотятся не на деньги банков, а на их сайты, с помощью которых клиенты могут управлять своими счетами, проверять баланс, оплачивать услуги и осуществлять денежные переводы. Атакующие перегружают банковские серверы трафиком, отправляемым с подконтрольных компьютеров, что приводит к отключению сайта из-за того, что серверы не справляются с огромным числом одновременных запросов. Этой атаке подверглись десятки банков, в результате была нарушена работа таких организаций, как Bank of America, Wells Fargo, Capital One, Citigroup, HSBC, и многих других, знаменитых и малоизвестных.

Банки, как и многие другие организации, ведущие бизнес в глобальной сети, уже сталкивались с подобными, так называемыми DDOS-атаками ранее. Большинство экспертов в области безопасности не считают подобные атаки реальной угрозой для компаний, а лишь досадной неприятностью, последствия которой можно устранить в течение короткого времени: подвергшийся атаке сайт обычно возвращался к работе через несколько часов. Однако последняя атака была беспрецедентной по своим масштабам и сложности. Для осуществления нападения атакующие создали огромные компьютерные сети, которые отправляли на серверы банков ошеломляющий по объему трафик. По некоторым оценкам, поток данных в несколько раз превышал по объему тот трафик, который в 2007 г. российские хакеры направили на эстонские компьютеры, в результате чего работа всей электронной инфраструктуры страны была приостановлена, – эта атака была признана самой разрушительной за всю историю наблюдений. Банковские интернет-провайдеры заявляли, что такой мощный трафик никогда еще не был адресован одному сайту. Жертвами атакующих стали целые дата-центры (так называемые облака), состоящие из тысяч серверов. Это выглядело, как если бы противник отправил на уничтожение своей цели не несколько кораблей, а целую армаду.

Аналитики смогли отследить некоторые источники трафика и узнать их интернет-адреса. Провайдеры блокировали эти источники, но вредоносный трафик стал приходить с других адресов. Как и в случае вторжения в сети газовых компаний, крайнюю обеспокоенность проявили высшие руководители государства. Однако на этот раз власти столкнулись с более грозным противником. Шпионы, взломавшие сети газовых компаний, кажется, хотели только получить информацию, а не уничтожать газовые трубопроводы. А вот те, кто организовал нападение на банки, хотели нарушить работу банковских компаний и посеять панику как среди клиентов, так и в финансовом секторе в целом. И эта стратегия сработала даже лучше, чем атакующие могли предполагать. По словам бывшего чиновника, который участвовал в отражении атаки, объем трафика, направленный на банковские серверы, вызвал панику у банковских сотрудников, отвечающих за безопасность. «В течение первых двух-трех недель несколько раз приходилось работать до самой поздней ночи, так как власти пытались отследить источник атаки и понять ее причины», – говорит Марк Везерфорд, который на тот момент занимал должность помощника заместителя министра внутренней безопасности по вопросам кибербезопасности, то есть высшего чиновника в сфере защиты от киберугроз.

У этой атаки была еще одна особенность – она не была ограничена единственным нападением. Действительно, налетчики, называвшие себя бригадами Изз ад-Дина аль-Кассама[19], продолжали нападать на банки и выискивали новые цели. Они продолжили свою работу и в следующем году. В 2013 г. АНБ обнаружило примерно две сотни новых атак на сайты банков, организованные той же самой группой. Нападавшие называли себя отрядом антиамериканского комитета, который своими атаками мстит за выпуск любительского онлайн-видео «Невинность мусульман». В этом фильме пророк Мухаммед был показан кровожадным педофилом, и фильм вызвал протесты на всем Ближнем Востоке. Однако руководители американской разведки подозревали, что эта история была лишь прикрытием, а на самом деле атаки проводятся по поручению правительства Ирана, вероятно, в отместку за кибератаки, осуществленные на атомных объектах в Нетензе.

В течение последних лет американские разведслужбы наблюдали за созданием киберармии в Иране. Лидеры иранского Корпуса стражей исламской революции, владевшие крупнейшей телекоммуникационной компанией в Ираке, открыто заявляли о своих намерениях создать киберармию, которая могла бы соперничать с кибернетическими силами Соединенных Штатов. Аналитики полагали, что иранская киберармия растет и что в нее входят как разведывательные и военные подразделения, так и группы патриотических «хактивистов». По некоторым данным, начиная с 2011 г. иранские власти потратили более $1 млрд на развитие оборонных и наступательных ресурсов в киберпространстве в ответ на атаки Stuxnet и двух других компьютерных вирусов, заражавших иранские системы, и многие считали, что эти вирусы были созданы американскими и израильскими спецслужбами.

Американские власти пришли к выводу, что только государство располагает соответствующими финансовыми и техническими ресурсами, а также экспертным опытом и мотивами для проведения подобной операции против банков. «Масштаб и сложность этих атак были беспрецедентными. За ними не мог стоять просто какой-то парень, сидящий в своем подвале», – говорит Везерфорд.

То, что вначале казалось обычной DDOS-атакой, теперь обернулось потенциальной кибервойной невиданных масштабов. Высшие американские чиновники задались вопросом: могут ли Соединенные Штаты начать ответную кибератаку против Ирана? Чиновники обсуждали, приведет ли атака на иранскую ключевую инфраструктуру к прекращению хакерской активности и будет ли такая ответная атака законной. Четкого ответа на эти вопросы не было, не было и согласия между чиновниками. Власти сами отнесли банки к ключевым объектам инфраструктуры. Но хакеры атаковали сайты банков, а не системы управления межбанковскими транзакциями и не системы хранения банковской информации. Это был не тот кошмарный сценарий, который Майкл Макконнелл нарисовал Джорджу Бушу в 2007 г. Везерфорд говорит, что руководитель Министерства внутренней безопасности, отвечавший за экстренные операции, не принес ему хороших известий: «Он сказал: “У нас нет сценария для подобных ситуаций”».

Власти были уверены, что DDOS-атака такого масштаба, будучи направленной на корпоративные компьютерные сети, приведет не просто к временным неудобствам, но к разрушению сети. Американские чиновники находились в постоянном контакте с банками и их провайдерами. Атакующие объявляли на онлайн-форумах, когда они планируют начать новую серию киберударов. И каждый раз банки и власти готовились к нападению. «Всякий раз интернет-провайдеры и федеральные госчиновники серьезно опасались, что нас могут сокрушить, – говорит Везерфорд. – И что в результате могут пострадать другие ключевые объекты инфраструктуры и сама сеть Интернет в целом».

После того как группа аль-Кассам объявила об очередной серии атак, руководитель отдела безопасности провайдера задал вопрос Везерфорду, а заодно и всему правительству. «Что вы, парни, собираетесь с этим делать? – спросил он. – Атака может начаться в любой день. Ее эффект будет иметь государственный масштаб. Какие меры собирается принять наше правительство?»

Везерфорд пытался убедить его, что ситуация находится под контролем, однако знал, что никакого контрнаступления не планируется. Фактически Везерфорд считал, что АНБ слишком долго не рассекречивает данные об угрозе, которые могли бы помочь защитить банки. Агентству нужно было «отмыть» передаваемые сведения до того, как передать их в Министерство внутренней безопасности, которое затем сделает их доступными для провайдеров. Нужно было убрать всю информацию об источниках этих сведений и о методах их сбора. «Для обработки информации нужно было шесть часов. Но и сама атака могла длиться всего шесть часов», – говорит Везерфорд.

Группа руководителей финансового сектора лично проталкивали свою проблему на встрече с представителями АНБ. Они хотели знать, почему правительство не организует атаку на источник вредоносного трафика и не выведет его в офлайн, аналогично тому, как для уничтожения вражеского лагеря запускают крылатую ракету. Представители АНБ отвечали, что они располагают кибероружием, в первую очередь тысячами эксплоитов нулевого дня, для использования в случае угрозы государству или если страна вступит в войну. «Как только мы воспользуемся одним из этих эксплоитов, мы никогда не сможем применить его снова, – объясняли чиновники, как рассказывает один из финансовых руководителей, который участвовал в том совещании. – Вы действительно хотите, чтобы мы растратили и потеряли это оружие только потому, что ваши сайты не работают?»

Руководители отступили.

Атаки на банки стали проверкой государственной воли. АНБ и военные не дадут силового отпора до тех пор, пока нападающие не угрожают инфраструктуре транзакций финансового сектора или не искажают банковские данные, делая их ненадежными. Государство ответит только на разрушительную кибератаку, которая вызовет масштабные эффекты во всем обществе. Отключение сайта, каким бы пугающим оно не казалось, не могло оправдать начало полноценной кибервойны. То же можно сказать и о шпионаже.

Банки – да и все компании, которые пострадали в результате нападения иностранных киберналетчиков и мародеров – встали перед очевидным вопросом: если государство не будет их спасать, то кто тогда будет?

13. Оборонный бизнес

В 50 км от делового центра Вашингтона, в пригороде Гейтерсберга, вдоль оживленной улицы напротив клуба Sam’s Club, транспортного агентства и магазина игрушек Toys R Us расположилось невысокое офисное здание. Пара охранников на проходной – первый признак того, что это не просто очередной склад самообслуживания или банальный офисный центр. В почти лишенном окон крыле здания площадью 7600 м2 находится кибернетический наблюдательный центр. Несколько десятков аналитиков и исследователей вредоносного ПО наблюдают за трафиком в глобальной распределенной сети компьютеров и серверов, на которых хранится часть самой секретной информации в Соединенных Штатах, в том числе чертежи реактивных истребителей, ракетных систем и спутников-шпионов. Однако это здание, которое может сойти за сверхсекретный объект, место которому в Форт-Миде или Пентагоне, не контролируется властями и не принадлежит им. В этом здании находится NexGen Cyber Innovation & Technology Center, и принадлежит оно компании Lockheed Martin – крупнейшему оборонному подрядчику. Здесь, а также в подобных центрах, расположенных в Денвере, в Фарнборо в Англии, в Канберре в Австралии, компания, которая сделала свое имя на разработке систем вооружений, создает новый бизнес в сфере киберобороны.

Проблему кибербезопасности Lockheed изучила, что называется, из первых рук, когда в 2006 г. компания подверглась атаке китайских хакеров, похитивших чертежи Единого ударного истребителя. Компания является крупнейшим поставщиком товаров и услуг в сфере информационных технологий для гражданских и разведывательных агентств, а также для военных ведомств, а потому представляет повышенный интерес для хакеров. После кибератаки компания потратила несколько лет на подробное изучение методов и технологий, используемых хакерами для взлома ее секретных систем и похищения государственных тайн. Молодой аналитик Lockheed Эрик Хатчинс как-то услышал, что для описания всех шагов, которые нужно пройти, прежде чем открыть огонь, начиная от идентификации цели и до определения ее точного географического положения, некоторые военные летчики используют термин kill chain[20]. Хатчинс предположил, что продвинутые хакеры, которые пытаются проникнуть в компьютерные сети Lockheed, также следуют некой пошаговой процедуре: выискивают цели, приобретают вредоносное ПО, запускают фишинговые атаки и в конце концов похищают данные. В сотрудничестве с двумя коллегами он адаптировал военную концепцию, после чего cyber kill chain стала основой для оборонной стратегии Lockheed. Компания применяет эту стратегию для защиты не только собственных сетей, но и сетей некоторых своих государственных заказчиков, а также банков, фармакологических компаний и по меньшей мере 17 коммунальных предприятий, которые обмениваются информацией с компанией и позволяют ей осуществлять сканирование их сетевого трафика в поисках угроз.

Cyber kill chain состоит из семи различных этапов, большая часть которых оставляет возможность заблокировать вторжение или атаку еще до их начала. Все начинается с наблюдения и разведки. Lockheed отслеживает ключевые слова, которые приводят пользователей на сайт компании через поиск в Google или в других поисковых машинах. Хакеры ищут в пресс-релизах и на веб-страницах компании имена сотрудников, чтобы более эффективно провести фишинговую атаку. Они устанавливают, какими программами пользуются менеджеры, работающие над конкретными государственными заказами. Они даже отслеживают высказывания и интервью руководителей компании, чтобы в фишинговом электронном письме можно было сослаться на запланированное мероприятие. Компания предупреждает своих сотрудников, ставших потенциальными объектами атаки, чтобы те были особенно внимательны, когда открывают документы, прикрепленные к электронным письмам, или кликают по присланным ссылкам.

На втором этапе, который в Lockheed называют «вооружение», аналитики ищут явные киберкриминалистические улики присутствия вредоносного ПО: к примеру, зараженный pdf-документ, прикрепленный к электронному письму. В Lockheed ведут базу данных всех зараженных pdf-файлов, когда-либо попадавшихся аналитикам компании. Эти данные используются в программах-сканерах, которые автоматически анализируют все электронные письма, получаемые сотрудниками компании, и помещают в карантин письма, которые могут быть заражены вредоносным ПО.

Следующими этапами cyber kill chain являются «доставка» (отправка вредоносной программы по электронной почте или на USB-носителе), «эксплоит», когда аналитики уделяют особое внимание поиску уязвимостей нулевого дня (Хатчинс утверждает, что им удалось обнаружить по крайней мере три эксплоита, использующих уязвимости в продуктах компании Adobe), «установка» на компьютер, «управление и контроль» коммуникаций с узловым компьютером и, наконец, «целевые действия» (похищение файлов, удаление данных или уничтожение элементов физического оборудования). На седьмом этапе хакер представляет максимальную опасность. Если аналитикам Lockheed удается обнаружить подобную активность, то они немедленно извещают руководство компании, ставшей целью атаки. Хакеры, обнаруженные на ранних этапах kill chain, скажем на третьем этапе, менее опасны, поскольку им предстоит пройти еще несколько шагов, прежде чем они смогут причинить какой-либо вред. Если аналитики видят, что хакер может попытаться заразить компьютеры с помощью внешних носителей, компания может запрограммировать свои системы так, чтобы запретить выполнение компьютерных программ с любых USB-дисков. Чем раньше Lockheed или кто-либо еще, кто использует стратегию cyber kill chain, сможет установить защиту, тем более эффективной она будет.

По словам вице-президента по вопросам кибербезопасности, генерала в отставке Чарли Крума, с помощью модели cyber kill chain Lockheed смогла предупредить своих клиентов о потенциальных вторжениях и предотвратить их. Lockheed не раскрывает имена своих заказчиков, поэтому проверить это утверждение невозможно. Концепция cyber kill chain просто соответствует здравому смыслу. Однако многие эксперты в области кибербезопасности, в том числе работающие на конкурентов Lockheed, говорят, что, когда в 2011 г. компания раскрыла свою концепцию киберзащиты, это стало поворотным моментом в эволюции киберобороны. Cyber kill chain разбивала процесс вторжения на отдельные действия и этапы, каждый из которых предоставлял защитникам возможность заблокировать своих противников. Таким образом, обороняющиеся могли более эффективно использовать свои ресурсы, поскольку им не приходилось реагировать на каждое предупреждение, как на экстренную ситуацию. Сyber kill chain предлагала концептуальную схему, как выстроить уровни защиты на дальних подступах и заблокировать взломщиков до того, как они подберутся слишком близко к цели.

Cyber kill chain была важна и еще по одной причине: эта концепция была разработана корпорацией, а не государственным агентством. Хатчинс, который в свои 34 года занимает пост главного информационного аналитика Lockheed, никогда не работал на государство и никогда не служил в вооруженных силах. Фактически он работал только в Lockheed, куда он пришел в 2002 г., получив степень в области компьютерных наук в Виргинском университете. В Lockheed работает много бывших госчиновников и армейских офицеров, и Крум один из них. Он возглавлял Агентство защиты информационных систем, откуда уволился в 2008 г. Однако Lockheed разработала стратегию cyber kill chain как способ собственной защиты. Компания не стала полагаться на помощь АНБ или любого другого агентства. И потом компания превратила свои знания в бизнес.

Сегодня аналитики компании наблюдают за трафиком в собственных сетях, но вместе с тем они получают информацию почти от 50 оборонных предприятий, которые также привлечены к работе над засекреченными государственными программами. Помимо прочего, Lockheed является основным подрядчиком Центра защиты от киберпреступности – крупнейшей государственной киберкриминалистической организации, которая ведет антитеррористическую и контрразведывательную деятельность. Также компания администрирует «Глобальную информационную сеть» – Global Information Grid (GIG), внедряя свою методологию cyber kill chain в защищенной всемирной информационной технологической сети Министерства обороны. Сумма контракта составляет $4,6 млрд. Только в собственных сетях Lockheed анализирует около 2 млрд отдельных транзакций в сутки – каждое отправленное и полученное письмо, каждый посещенный сайт, каждое регистрируемое в логах или цифровых журналах безопасности действие. Все данные хранятся в течение одного года, а любая информация о вредоносной активности сохраняется в течение неограниченного времени. Компания Lockheed построила эффективную библиотеку хакерской истории, из которой можно получать информацию при изучении новых взломов и вторжений. Привлекая старые данные, аналитики обнаружили, что недавние вторжения, на самом деле, всего лишь часть более масштабных кампаний, начавшихся несколько месяцев или даже лет назад и направленных против конкретных фирм и организаций. Крум говорит, что, когда в 2008 г. он уволился из военного ведомства, Министерству обороны удалось идентифицировать и отследить около пятнадцати операций общенационального масштаба. Сегодня Lockheed отслеживает примерно сорок хакерских операций. Министерство обороны следит за некоторыми из них – Крум не говорит, за какими именно, – и Lockheed делится своей информацией с государством в рамках программы DIB. По словам Крума, Lockheed выявил шесть операций, о которых Министерству обороны не было известно. Все подробности на данный момент засекречены.

Единственное, что Lockheed не может сделать, во всяком случае, легально – это взломать чужую компьютерную систему для сбора информации. Эта сфера деятельности все еще остается за АНБ. Однако компания пристально следит за теми же иностранными оппонентами, за которыми наблюдает государство. В главном центре управления NexGen Center на стене висят часы, которые показывают текущее время во всех странах, где Lockheed имеет станции кибернаблюдения. И есть часы, которые показывают текущее время в Пекине. Компания в течение семи лет собирала информацию об операциях APT, и аналитики имеют доступ ко всем этим данным. Огромный монитор на стене отображает сведения обо всех операциях, за которыми Lockheed следит по всему миру. Преимущественно, это сведения о попытках взлома собственных сетей компании, состоящих из 3 млн интернет-адресов, разбросанных по почти 600 локациям в 60 странах. Чем крупнее компания, ставшая объектом атаки, тем большим источником информации она становится. Выполнение государственных контрактов по-прежнему остается основным бизнесом компании, поскольку эта деятельность приносит более 80 % оборота, который в 2012 г. составил $47,2 млрд. Однако, по словам Крума, в 2011 г. Lockheed развернулась в коммерческом секторе, сосредоточившись на технологических услугах для 200 компаний из верхней части списка Fortune 500, отдавая особое предпочтение операторам ключевых объектов инфраструктуры. Компания хочет открыть еще один кибернетический центр на Ближнем Востоке и таким образом воспользоваться преимуществом растущей потребности этого региона в сетевом наблюдении и обеспечении безопасности.

Вряд ли Lockheed – это единственная компания, которая взяла кибероборону в свои руки. С момента атак на банковские сайты в 2012 г. американские финансовые организации создали собственные подразделения кибернаблюдения. (Некоторые из них, несомненно, являются клиентами компании Lockheed.) Их работа была в самом разгаре, когда ужасающий поток трафика вызвал масштабные сбои, и этим подразделениям пришлось ускорить свою работу. Сегодня все самые крупные банки США содержат собственный персонал, отвечающий за кибербезопасность. Эти специалисты обладают необходимыми знаниями и опытом для обнаружения уязвимостей в программном обеспечении и сетевых конфигурациях, анализа вредоносного ПО, его архитектуры и предназначения, а также для отражения проникновений и атак. Американские военные ведомства и разведывательные агентства – основные поставщики талантливых кадров для работы в банках.

Бывший руководитель отдела информационной безопасности Bank of America раньше возглавлял технологическую службу в администрации директора национальной разведки США, который начал свою карьеру в качестве лингвиста-криптографа в военно-воздушных силах. Руководитель отдела информационной безопасности в Wells Fargo отслужил 20 лет в военно-морских силах, в том числе на должности офицера по информационной войне, а позже работал в ФБР. Руководитель отдела информационных рисков в JPMorgan Chase никогда не был на госслужбе, однако один год проработал в компании SAIC, которая получает мощную поддержку в виде контрактов с разведывательными агентствами, часто ее называют «АНБ-Запад». Еще год он проработал в Booz Allen Hamilton, одном из ведущих подрядчиков федеральных властей в сфере кибербезопасности, в котором нашел пристанище бывший директор АНБ Майкл Макконнелл.

«Через пару лет все ребята из киберотделов, оставшиеся в игре, будут работать в банках. Они закроют свои сети и будут только обмениваться информацией друг с другом», – говорит бывший офицер военной разведки, участвовавший в кибератаке на Ирак в 2007 г., а позже перешедший на работу к крупному оборонному подрядчику.

Согласно мнению экспертов, банки ведут агрессивную кампанию по переманиванию и найму сотрудников военных и разведывательных служб, которые прошли обучение по высочайшим государственным стандартам и желают удвоить или утроить свои доходы, перейдя на работу в коммерческий сектор. Кроме того, банки все более активно приобретают информацию об уязвимостях нулевого дня и эксплоитах у частных исследователей, крупнейшим клиентом которых обычно считается АНБ. Эксперт в области безопасности, который имеет тесные связи с продавцами эксплоитов, говорит, что банки накапливают кибервооружение на случай, если они почувствуют необходимость ответных действий против кибервзломщиков. Если суждено будет начаться «частной» кибервойне, то, скорее всего, запустит ее какой-нибудь банк.

Тем не менее не только финансовые компании разрабатывают собственные оборонные операции. Список компаний, которые нанимают офицеров информационной безопасности на должности уровня руководителей отделов и вице-президентов, включает такие компании, как Johnson&Johnson, T-Mobile USA, Automated Data Processing, Coca-Cola, Intel, AstraZeneca, eBay, FedEx, и сотни других. Когда компании не могут обеспечить собственную защиту, они обращаются за помощью во внешние организации, и этот сегмент рынка услуг в сфере безопасности растет. В своем ежегодном отчете перед акционерами, опубликованном в 2012 г., Lockheed Martin заявила, что «компания столкнулась с возрастающей конкуренцией, особенно в сфере информационных технологий и кибербезопасности… со стороны необычных соперников, пришедших не из аэрокосмической и оборонной промышленности». Это был завуалированный намек на недавно возникшие и быстро развивающиеся компании, такие как CrowdStrike, Mandiant и Endgame, которые искали собственные источники информации и разрабатывали методы ее сбора и анализа.

Компании оказались на пороге новой эры частной кибербезопасности. «У нас уже есть кибернетический эквивалент сыскного агентства Пинкертона», – говорит Марк Везерфорд. Как многие другие эксперты, Везерфорд переживает, что некоторые фирмы занимаются не только защитой и что они переходят черту закона, когда организуют ответный взлом, чтобы противостоять шпионам и хакерам. Он проводит различие между ответным взломом и укреплением собственной защиты, которое усложнит взломщику задачу похищения данных из атакуемой сети. Расстановка ловушек или даже заражение вредоносными программами документов, которые взломщики переносят на свои системы, – возможно, все это еще относится к методам защиты. «Но реальное вторжение в их сети, атака на них – это та граница, которую я не хочу переходить», – говорит Везерфорд.

Везерфорд считает, что через несколько лет гораздо больше компаний получат возможность фильтровать трафик по поручению своих клиентов, таким образом играя роль киберкараульных. Эта модель работы уже обретает форму в рамках правительственных программ передачи провайдерам секретной информации о киберугрозах. Президентский указ 2013 г. в той части, которая касается усиления безопасности ключевых объектов инфраструктуры, призывает власти «представить инструкции» компаниям, указывающие, какие коммерческие продукты и услуги, удовлетворяющие утвержденным стандартам безопасности, доступны на рынке. Это еще один пример стимулирования государством развития частного бизнеса в сфере кибербезопасности. Рост этого сектора экономики практически неизбежен и, вероятно, даже предпочтителен для властей, монополизирующих эту сферу деятельности.

«Государство никогда не сможет так же гибко реагировать, как частный бизнес», – говорит Везерфорд. Частные предприятия лучше справляются с собственной защитой.

Как только компании приняли на себя полномочия в сфере национальной киберобороны, они тут же начали влиять на государственную политику США. 18 февраля 2013 г. фирма Mandiant, специализирующаяся в сфере компьютерной безопасности, выпустила беспрецедентный отчет о китайском кибершпионаже, в котором Народно-освободительная армия (НОА) Китая была публично обвинена в непрерывном и масштабном шпионаже против Соединенных Штатов. Это было прямое обвинение, на которое не решился ни один государственный чиновник. Отчет Mandiant был чрезвычайно подробным. В нем приводились реальные адреса местонахождения хакеров. В отчете даже содержались фотографии их офиса – бежевого 12-этажного здания в районе Пудун в Шанхае. Исходя из анализа размеров здания (его площадь превышает 130 000 м2), а также публичных заявлений китайских чиновников, Mandiant приходит к выводу, что там работают сотни, а может быть, и тысячи сотрудников.

Mandiant сосредоточилась только на одной из приблизительно 20 групп, деятельность которых отслеживала в течение нескольких лет. Этих хакеров собрали под крышей китайского аналога АНБ. Mandiant дала этой группе название APT1. Хакеры работали во Втором отделе Третьего подразделения Генерального штаба НОА, более известного под своим кодовым обозначением 61398. Генеральный штаб НОА – это что-то вроде Объединенного комитета начальников штабов армии США, а Третье подразделение занимается радиотехнической разведкой и компьютерными атаками и взломами. Mandiant назвала APT1 «одной из наиболее упорно действующих и опасных китайских кибергрупп».

Компания Mandiant, которая была основана бывшим киберкриминалистом ВВС меньше чем за 10 лет до описываемых событий фактически заложила мину в одной из наиболее болезненных и трудных сферах американской внешней политики. Отчет был принят как откровение. Не только потому, что в нем вполне конкретно шла речь о китайских хакерах – чего раньше никто из исследователей, ни частных, ни государственных, не делал, – но также и потому, что информация была очень подробной. Отчет занимал 74 страницы. В нем раскрывалась обширная шпионская инфраструктура, состоящая из 937 серверов или «подслушивающих приложений», размещенных на 849 различных интернет-адресах, большая часть которых зарегистрирована на организации из Китая, однако не менее 100 – из Соединенных Штатов. Следователи обнаружили сайты, которые были созданы хакерами так, чтобы их принимали за обычные новостные сайты, вроде CNN.com, однако на самом деле эти сайты скоординированно использовались во время атак APT. Mandiant назвала имена конкретных хакеров, в том числе и того, который скрывался под кличкой «Уродливая горилла» (Ugly Gorilla). Этот хакер несколькими годами ранее раскрыл себя в онлайн-беседе на тему китайских кибервойск, которую организовал ведущий специалист в области компьютерных наук, профессор, написавший множество книг по китайским «сетевым войнам». Mandiant использовала киберкриминалистические доказательства, для того чтобы установить связь между определенными хакерами, и была уверена, что некоторые из них не только лично знакомы друг с другом, но, возможно, работают в одном офисе. Отчет даже давал пару уроков по китайскому хакерскому сленгу: например, «мясом цыпленка» называли зараженный компьютер.

Также Mandiant пришла к выводу, что китайские киберподразделения получали «непосредственную поддержку от лингвистов, исследователей, анализирующих открытые источники, авторов вредоносного ПО и экспертов индустрии». Вероятно, работала целая команда, которая заказывала компьютерное оборудование, осуществляла его техническую поддержку и, кроме того, обеспечивала финансовый и организационный менеджмент, логистику и транспорт. Другими словами, это был хорошо организованный бюрократический аппарат, мало отличающийся от американских государственных агентств.

Отчет Mandiant содержал подробности, которые обычно характерны для секретных документов государственной разведки. Это еще одна причина, по которой отчет оказался столь знаменательным. Он продемонстрировал, что частные исследователи могут собрать и проанализировать информацию не менее, а может и более эффективно, чем это делают государственные разведывательные службы. Отчасти это свидетельствовало об уровне квалификации специалистов Mandiant. Но вместе с тем отчет выявил нечто новое в природе киберпространства. В неуправляемой среде, в которой хакеры могут перемещаться, используя совместную сетевую инфраструктуру, на самом деле не существует никаких секретов. При достаточном уровне подготовки и с помощью правильного инструментария частные сыщики могут отследить хакера точно так же, как это делают государственные агенты или военные оперативники. Отчет Mandiant не только сорвал покровы с китайского кибершпионажа, но еще и перевернул представления о том, что только государство готово к ведению борьбы в киберпространстве.

Отчет Mandiant имел скорые и весьма серьезные последствия. Представители Китая выступили со своими обычными опровержениями, назвав обвинения в управляемом властями шпионаже необоснованными. Менее чем через месяц советник по нацбезопасности США Том Донилон выступил с важной речью, в которой предостерег официальный Пекин и назвал китайский кибершпионаж «нарастающей угрозой нашим экономическим взаимоотношениям с Китаем» и «ключевой проблемой для обсуждения с китайской стороной на всех уровнях власти». Между обеими сторонами проводились переговоры за закрытыми дверями, в которых американские чиновники требовали, чтобы Китай прекратил свои агрессивные операции. Теперь эти обсуждения стали публичными. Замечания Донилона стали первым открытым заявлением представителей Белого дома касательно китайского кибершпионажа. Донилон говорил о том, что проблема «сместилась на передний план повестки Администрации», и призывал китайские власти обратить свое внимание на «актуальность и масштаб проблемы и на ту опасность, которую она представляет, – опасность для международной торговли, для репутации китайской промышленности и для отношений между двумя странами в целом». Впервые американцы потребовали от Китая заняться проблемой кибершпионажа. «Пекину следует предпринять самые серьезные меры для расследования и прекращения подобной деятельности и начать с нами конструктивный и прямой диалог для выработки приемлемых норм поведения в киберпространстве», – сказал Донилон.

Администрация Обамы, наконец, бросила вызов. И Mandiant помогла им в этом. Как и в случае с откровениями компании Google о китайском шпионаже, прозвучавшими после проведения операции Aurora, высшие американские чиновники начали открытое обсуждение проблемы, которая тихо раздражала их многие годы. Отчет Mandiant оказался подробным и, самое важное, несекретным документом, на основании которого можно было выдвинуть определенные обвинения. Государственные власти никогда бы не отважились на публикацию такого отчета.

Находки Mandiant произвели фурор. Однако публикация отчета была тщательно подготовлена, получила максимальное внимание прессы и была согласована с властями. Еще в октябре 2012 г., после нескольких лет сбора информации о китайских шпионах, руководители Mandiant собирались опубликовать отчет о своих находках. «Мы решили, что это интересная идея, и нам следует ее развивать», – говорит Дэн Маквортер, управляющий директор Mandiant, отвечавший за поиск информации о киберугрозах. Однако изначально компания планировала выпустить краткий отчет, который не имел ничего общего с тем многостраничным обвинительным заключением, опубликованным в итоге. План пришлось изменить уже в ноябре после телефонного звонка из The New York Times. Это был не просто звонок от репортера, желавшего получить экспертный комментарий для своей статьи. Это была просьба о помощи. В Times полагали, что их компьютеры кто-то взломал, и руководство газеты хотело, чтобы Mandiant провела расследование.

Киберкриминалисты из Mandiant обнаружили, что китайские шпионы внедрились в компьютерные сети газеты и вели слежку более чем за 60 ее сотрудниками, в том числе и за журналистом, работавшим в Китае над разоблачением политической коррупции в верхних эшелонах власти. Шпионы пытались замаскировать свое присутствие, перенаправляя трафик через взломанные компьютеры, находившиеся в американских университетах Северной Каролины, Нью-Мехико, Аризоны и Висконсина – применение подобной технологии Mandiant уже наблюдал в других шпионских операциях, следы которых уходили в Китай. Шпионы получили доступ к компьютеру в компьютерной сети Times и в итоге смогли украсть пароли от 53 личных компьютеров сотрудников, причем большинство компьютеров находились за пределами офиса. Хакеры были частью группы, которую Mandiant уже однажды выслеживала и которой было присвоено кодовое имя APT12. Очевидно, хакеры хотели получить подробные сведения о планируемой к публикации большой статье, посвященной родственникам премьер-министра Китая Вэнь Цзябао и их теневом бизнесе, построенном на политических связях, который приносил им миллионы долларов. Кроме того, Mandiant нашла доказательство тому, что жертвами взлома стали не менее 30 журналистов и руководителей других западных новостных порталов. Китайские хакеры похищали у них информацию, в том числе их электронные адреса, контактные сведения об их источниках и их файлы. Более того, шпионы снова и снова возвращались на компьютеры отдельных журналистов. Позже выяснилось, что шпионы создали специальную вредоносную программу, чтобы взломать учетную запись Джима Ярдли – на тот момент шефа южноазиатского бюро газеты Times, который работал в Индии, а ранее руководил Пекинским бюро. Также объектом атаки стал Дэвид Барбоза, руководитель Шанхайского бюро, автор статьи о премьер-министре Китая Вэнь Цзябао, за которую позже он получил Пулитцеровскую премию. Как показало последующее расследование, газеты The Washington Post и The Wall Street Journal также подверглись вторжению китайских кибершпионов.

Руководители Mandiant решили, что небольшой статьи о китайском шпионаже будет недостаточно. В компании полагали, что собрали множество доказательств масштабной и длительной операции, начавшейся еще в 2006 г., которая была направлена против различных отраслей американской экономики, в том числе и оборонного сектора. «Опровержения от официального Китая стали выглядеть “комично”», – говорит Маквортер. В январе 2013 г. Times написала о приобретенном опыте. Китайские власти публично выразили сомнение в честности Mandiant – компания оказывала помощь в расследовании, и ее эксперты давали комментарии для статьи Times, что можно было расценить как одобрение исследовательской работы Mandiant. Тогда в компании решили, что пришло время назвать вещи своими именами. Попытки Китая дискредитировать компанию и полученные ею сведения «определенно упрочили наше решение опубликовать результаты расследования и придать документу самую широкую огласку», – говорит Маквортер.

Представители администрации Обамы в целом были удовлетворены решением Mandiant. И дело не в том, что президент и его команда национальной безопасности до сих пор не знали о деятельности Китая; просто теперь имелся документ, в котором изложены конкретные доказательства. Их можно проверить, их могут обсуждать эксперты. Этот документ изменил характер и сущность дискуссии о китайском шпионаже. Больше никаких обвинений «не под запись». Никаких эвфемизмов вроде «повышенной постоянной угрозы», за которыми бы скрывался Китай. И при этом США не пришлось раскрывать никаких секретных источников информации и методов ее сбора, чтобы начать открытый разговор о китайском шпионаже. (В то самое время, когда Mandiant работала над своим отчетом, в Министерстве юстиции втайне готовили судебное дело против членов хакерской группы 61398. В мае 2014 г. прокуроры выдвинули официальное обвинение пятерым военным чиновникам из Китая, которые, как следует из заявления, были связаны с группой хакеров. Это был первый в США зарегистрированный случай уголовного преследования за компьютерный взлом федерального уровня.)

В тот самый день, когда Mandiant опубликовала свой отчет, Министерство внутренней безопасности выпустило краткое официальное сообщение для избранной группы владельцев и операторов критических объектов инфраструктуры и других профессионалов в области информационной безопасности, имевших доступ к государственной информации. В сообщении упоминались интернет-адреса и сайты, сведения о которых были опубликованы в отчеты Mandiant. Однако стоит отметить, что Министерство внутренней безопасности ни разу не упоминало Китай и не связывало кибершпионов с каким-то конкретным географическим местоположением. Также в сообщении не было ни слова и о компании Mandiant. Аудитория этого сообщения ограничивалась «равноправными и партнерскими организациями», и по рекомендации министерства этот информационный бюллетень не распространяли по открытым каналам связи. Отчет Mandiant оказался полезнее, поскольку он был более содержательным и доступен каждому желающему. Тем не менее правительственный бюллетень подтверждал выводы отчета Mandiant. Время, выбранное для его публикации, также говорило о многом. Министерство внутренней безопасности могло бы выпустить сначала свою версию отчета, но там решили дождаться, пока Mandiant приоткроет завесу тайны над APT1. Mandiant сделала властям одолжение. Источники, близкие к авторам отчета, говорят, что власти передали компании Mandiant некоторую информацию, которая затем была использована в отчете, тем не менее большая часть заключений и выводов была сделана компанией по результатам собственных расследований, длившихся на протяжении семи лет.

Фактически за одну ночь Mandiant превратилась из относительно малоизвестной киберкриминалистической компании, с которой были знакомы в основном эксперты по безопасности и другие небольшие технологические стартапы, в популярный и успешный бренд в сфере компьютерной безопасности. Руководители Mandiant стали для журналистов компетентными источниками информации. Теперь они сидели за одним столом с бывшими сотрудниками разведслужб и аналитических центров и высказывали свои соображения о том, как лучше защитить киберпространство от шпионов и хакеров. Бизнес заработал. В 2013 г. компания выручила более $100 млн на продажах, причем больше половины этой выручки пришлось на собственное программное обеспечение, разработанное Mandiant для защиты компаний от хакеров APT. Судя по опубликованным сведениям, более одной трети компаний из списка Fortune 100 воспользовались услугами Mandiant после обнаружения брешей в защите своих компьютеров. В январе 2014 г., менее чем через год после публикации отчета Mandiant о группе APT1, компанию приобрела за $1 млрд фирма FireEye, специализирующаяся в сфере безопасности. Это было крупнейшее приобретение на рынке услуг кибербезопасности за последние годы. Всего в 2013 г. было 10 подобных слияний, что вдвое больше, чем в 2012 г.

Компания FireEye на тот момент уже была фаворитом Кремниевой долины. Открытая продажа акций компании на бирже Nasdaq началась в сентябре 2013 г., а к январю стоимость одной акции уже удвоилась. Первичное размещение акций FireEye стало самым успешным среди компаний по кибербезопасности в 2013 г. Объединение с Mandiant должно было стать масштабной операцией в сфере кибербезопасности. Mandiant специализировалась на расследовании кибервторжений, тогда как FireEye ставила своей целью их предотвращение. Ее технология состояла в изоляции входящего сетевого трафика в виртуальном карантине и анализе передаваемых данных в поисках признаков вредоносного ПО. Этот подход был похож на используемый Министерством внутренней безопасности для мониторинга трафика в государственных сетях, что лишний раз говорит об отсутствии монополии властей в вопросах киберобороны.

Раскрытие информации о масштабном китайском шпионаже, дополненное разоблачением глобальных разведывательных операций АНБ, помогло Mandiant и FireEye создать новый вид бизнеса, который и привел эти компании к слиянию. «Множество компаний, организаций и правительств говорят: “Посмотрите, как мониторинг и похищение данных у компаний распространились в этих сверхдержавах”», – говорит Дэвид Деволт, председатель совета директоров и генеральный директор FireEye. Его клиенты решили, что им необходимо защитить себя. «Осведомленность в этих вопросах растет. Всего год назад ничего подобного не было».

Если компаниям нужна была еще какая-нибудь причина, чтобы, наконец, воспользоваться услугами частных компаний по компьютерной безопасности, то она появилась в июне 2013 г., когда 29-летний сотрудник АНБ Эдвард Сноуден раскрыл себя в качестве источника огромного объема похищенных секретных документов о машине глобального наблюдения агентства. Сноуден поделился этими документами с журналистами, работавшими в Guardian и The Washington Post, после чего появился вал публикаций, беспрецедентных по своему охвату и представленным подробностям. Были обнажены практически все мыслимые детали шпионажа, который вело агентство. Документы показали, как АНБ собирало огромные объемы информации у Google, Facebook, Yahoo и других технологических и телекоммуникационных компаний. Агентство также собирало записи телефонных разговоров сотен миллионов американцев и хранило их в течение пяти лет. Представители администрации попытались убедить встревоженных американцев в том, что преимущественно АНБ шпионило за иностранными гражданами, находившимися за границей. Руководители технологических компаний были ошарашены. Они объясняли властям, публично и во время частных встреч, что многие клиенты их компаний иностранцы и что они вряд ли с легкостью отнесутся к ведению за ними слежки со стороны АНБ на основании только того, что они не граждане США.

Еще до утечки, организованной Сноуденом, АНБ публично попыталось заручиться поддержкой хакеров в осуществлении своей кибероборонной миссии. В 2012 г. на хакерской конференции Def Con в Лас-Вегасе появился Кит Александер, представ перед публикой в джинсах и черной футболке. Он считал, что, сменив свою армейскую форму на неформальный «прикид», вызовет расположение у своей аудитории, состоящей из хакеров и исследователей в области кибербезопасности. В июле 2013 г., спустя месяц после публикации первой статьи об АНБ, организаторы Def Con отозвали приглашение Александера на конференцию, где он собирался выступить с новым обращением. Родственная Def Con конференция Black Hat согласилась принять «главного шпиона». Правда, примерно через полчаса после начала его выступления в зале начались недовольные выкрики. «Свобода!» – кричал один из слушателей, консультант частной фирмы по кибербезопасности. «Совершенно верно, мы боремся за свободу!» – парировал Александер.

«Полная чушь!» – резко возразил консультант. Зал взорвался аплодисментами.

Если раньше некоторые «добропорядочные хакеры» из числа тех, кто усердно трудится, чтобы усовершенствовать средства киберзащиты, сотрудничали с АНБ по техническим вопросам, то теперь они начали сомневаться в своем решении. Об этом рассказал бывший сотрудник агентства. Он опасается, что хакеры теперь могут ополчиться на правительство и будут пытаться раскрыть еще больше секретной информации или даже организовать атаку на государственные агентства и компьютерные системы господрядчиков. Сноуден продемонстрировал, что всего один человек может раскрыть огромную часть архитектуры наблюдения АНБ. А какой ущерб может быть нанесен, если в дело включится целое движение высокомотивированных хакеров?

Сноуден и сам был хорошо обученным хакером. Будучи сотрудником АНБ, он прошел углубленные курсы «этичного взлома» и анализа вредоносного ПО в одной из частных школ в Индии. По словам людей, знакомых с деталями его поездки, он находился в этой стране с секретной государственной миссией и работал в американском посольстве в Нью-Дели. Точная цель его работы засекречена, однако к моменту своего приезда в Индию в сентябре 2010 г. Сноуден уже изучил некоторые продвинутые методы взлома. По словам его инструктора, он был способным учеником. Его научили взламывать компьютеры и похищать информацию якобы с той целью, чтобы лучше противостоять злонамеренным хакерам. Для того чтобы украсть большую часть секретных документов АНБ, к которым благодаря своему статусу он имел свободный доступ, ему эти навыки не понадобились. Как оказалось, АНБ, которое хотело повсеместно обеспечить защиту компьютерных систем, начиная с Уолл-стрит и заканчивая водопроводными компаниями, не смогло помешать своему 29-летнему сотруднику сделать копии секретных документов о своей глобальной системе наблюдения.

Разоблачения Сноудена стали самыми разрушительными для АНБ с политической точки зрения за всю 61-летнюю историю существования агентства. В июле 2013 г. палата представителей США практически приняла законопроект, который бы оградил простых американцев от сбора агентством записей телефонных разговоров. Это могло бы стать первым значительным ограничением государственной власти в вопросах ведения наблюдения и слежки со времени терактов 11 сентября. Республиканцы и демократы объединились в редкий для них двухпартийный союз в своем желании посадить шпионское агентство на привязь. Президент Обама собрал комиссию из экспертов разведки и юристов, которая должна была предложить реформу программы наблюдения АНБ. Результатами работы комиссии стали 300-страничный отчет и 46 рекомендаций, среди которых были предложения прекратить практику покупки агентством эксплоитов нулевого дня, отказаться от внедрения бэкдоров в криптографические продукты, назначить гражданских лиц ответственными за работу шпионского агентства и, наконец, разделить руководство агентством и Киберкомандованием, чтобы их не возглавлял один и тот же человек. Фактически это была программа по снижению влияния и постепенному отказу от ведущей роли агентства в сфере кибербезопасности.

Тем не менее необходимость в защите киберпространства была острой, как никогда. В сентябре 2013 г. старший офицер ВВС США рассказал, что их службы до сих пор не знают, насколько их сети уязвимы к атакам хакеров, поскольку сложные мероприятия по анализу уязвимостей выполнены только на четверть. А ведь прошло уже более четырех лет с момента вторжения взломщиков в систему управления воздушным движением ВВС, которое могло дать им возможность влиять на планы полетов самолетов и на работу радарных систем. Спустя месяц после признания офицера ВВС генеральный инспектор Министерства обороны опубликовал отчет, в котором говорилось, что у Пентагона, Министерства внутренней безопасности и АНБ нет централизованной системы обмена информацией о киберугрозах в режиме реального времени. Существуют государственная система циркулирующих оповещений и еще одна для отправки последующих инструкций по реагированию на киберугрозы, но эти две системы работают отдельно друг от друга.

Новости ключевых объектов инфраструктуры, которые государство собиралось защищать, тоже были не слишком ободряющими. Ранее в том же году пара инженеров обнаружила ряд уязвимостей в коммуникационных системах, используемых в коммунальных энерго– и водоснабжении по всей стране. Найденные уязвимости позволяли злоумышленнику вызвать масштабное отключение электроэнергии, а также повредить системы водоснабжения. Представители Министерства внутренней безопасности разослали оповещения, но лишь немногие коммунальные предприятия установили исправленные версии программ. При этом интенсивность кибершпионажа против США ничуть не снижалась. «В этой стране нет ни одной сколько-нибудь значимой компьютерной системы, которую не пытаются взломать прямо в эту минуту, направляя на нее терабайтные потоки информации», – сказал бывший директор АНБ Макконнелл во время своего октябрьского выступления в Вашингтоне. Это заявление эхом отозвалось в публичных и частных разговорах многочисленных сотрудников разведки, военных и правоохранительных ведомств.

Американские власти все еще не могли прийти в себя после атаки, направленной в 2012 г. на государственную нефтяную компанию Aramco из Саудовской Аравии, которая, по некоторым оценкам, была самой дорогой компанией в мире, обеспечивая около 10 % мировых поставок нефти. Хакеры использовали мощный вирус для полного уничтожения информации примерно с 75 % компьютеров компании, а это, в общей сложности, около 30 000 машин. В процессе атаки, которая, по словам представителей компании, имела целью остановить производство нефти и газа, вирус удалял письма, электронные таблицы и документы. Хакерам не удалось подорвать работу производственных мощностей Aramco, тем не менее атака стала напоминанием о том, что хакеры могут нанести серьезный ущерб компании, уничтожив ее системы хранения корпоративной информации. Некоторые американские чиновники подозревали, что атака была инициирована Ираном в отместку за внедрение червя Stuxnet. Если бы так и было, то это означало бы эскалацию международной кибервойны, и, кроме того, атака продемонстрировала, что США вряд ли могут рассчитывать на проведение безответных киберударов.

В Соединенных Штатах также наблюдался разгул киберпреступности. В середине декабря 2013 г. торговый гигант Target обнаружил, что хакеры проделали брешь в компьютерных системах компании и похитили информацию о дебетовых и кредитных картах. Мошенники установили вредоносную программу прямо на кассовые аппараты в магазинах сети Target и скачивали финансовые данные. По первоначальным оценкам компании, похитителям удалось завладеть финансовой информацией 40 млн покупателей. Однако месяц спустя это число было скорректировано, и теперь число клиентов, чьи финансовые данные были скомпрометированы, составляло от 70 до 110 млн. Количество затронутых клиентов было потрясающим, что сделало утечку информации из Target одним из крупнейших киберограблений в истории. Следователи пришли к выводу, что хакеры, скорее всего, находились на территории Восточной Европы или России, а также что первый взлом компьютерной сети Target был осуществлен с помощью сетевых сертификатов (мандатов), похищенных в компании из Пенсильвании, которая занималась обслуживанием холодильных систем в супермаркетах. Target также обнаружила, что была похищена информация об именах клиентов, их телефонных номерах, почтовых и электронных адресах. Компании грозили огромные штрафы за несоблюдение промышленных стандартов защиты информации о дебетовых и кредитных картах.

Государственные агентства ненамного больше преуспели в вопросах защиты своих сетей. В феврале 2014 г. комитет сената сообщил, что гражданские федеральные агентства, за редким исключением, плохо осведомлены в вопросах безопасности и страдают от нехватки самых фундаментальных навыков ее обеспечения, даже на уровне здравого смысла. Государственные служащие использовали очень простые пароли. Исследователи обнаружили, что одним из самых популярных паролей было слово «пароль». В отчете сообщалось, что даже в Министерстве внутренней безопасности обновления программного обеспечения были установлены не на всех системах, хотя это «основное правило безопасности, которое соблюдает почти каждый американец, владеющий компьютером».

Несмотря на разоблачения Сноудена, Александер продолжал упорствовать. Плохие новости о слабой киберобороне только укрепили его собственные аргументы в пользу того, что АНБ следует взять на себя более влиятельную и решающую роль в защите страны. На конференции по кибербезопасности, которая прошла в октябре 2013 г. в Вашингтоне под патронажем компании Raytheon, выполняющей оборонные и кибероборонные заказы, Александер, используя некоторые сомнительные технические аргументы, попросил больше власти и полномочий для защиты финансового сектора. Он допустил, что АНБ будет получать информацию из банков в режиме реального времени, таким образом агентство сможет определить «киберпакет, готовый уничтожить Уолл-стрит» и перехватить его, как будто это летящая к цели ракета. Термин «киберпакет» не имеет точного и ясного определения в данном контексте. Предположительно, Александер имел в виду, что продвинутый компьютерный червь или вирус смогут нарушить работу компьютеров финансового учреждения или повредить информацию, которая хранится на этих компьютерах. Однако утверждение, что один-единственный пакет данных сможет уничтожить Уолл-стрит, было абсурдным. Утверждать подобное сродни заявлению, что пейнтбольный шарик может вывести из строя танк.

Степень преувеличения Александером киберугроз и уровень упрощения ответных действий его собственного агентства стали показателем того, как отчаянно он хотел заручиться общественной поддержкой своей миссии и насколько встревожен и напуган он был. Сноуден помог подорвать и разрушить то реноме агентства, которое Александер выстраивал многие годы.

14. На заре

17 января 2014 г. Барак Обама встал за кафедру в Большом зале Министерства юстиции в Вашингтоне, чтобы объявить свое решение о том, какие программы АНБ по наблюдению и кибербезопасности он сохранит, а какие закроет. Если американские шпионы и опасались того, что президент отодвинет их с передней линии, то после первых же слов они смогли расслабиться.

Обама начал свою речь со сравнения сотрудников АНБ с лидером организации «Сыны свободы»[21] Полом Ревиром, который создал «секретную разведывательную службу» для патрулирования улиц колониального Бостона и «оповещения о любых признаках приготовления британцев к рейдам против молодых патриотов Америки». Это выступление Обамы в защиту АНБ и радиотехнической разведки США стало, пожалуй, самым громким из всех. Ведь президент связал эти службы с героями американской революции.

Потом Обама рассказал, как во время Гражданской войны шпионы на воздушных шарах выясняли размеры армии Конфедерации, как дешифровщики во время Второй мировой войны раскрывали военные планы Японии и как «перехват сообщений помог сохранить жизни солдатам, когда отряды генерала Паттона продвигались по Европе». И все в таком духе. Выступление Обамы по настроению напоминало дни начала новой холодной войны, когда президент Гарри Труман создал Агентство национальной безопасности, «чтобы взглянуть изнутри на Советский блок и предоставить нашим лидерам необходимую информацию для противостояния агрессии и предотвращения катастрофы».

К моменту выхода Обамы на сцену представители Белого дома уже провели брифинг с журналистами на тему президентских предложений по реформе разведывательной деятельности АНБ. Предусмотренные реформой изменения были минимальными. Обама собирался внести некоторые корректировки в сомнительную программу каталогизации записей телефонных разговоров американцев, а именно предлагал хранить эти записи не в базах АНБ, а где-то в другом месте. Он подкинул конгрессу и министру юстиции сложную работу по определению, где же именно должна храниться эта информация. В итоге Администрация и законодатели пришли к соглашению, что хранением записей будут заниматься телефонные компании, при этом они будут предоставлять АНБ доступ в целях проведения расследований. Кроме того, Обама согласился на некоторые незначительные усовершенствования в вопросах защиты частной жизни для иностранцев, попавших под внимательный взор АНБ. Однако в общем и целом возможности ведения слежки у агентства остались без изменений.

Обама либо отказался от всех рекомендаций по обузданию АНБ, полученных им от своих советников, либо просто отложил их реализацию. Ранее он уже отклонил предложение разделить руководство АНБ и Киберкомандования. Теперь же он оставил без внимания призыв назначенной ранее ревизионной комиссии лишить агентство полномочий в области информационного обеспечения и отстранить его от работы по защите компьютерных систем от кибератак и взломов. Если бы Обама провел предложенные реформы, то суть деятельности АНБ изменилась бы фундаментально, и организация кардинально отличалась бы от себя прежней.

Обама отверг предложение комиссии не привлекать руководство АНБ к проведению или сопровождению операций на территории Соединенных Штатов. Призывы сделать директором АНБ гражданского служащего и утверждать его кандидатуру в сенате также остались без внимания президента. Директор АНБ Кит Александер мог расслабиться; большая часть выстроенной им империи осталась нетронутой, несмотря на удары, обрушившиеся на него в прессе после разоблачений Сноудена. Генерал планировал покинуть свой пост в марте. Президент Обама предложил занять это место вице-адмиралу Майклу Роджерсу, который был хорошо подготовлен к работе на должности директора АНБ и киберкомандующего. Роджерс руководит службой радиотехнической разведки ВМС США и ее кибервоенными операциями. Как и Александер, он уже был привычен к тому, чтобы периодически менять роли «хорошего» и «плохого парня».

Предложение комиссии о прекращении агентством сбора эксплоитов нулевого дня и дискредитации стандартов шифрования Обама никак не комментировал. Позже один высокопоставленный чиновник рассказал, что президент просил его просмотреть все предложенные рекомендации и дать свое заключение. В итоге Администрация пришла к довольно смутному решению, склоняясь к раскрытию информации об уязвимостях, но сохранении в секрете любых сведений, которые, по мнению властей, имеют важное значение для национальной безопасности. Таким образом, для АНБ было сделано серьезное исключение, позволявшее агентству засекретить все сведения об уязвимостях нулевого дня, поскольку они относились к важным средствам обеспечения безопасности, и дальше вести дела, как и прежде. Введение подобной политики вряд ли могло прекратить все споры. Практически Обама отложил решение и этой проблемы, и казалось маловероятным, что он или его советники смогут предложить какие-то значительные изменения.

Во всех вопросах, начиная от методов проведения операций и заканчивая кадровым составом, Обама решил сохранить статус-кво. Действительно, апелляция к исторической важности разведки во время боевых действий подчеркивала его желание защитить АНБ и сохранить его деятельность без изменений.

Время для выступления Обамы было выбрано удачно. Ровно 33 года назад, 17 января 1961 г., президент Дуайт Эйзенхауэр в своем прощальном обращении к нации выступил с предостережением о «военно-промышленном комплексе», «глобальное влияние которого – экономическое, политическое и даже духовное – ощущается в каждом городе, в каждом государственном ведомстве, в каждом офисе федеральных органов власти». Эйзенхауэр говорил о том, что теперь армия имеет мало общего с той, в которой он служил во время Второй мировой войны, или той, которой командовали его предшественники в Белом доме. «До позднейшего из мировых конфликтов, в которых мы участвовали, в Соединенных Штатах не было оборонной промышленности», – говорил Эйзенхауэр, убеждая своих сограждан не допустить неоправданного влияния альянса власти и индустрии, будь это влияние умышленным или нет. Он считал, что подобный альянс – это необходимый бастион, ограждающий от сил коммунистической тирании, но еще он видел, какими серьезными могут быть последствия такого слияния, если «потенциал пагубного роста неуместной силы» выйдет из-под контроля. «Слияние огромного военного истеблишмента и крупной военной промышленности – новый для Америки опыт», – сказал Эйзенхауэр.

Аналогичная ситуация и со слиянием военных правящих кругов с огромной техноиндустрией Интернета. Корпорации не продают защиту от шпионов и хакеров. Барак Обама осуществлял контроль над ростом и быстрым расширением альянса между крупным бизнесом и высокими военными чинами. Однако, в отличие от Дуайта Эйзенхауэра, он не видел причин для страха и дурных предчувствий.

Эйзенхауэр умер через восемь лет после своего пророческого выступления. Он точно предсказал появление военно-промышленного комплекса, но даже он не мог представить, что наступит день, когда рыночная стоимость ведущих оборонных предприятий превысит ВВП многих стран мира, а создание оружия, транспортировку солдат и даже их питание в зоне боевых действий вооруженные силы США доверят свои подрядчикам. Военно-сетевой комплекс также разительно изменит характер военных действий и даже само киберпространство. Что именно произойдет в следующие десять лет?

Для начала отметим, что государственные власти не будут основными игроками в этой сфере, во всяком случае постоянными лидерами. И это принципиальный сдвиг в балансе сил со времен Эйзенхауэра – его предостережение осталось неуслышанным. Национальные правительства будут вырабатывать стратегию, устанавливать законы и контролировать стандарты безопасности, которые банки, коммунальные предприятия и другие ключевые объекты инфраструктуры должны соблюдать (возможно, с нарушениями). Эти организации будут создавать киберармии и обучать их воевать в сетях, что в конце концов приведет к интеграции с полным арсеналом военной мощи государства. Если Китай, Иран или другие враждебные страны когда-либо запустят масштабную атаку на американскую электростанцию или банк, военные предпримут ответные меры как в виртуальном, так и в реальном мире. На атаку, которая может привести к распространению паники, нарушению нормальной жизнедеятельности или человеческим жертвам, будет дан громкий силовой ответ.

Однако повседневная работа по защите ключевых промышленных объектов станет заботой корпораций, которые справятся с этой задачей не хуже государства. Lockheed Martin и подобные ей компании создадут новый вид услуг по сканированию, анализу трафика и применению собственных методов обнаружения вредоносных программ и хакерской активности – методов, которые будут основаны на тех данных, которые компании будут собирать в режиме реального времени в своих глобальных информационных сетях, а также в сетях своих клиентов. Получится своего рода краудсорсинг. Аналогично компании вроде CrowdStrike и недавно объединившихся Mandiant и FireEye будут не просто расследовать уже свершившиеся вторжения, а предлагать свои услуги по защите сетей клиентов от потенциальных угроз, подобно тому, как охранные фирмы предлагают обезопасить наши дома и офисы от грабителей.

Военно-сетевой комплекс похож на своего промышленного предшественника в том, что касается делегирования некоторых вопросов национальной безопасности. Вооруженные силы не занимаются созданием вооружений и средств обороны, они платят компаниям за эту деятельность, и так было с момента основания республики. Тем не менее государство всегда обладало монополией на применение силы. И здесь военно-сетевой комплекс круто сворачивает с дороги истории. Возможности корпораций по сбору информации не уступают возможностям государства. Компании разрабатывают средства обнаружения угроз, разыскивают уязвимости нулевого дня, а затем используют их в своих интересах. Эйзенхауэр увидел в военно-промышленном комплексе появление пугающей силы и власти, но он не смог предсказать, что корпорации будут конкурировать с государством в вопросах ведения военных действий.

Рынок созрел для сложных и надежных технологий кибербезопасности. Каждый раз, когда становилось известно об очередной громкой утечке данных, особенно такого масштаба, как похищение сведений о дебетовых и кредитных картах у компании Target в 2013 г., которое затронуло почти треть населения США и на целую неделю захватило заголовки новостей, все больше компаний будут испытывать острую необходимость в предотвращении утечек информации. В 2013 г. федеральные власти уведомили более трех сотен компаний о том, что их сети были взломаны, – огромное число, но это, скорее всего, малая часть реальной картины. Здесь учтены только те вторжения, которые были обнаружены властями или компаниями, занимающимися компьютерной безопасностью. Владельцы ключевых объектов инфраструктуры находятся в особенно уязвимом положении. В декабре 2013 г. министр энергетики Эрнест Мониз заявил, что в прошедшем году большая часть кибератак в Соединенных Штатах была направлена против энергетической инфраструктуры, в которую входят компании, владеющие и управляющие электрическими сетями, а также контролирующие производство и распределение нефти и природного газа. До настоящего времени эти атаки заключались в попытках проникновения в сети, которые управляли энергетическими объектами, или в компьютеры, расположенные в офисах владеющих этими объектами корпораций. Однако, по словам Мониза, «нет никаких сомнений», что Соединенные Штаты будут страдать от крупных атак, несущих угрозу частичного отключения энергосетей. «Совершенно определенно, что дело дойдет до кибератак. Я бы не хотел допустить отключение энергосети. Нужно признать, что мы участвуем в гонке, целью которой является укрепление нашей обороны… Нам предстоит еще очень много работы».

Несомненно, государство принимает участие в этой гонке, и кое-чем оно может поддержать компании: давать больше конкретной и полезной информации о том, откуда исходят угрозы; оказывать давление на провайдеров, чтобы они закрывали доступ к известным враждебным источникам; в конце концов, предпринять наступательные действия для отражения надвигающейся атаки в случае, когда она может быть обнаружена заранее. Не все из предложенных решений потребуют новых изменений законодательства. Администрация может принять эти меры в рамках полномочий исполнительной власти. Однако энергетические компании, а также компании, играющие менее заметную роль в экономике, по-прежнему смогут полагаться только на свои силы при отражении атак хакеров, ежедневно угрожающих пробить их оборону. Государство просто не в силах защитить все сети, число которых стало слишком велико, а географическое распространение – слишком обширно. Даже в случае если бы план Кита Александера по установке специального оборудования в сетях каждого банка претворился в жизнь.

Противники не успокаиваются. С сентября 2013-го по март 2014 г. на банки было совершено более трехсот DDOS-атак, вроде той, что обрушила сайты и вызвала массовую панику в финансовом секторе (организацию атаки приписывают Ирану). Власти хорошо осведомлены об этих атаках – их число было указано в отчете АНБ. Если компании собираются защищать себя, им придется делиться некоторой информацией с властями относительно того, что происходить в их сетях. Кроме того, у них есть более мощный стимул взять заботу о безопасности в собственные руки и защитить себя самостоятельно.

В итоге повышенная безопасность станет привлекательным потребительским качеством, особенностью, которую банки, интернет-провайдеры и другие компании, имеющие дело с персональными данными, будут использовать для привлечения клиентов точно так же, как автопроизводители используют в рекламных целях подушки безопасности и ABS. Фактически это уже происходит. American Express, которая долгое время позиционировала себя не столько как кредитную организацию, сколько как закрытый клуб, годовой взнос за членство в которой дает особенные привилегии (статус, более высокий кредитный лимит), в 2013 г. запустила на телевидении и в Интернете серию рекламных роликов, расхваливающих систему «информационной безопасности», которая отправляет оповещения на мобильный телефон клиента всякий раз, когда Amex регистрирует подозрительное списание, которое может оказаться мошенничеством. В одном из роликов опрятный, хорошо одетый горожанин, возвращаясь в свои элегантные апартаменты, проходил мимо охранников на входе в здание, будучи при этом в поле зрения камер наблюдения, а мимо пролетали полицейские машины. И закадровый комментатор спрашивал: «А кто обезопасит нас в сети, где мы тратим более двух миллиардов долларов ежегодно?» Ответ: «American Express обезопасит с помощью своего алгоритма, который изучает характер ваших личных трат и выявляет аномалии». (Между прочим, закадровый текст произносила актриса Клэр Дэйнс, которая сыграла в сериале Homeland канала Showtime роль оперативной сотрудницы ЦРУ, пытавшейся предотвратить очередную террористическую атаку в США.)

Конечно, кредитные компании уже много лет использовали системы обнаружения мошеннических операций, но позиционировать их как престижный и модный сервис они начали совсем недавно. Таким образом, компания реагировала на растущее понимание своих клиентов того факта, что они и их деньги уязвимы для киберпреступников. Наш стильный владелец кредитки получает оповещение на свой айфон и, стоя посреди оживленной улицы, сообщает American Express, что он не совершал девять секунд назад покупок в интернет-магазине электроники на сумму $1245. Он спокойно наслаждается обедом в кафе и уверенно кладет на стол свою карту Amex, зная, что он – «член более безопасного мира». Смысл этого ролика однозначен. Вы можете себя обезопасить. (И вам следует хотеть себя обезопасить.) Но это будет стоить вам денег.

В феврале 2014 г. Администрация Обамы выпустила ряд руководств и рекомендаций, описывающих практический опыт обеспечения кибербезопасности, и призвала компании прислушаться к ним. Однако Администрация не стала принуждать к их соблюдению, и внедрение этих рекомендаций оставалось для компаний делом добровольным. Как сказал высокопоставленный представитель Администрации, «в конечном счете именно рынок является двигателем бизнеса, и именно рынок определяет, будут ли компании следовать этим инструкциям или нет».

Вместе с тем коммерческие компании ответственны за большинство инноваций в сфере кибербезопасности – за появление новых средств и методов безопасного хранения данных и проведения кибератак на их противников. Компании, специализирующиеся на кибербезопасности, будут привлекать наиболее опытных и квалифицированных сотрудников, поскольку уровень зарплат в коммерческих фирмах намного выше, чем в государственных агентствах и военных ведомствах. Государство никогда не сможет предложить конкурентный уровень зарплат квалифицированным техническим специалистам. Государственные и военные ведомства будут привлекать талантливых сотрудников обещаниями необычной и полной приключений работы – шпионаж, военные операции – и будут апеллировать к чувствам долга и чести, которые всегда сопутствуют службе на благо общества. Однако этого будет недостаточно, чтобы справиться с теми проблемами безопасности, с которыми столкнется государство, особенно в гражданских агентствах, где иногда уровень безопасности все еще ужасающе низок. И в качестве примера вы скорее всего назовете Министерство по делам ветеранов, в котором регулярно теряли информацию о пациентах, в том числе их номера социального страхования и другие важные сведения, и вряд ли назовете ЦРУ, в котором используются довольно надежные методы защиты. Еще стоит отметить, что те государственные службы, где конфиденциальность информации о гражданах наиболее уязвима, как правило, защищены хуже остальных.

Агентства, которые не могут нанять собственных защитников, будут обращаться за услугами к корпорациям, в которых работают хорошо подготовленные бывшие военные или государственные служащие и руководители которых сами когда-то несли ответственность за множество государственных программ и операций по кибербезопасности. На государственную службу всегда смотрят как этап на пути к повышению личного благосостояния. Государственные агентства и военные ведомства теперь принимают во внимание тот факт, что большинство сотрудников остается на госслужбе достаточно долго, чтобы получить знания и навыки, высокий уровень доступа к секретной информации (необходимое требование для работы в сфере кибербезопасности) и собрать базу профессиональных контактов и знакомств, после чего они уходят работать в частный бизнес. Классическая текучка кадров между государственным и частным сектором. В будущем этот процесс ускорится.

Американские власти продолжат обмениваться секретными сведениями об угрозах с провайдерами, которые будут использовать полученные данные для сканирования трафика своих клиентов, а именно, ваших электронных писем, поисковых запросов, просмотренных вами сайтов. Конгрессу придется внести изменения в законодательство, чтобы подобный обмен сведениями с государственными органами мог осуществляться чаще, чем сейчас. Поставщики услуг, как и другие компании, которые работают с персональными данными, требуют гарантий того, что в случае передачи подобных сведений властям они не будут нести ответственность за нарушение тайны частной жизни, которая может возникнуть в подобной ситуации. Некоторые из этих компаний также хотят получить иммунитет на случай, если они не смогут отразить кибератаку и в результате будет нанесен физический ущерб или произойдет потеря информации. Как только провайдерам обеспечат подобную защиту от ответственности, государство будет ждать от них укрепления обороны киберпространства. Фактически инфраструктура киберпространства находится в руках приблизительно 5000 провайдеров и операторов связи, и предполагается, что они перестанут продавать доменные имена киберпреступникам, прекратят обслуживать известных или подозреваемых злонамеренных субъектов и начнут перенаправлять или перекрывать трафик во время крупных кибератак.

Некоторые наблюдатели проводят аналогию между современными киберпреступниками и европейскими пиратами XVII в. Сравнение довольно удачное и поучительное. Английские пираты когда-то бороздили морские просторы, нападая на торговые суда и терзая более мощный королевский флот, преимущественно испанский. Китайские кибершпионы, как те пираты, действуют по поручению своего правительства, но на достаточной дистанции и втемную, что дает властям благовидный предлог заявить о своей беспомощности перед ними. На высшем правительственном уровне эта ширма разрушается. Американские официальные лица публично и в частных беседах призывают китайское правительство прекратить киберпиратство, которое, как известно обеим сторонам, оно поддерживает. Вместе с тем, действуя в том же духе пиратства, государства могут привлекать киберфлибустьеров для противостояния угрозам. Можно воспользоваться современным аналогом каперского свидетельства или традиционной системой поощрений, чтобы позволить частным кибервоинам атаковать преступников и шпионов или по крайней мере дать им организовать «активную оборону», которая является отличительной чертой АНБ. Конечно, властям следует обращаться к подобного рода грязным методам только в случае, когда состояние кибербезопасности станет намного хуже, чем сейчас. Тем не менее компании, обладающие необходимыми для такой деятельности опытом и навыками, уже в деле. Пусть это кажется невероятным, но вполне возможно, что государство может предоставить конкретным фирмам особые полномочия, которые позволят им проводить ответные взломы, направленные против опасных целей, особенно во время крупных кибератак, угрожающих ключевым объектам инфраструктуры.

Пока власти по-прежнему запрещают компаниям начинать частные кибервойны, к которым они относят и ответный взлом как способ возмездия за похищение информации из частной сети или атаки на нее. Однако должны быть сформулированы правила, которые установят границы права на самооборону. Примут ли эти правила форму законов? Возможно, в дальней перспективе. Но в ближайшем будущем руководствоваться придется широко принятыми нормами поведения, которые крайне сложно регламентировать. Как только одна компания совершит в целях самозащиты ответный взлом, другая решит поступить так же, даже несмотря на то что закон явно запрещает подобные действия. Частные кибервойны, вероятно, неизбежны. Однажды какая-нибудь компания решит привлечь взломщиков документами, зараженными вирусами, которые уничтожат сеть взломщика, как только он их откроет. Провокация перерастет в дуэль. Затем придется вмешаться властям, чтобы разрядить критическую ситуацию или в худшем случае силой урегулировать ее.

Вместе с тем, чтобы защитить людей от повседневных киберугроз, которые не представляют опасность для жизни, компании будут создавать безопасные зоны Интернета. Банки уже пытались избавить свои сайты от доменной зоны.com и перейти в зону. bank или даже заменить название зоны на собственное название банка. Банки надеялись, что это послужит сигналом для их клиентов о том, что они работают с настоящим банком, а не с мошенническим сайтом. Кроме того, компании будут создавать полноценные кибернетические инфраструктуры, в которых безопасность будет поставлена во главу угла, а трафик анализироваться более активно и тщательно, чем в общедоступном Интернете. Это будет онлайн-аналог особо охраняемых территорий. И, как в любой частной организации, владельцы такой инфраструктуры смогут ограничивать пользование ею, устанавливать правила и требовать их выполнения, а также предлагать особые преимущества, прежде всего безопасность. Представьте, что все сервисы, которыми вы пользуетесь в повседневной жизни, – ваш банк, электронная почта, любимые интернет-магазины – все они работают в одной или в нескольких частных сетях. В пределах этих сетей их владельцы тщательно анализируют трафик на предмет вредоносных программ, предупреждают вас о потенциальной опасности похищения ваших личных данных, контролируют тех, кто пытается войти в сеть, и не пускают в нее любых подозрительных пользователей. По сути, это получается аналог сверхсекретных сетей, которыми пользуются военные. Как показала операция «Американская картечь», такие сети, как и военные, не станут неприступными для врагов. Однако они смогут обеспечить более высокий уровень безопасности, чем тот, который мы имеем сейчас на преимущественно неконтролируемых просторах Интернета.

Кто сможет построить такое сообщество? Возможно, Amazon. Действительно, компания уже создала одну версию такой инфраструктуры – для ЦРУ. Веб-службы Amazon, которые выполняют функции хранения и обработки данных для других компаний, получили 600-миллионный контракт на создание закрытой системы, или «облака», для шпионского агентства. В отличие от других «облаков», доступ к которым осуществляется через общедоступный Интернет, это «облако» будет построено на собственном аппаратном и сетевом оборудовании Amazon. Раньше компания не предлагала услуги по созданию частных сетей, и ЦРУ может стать первым клиентом на этом новом рынке.

В ближайшем будущем, возможно, вы будете проводить больше времени внутри таких защищенных сообществ. Ценой за вход будет потеря анонимности. Компания должна будет знать, кто вы такой и, что более важно, где вы и ваши компьютер или мобильное устройство находитесь. Необходимость определения вашего местоположение нужна, чтобы оператор зоны безопасности мог узнать, друг вы или враг. Это позволит выкинуть вас из этой зоны, если вы будете нарушать правила. Анонимность будет восприниматься как угроза. Анонимность будет означать, что вам есть что скрывать, как злонамеренному хакеру, который прячет свое настоящее местоположение с помощью взломанного сервера, расположенного в другой стране. У вас будет удостоверение, вроде паспорта, подтверждающее вашу принадлежность к зоне безопасности и ваше согласие с ее правилами в обмен на защиту. Безопасность в киберпространстве не будет вашим правом. Она будет вашей привилегией. И вам придется за нее платить.

Принципиальные вопросы о нашем будущем в киберпространстве состоят вовсе не в том, следует ли нам принять законы и правила, регулирующие поведение в нем. Неуправляемые пространства распадаются. Они нездоровы и опасны. Они становятся прибежищем для преступников и террористов. Никто всерьез не рассматривает будущее без законов и правил. Дилемма состоит в том, какой относительный вес мы придадим безопасности в киберпространстве и кто будет нести ответственность за нее. Какие транзакции и в каком количестве следует подвергать тщательному анализу? Все электронные письма? Все поисковые запросы? Все покупки? И кто будет анализировать? Следует ли позволить людям отказаться от более безопасного киберпространства в пользу того, в котором возможна анонимность? Мы никогда не признавали право сохранять анонимность. Однако киберпространство представляет нам эту возможность. Для многих она является залогом свободы самовыражения, которую Интернет призван поддерживать и развивать. Правительство США приняло эту концепцию, когда помогало создавать анонимную сеть Tor.

Что же делать с неприкосновенностью частной жизни? Наш словарный запас для описания этой идеи стал бесполезен благодаря вездесущему наблюдающему государству. Большая часть информации об американских гражданах, которую собирают разведывательные службы США, состоит из записей и логов, то есть так называемых метаданных, которые не защищены от поиска и изъятия Четвертой поправкой. Когда люди говорят о праве на неприкосновенность частной жизни в сети, действительно ли они подразумевают право на сохранение анонимности? На право быть неузнаваемыми для следящих за всеми властей? С точки зрения правительства анонимность моментально вызывает подозрения. Анонимность – это потенциальная угроза. Именно поэтому АНБ в итоге посвятило столько времени, чтобы подорвать работу сети Tor. Анонимность и коллективная безопасность несовместимы в киберпространстве. Несомненно, эти два фактора еще многие годы будут противостоять друг другу.

Возлагать исключительно на государство определение баланса между этими конкурирующими интересами следует с осторожностью. Нелегальные разведывательные операции – не слишком подходящее средство ведения честной и долговременной публичной политики. Около четырех лет АНБ вело массовую нелегальную слежку за американскими гражданами, реализовывало секретную программу, некоторые части которой были совершенно незаконны, но именно она заложила основы военно-сетевого комплекса. Мы даже не подозревали, что этот комплекс зарождается. Не подозревали до тех пор, пока он не оказался направлен против нас.

Собственными действиями, которые были санкционированы двумя президентами, АНБ сделало Интернет менее безопасным во многих отношениях. Внедряя вредоносные программы в десятки тысяч компьютеров и серверов по всему миру, агентство могло создать новые уязвимости на машинах, используемых невинными людьми, и таким образом подвергнуть их повышенному риску оказаться объектом атаки или шпионажа, в том числе со стороны властей. Агентство также усложнило американским компаниям ведение бизнеса в глобальной экономике. IBM, Hewlett-Packard, Cisco и Microsoft все отмечали падение продаж в Китае и на других ключевых рынках в результате разоблачений шпионажа АНБ. Иностранные государства теперь воспринимают американские технологии, которые когда-то были золотым стандартом качества и инноваций, как средство шпионажа со стороны Америки. Конечно, компании сами несут заметную долю ответственности за такое отношение в той степени, в которой они участвовали в государственных программах наблюдения или закрывали глаза на то, что АНБ устанавливало бэкдоры в их системах. Также нам следует с осторожностью и критически относиться к решениям корпораций о том, как уравновесить конкурирующие вопросы гражданских свобод и безопасности в киберпространстве. Конечно, корпорации будут иметь самое непосредственное влияние на будущее Интернета, и они уже предпринимают шаги – большей частью направленные на противодействие шпионажу АНБ – по повышению безопасности своих продуктов и услуг. К примеру, Google уже сейчас усилило шифрование электронных писем, что существенно затруднит шпионам чтение перехваченной частной корреспонденции. Пользователи, придающие большое значение неприкосновенности частной жизни, считают это победой. Запрос на более безопасные и потенциально более анонимные технологии будет подпитывать новый высокотехнологичный сектор экономики: защиту от слежки в киберпространстве.

Тем не менее АНБ – это не враг. АНБ – это центр, в котором вырабатываются необходимые навыки и знания о защите компьютеров и людей, их использующих, от недоброжелателей независимо от того, преступники ли они, шпионы или солдаты. АНБ и Киберкомандование должны наращивать свои возможности, чтобы обеспечить национальную оборону. Однако шпионское агентство слишком строго контролировало развитие Киберкомандования. Ведение кибервойны – это, строго говоря, дело вооруженных сил, и военные ведомства, которые контролируются гражданскими, а не солдатами или шпионами, должны играть в этом ведущую роль. Они должны отвечать за включение кибернетических военных операций в военную доктрину – и так, несомненно, поступят все современные армии мира. Будущий президент, возможно, решит разделить руководство АНБ и Киберкомандования, что в значительной степени поспособствует повышению профессионализма и ответственности киберармии.

Вместе с тем киберпространство слишком огромно и всеобъемлюще, чтобы позволить какой-либо одной силе управлять им или диктовать правила поведения. Дать ясное и четкое определение киберпространства невозможно. Оно не является общественным, но оно и не частное. Мы пришли к тому, что начали зависеть от него, как от электричества и водопровода. Однако по-прежнему киберпространство – это по большей части совокупность устройств, находящихся в чьей-то собственности. К счастью, мы находимся на заре новой эры, и есть еще немного времени, чтобы изучить проблему киберпространства, к которому мы так привязались и обсуждение природы которого заводит в тупик любую дискуссию.

Однако время бежит быстро. Государства и корпорации устанавливают правила по ходу дела, и их действия имеют весьма серьезный и осязаемый эффект, чего многие пока не осознают. Это влияние сказывается на каждом, кто сталкивается с киберпространством, которое, несомненно, является коллективным. Любой может увидеть то, что Эйзенхауэр называл «важнейшим соглашением о текущем великом моменте, мудрый анализ которого позволит лучше осознать и сформировать будущее нации». Эйзенхауэр был обеспокоен появлением мощных и потенциально разрушительных новых технологий, но больше всего его тревожила «научно-техническая элита», которая заявляла, что лучше остальных знает, как принимать решения, которые свободные люди могут принимать за себя сами. Именно появления военно-промышленного комплекса Эйзенхауэр боялся больше всего. И его призыв сохранять бдительность по отношению к «возрастающей неуместной силе» сегодня актуален так же, как и тогда. «Нам не следуют ничего принимать на веру. Только бдительное и информированное гражданское общество способно заставить огромную оборонную машину, в которой слились промышленность и армия, следовать нашим мирным целям, чтобы безопасность и свобода могли процветать вместе».

Благодарности

Написание книги требует уединения. Однако выпуск книги в свет – это работа коллективная. Я хотел бы вспомнить некоторых людей, чьи наставления, поддержка и время оказались особенно ценными для меня во время работы над книгой.

У меня давно уже закончились восхищенные эпитеты, которыми я мог бы описать моего агента Тину Бенетт, и это, могу вас заверить, общая проблема для всех ее клиентов. Она одна из самых чутких и заботливых людей, которых я знаю, и неутомимый защитник своих писателей и их работ. Это наша вторая совместная книга. Как и при работе над первой, Тина уточняла и улучшала мои идеи и помогла мне осознать, что именно я хочу сказать. Для писателя не может быть лучшего компаньона.

Мне ужасно повезло иметь двоих таких помощников. Своему редактору Имону Долану я бы доверил своего первенца, впрочем, полагаю, так я и поступил. Он также второй раз помогает мне с книгой, и, в общем-то, мне не нужны были дополнительные подтверждения его таланта и благородства, но я их получил. Имон не просто улучшил эту книгу изящной редактурой и прилежным вниманием к деталям. Он помог выстроить структуру моей истории. Не будет преувеличением сказать, что если бы не Имон, то книга была бы совершенно иной – она просто получилась бы хуже.

Я благодарю также коллег Тины и Имона. Светлана Кац никогда не теряла присутствия духа, отвечала на все мои вопросы и однажды спасла мой бекон. А Бэн Хаймен помогал мне соблюдать сроки и дедлайны, с которыми приходится иметь дело, когда книга уже написана. Я признателен Маргарет Уимбергер, которая бережно отредактировала мою рукопись, обнаружив множество «гаек», которые нужно было «подтянуть», и «складок», которые следовало «разгладить». Благодарю также Ларри Купера за сопровождение всего процесса издательской подготовки рукописи вплоть до выхода книги.

Саймон Тревин из WME стал для меня и моей книги первым защитником в Лондоне. Он направил мое предложение Саймону Торогуду из Headline Publishing Group, который с энтузиазмом отнесся к этому проекту. Я очень признателен за то, что книга нашла свое пристанище и что благодаря их усилиям многие люди получат шанс ее прочитать.

Страницы: «« 123456 »»

Читать бесплатно другие книги:

Поддельная картина часто выглядит эффектнее подлинника. Фальшивые чувства бывают убедительнее настоя...
Странные и загадочные события происходят в Игрушечном королевстве. В самом центре этих невероятных п...
Это история произошла в годы Великой Отечественной войны в глухой сибирской деревне. После проводов ...
У Киры жизнь шла ровно и гладко, словно в сказке, и всё было замечательно. Судьба сложилась так, как...
Мы с детства слышим о том, что мысли материальны. О чем подумаешь, то и исполнится. Однако не у всех...
В своей новой книге Тит Нат Хан, знаменитый мастер дзен, показывает, как сохранять невозмутимость, н...