2. «Россия. Китай. Пран и Северная Корея используют киберпространство в качестве площадки, где они могут бросить вызов Соединенным Штатам, нашим союзникам и партнерам. Такие вызовы зачастую характеризуются безрассудством, которое немыслимо в других сферах. Наши противники используют инструменты киберпространства для подрыва нашей экономики и демократии, кражи нашей интеллектуальной собственности и нарушения механизмов наших демократических процессов.

Мы видим, что здесь за прошедших почти два века ничего не изменилось, только вместо старого доброго меха и ического пулемета появился «киберпулемет» — главный американский «аргумент» для решения любых проблем.

Тем не менее, чтобы перейти непосредственно к рассмотрению темы идентификации, следует отметить следующее. Хотя продекларированный американский принцип «мочить всех» будет главным, тем не менее никто не снимает с повестки дня эту проблему. Ведь в случае кражи секретной (или особо секретной) информации, «потерпевшей» стороне небезразлично, кто конкретно завладеет этой информацией, и здесь дело не в «возмездии» — именно от успешного решения этой задачи будет зависеть структура и содержание системы (комплекса) «защитных мероприятий». Цель подобных мероприятий — избежать максимального урона (материального, финансового, имиджевого, военного, политического и др), от приобретения противником секретной информации и срочно разработать конкретные меры по «залатыванию» обнаруженной «дыры» в защитных барьерах.

1.6.2. Зачем нужна идентификация и что она в себя должна включать

По заказу НАТО уже несколько лет ведется работа над второй редакцией известного специалистам по международному праву, так называемого Таллинского руководства по применению международного права при ведении кибервойн, еще в первой версии которого обосновывалась возможность физического ответа на кибернападение. Очевидно, что в такой ситуации как никогда важна правильная идентификация источника киберугроз. Ошибочная идентификация может привести к развязыванию войны (локальной. региональной или глобальной) или, наоборот, привести к тому, что будет упущено время, необходимое для подготовки к отражению агрессии. Неспособность установить истинного виновника и, тем более, заказчиков, не позволит в полной мере задействовать имеющиеся в распоряжении каждого государства дипломатические, политические и юридические рычаги.

Поэтому идентификация нужна не только для того, чтобы понять, кто действует против нас, но и чтобы выстроить оборонительную стратегию и спланировать защитные действия. Один вариант, если мы имеем дело с нарушителем, за которым стоит государство; если же угроза реализована негосударственным автором, то и ответные действия должны быть другие. Не на техническом уровне — тут механизмы зашиты будут практически одинаковыми (если не рассматривать возможность бомбардировок в ответ на сканирование сети), а на дипломатическом и правовом, и именно от идентификации будет зависеть набор шагов, которые предпримет государство.

Говоря об идентификации, надо заранее понять, насколько точно мы хотим ответить на вопрос кто нас атакует, до какого уровня детализации дойти. Таллинское руководство не особо глубоко погружается в детали и просто ищет основания для применения традиционных вооружений против кибернападений, поэтому атрибуция в нем ограничивается определением государства, с территории которого фиксируется кибератака.

Идентификация узла, с которого осуществляется воздействие в киберпространстве, необходима, чтобы понять, принадлежит этот узел частному лицу или организации, какой интернет-провайдер выделил IP-адреса для данного узла (возможно, этот провайдер ранее был замечен и в других кибератаках), физическое местоположение данного узла (которое зачастую можно определить), настройки узла, вплоть до используемой операционной системы и приложении. по которым можно попробовать определить языковую или национальную принадлежность атакующего, и т. д.

Идеально, если в рамках этой работы можно будет сделать вывод о мотивах совершаемых действий. Однако определение мотивации — это уже «высший пилотаж» в области идентификации спе-цопераций в киберпространстве и только техническими средствами решить эту задачу невозможно.

Сегодня в мире существует целый ряд компаний, которые специализируются только в этой области. Можно привести отдельные примеры относительно успешных операций по идентификации:

•  Cylance, которая изучала кампанию иранских хакеров Cleaver (пож мясника);

•  Partners, которая раскрыла операцию Newscaster (течеком-ментатор), также исходившую из Прана;