Kibernetiniai ginklai atrodo gerokai nuobodesnis dalykas už dar tik brėžiniuose egzistuojančius futuristiškus tankus, pirmą kartą į orą pakylančius naujus karinius lėktuvus ar netgi naujo tipo amuniciją, kuri skrieja toliau, greičiau, taikliau arba smarkiau sužaloja priešininką. Bet kuomet norima įgyti pranašumą, geros būna visos priemonės – net ir tos, kurios yra nuobodžios ar nelabai matomos.
Juolab, kad tos nuobodžios ir nelabai matomos priemonės kartais gali būti panaudotos taip sėkmingai, kaip negalėtų būti panaudota net didelė specialios paskirties karių grupuotė. Kaip, antai, gadinant tūkstančius urano sodrinimo centrifugų ar dešimtis tūkstančių kompiuterių. Ar ganėtinai netolimoje ateityje tiesiogiai keliant grėsmę žmonių gyvybėms.
Apie tai, kaip vykdomas kibernetinis puolimas ir kaip nuo jo galima būtų apsisaugoti, išskirtiniame interviu DELFI papasakojo Oksfordo universiteto Politikos ir tarptautinių santykių fakulteto vyr. lektorius, dr. Lucasas Kello. Jo specializacija – tyrimai, kaip naujos technologinės galimybės keičia tarptautinio saugumo ir konfliktų tendencijas, o taip pat – kaip kibernetinių konfliktų kontekste veikia programišių aktyvistų grupuotės, religinių ekstremistų grupuotės ir netgi pavieniai programišiai.
Lucas Kello / © DELFI (T. Vinicko nuotr.)
Kas gali pulti kibernetiniu frontu?
Kibernetines kariuomenes tikrai turi JAV, Rusija, Kinija ir Šiaurės Korėja. Bet tai – tik labai sutrumpintas, jokiu būdu ne galutinis sąrašas. O galutinį sąrašą sudaryti sunku. „Susiduriame su nauja ginklų klase. Tuos ginklus labai sudėtinga stebėti. Sudėtinga netgi patvirtinti jų egzistavimą. Nes tai – ne fiziniai tankai, ne balistinių raketų paleidimo kompleksai. Ne, tai ginklai, kurie sudaryti iš nuliukų ir vienetukų. Jie neapčiuopiami. Todėl jų egzistavimą patvirtinti sunku, o jei tokį ginklą turite patys, tuomet jį labai lengva paslėpti“, – sakė L. Kello.
Juolab, kad akademinėje bendruomenėje dirbantys žmonės, neturintys ryšių valstybinės žvalgybos organizacijose, iš esmės net negali pasakyti, kurios valstybės turi savo kibernetines kariuomenes, o kurios – ne. Apie tai galima spręsti tik iš įvykdytų atakų. Ir net tuomet, jeigu konfliktas nėra aiškiai dvišalis, galima aiškiai pasakyti tik kas yra kibernetinio išpuolio auka, o ne kas yra vykdytojas.
Bet J. Kello galėjo nurodyti, kad JAV, Jungtinė Karalystė, Izraelis, Prancūzija ir Rusija vysto potencialiai rimtus puolamuosius kibernetinius ginklus. Vėl gi bėda ta, kad sužinoti kokie tai ginklai, kaip jie veikia iš esmės neįmanoma tol, kol jie nėra panaudojami. O tada belieka stebėtis kariuomenės išradingumu.
Kibernetinio puolimo galimybės sužinomos tada, kai jau vėlu
Vienas tokių atvejų, kuomet beliko išsižiojus stebėti kas vyksta ir bandyti pasisemti išminties bei išradingumo – išpuolis prieš urano sodrinimo bazę Natanze, Irane. Ši bazė nuo išorinių kibernetinių išpuolių buvo apsaugota, atrodytų, neįveikiamai – visi jos viduje esantys kompiuteriai buvo apsaugoti vadinamuoju „oro tarpu“. Kitaip tariant, nė vienas iš jų nebuvo kokiais nors tinklais sujungtas su išoriniu pasauliu. Bet pasitelkus išradingumą kibernetinis kenkėjas „Stuxnet“ sugebėjo patekti į bazę, o tuomet, automatiškai nusitaikęs į „Siemens“ aparatūros valdymo sistemas, pradėjo chaotiškai kaitalioti urano sodrinimo centrifugų sukimosi greitį ir tokiu būdu apie 1000 jų sugadino.
„Nujautėme, kad kibernetiniais ginklais galima padaryti panašią fizinę žalą infrastruktūrai. Ir po to turėjome faktus, kad taip iš tiesų padaryta. Ir kad veikiausiai tai padarė bendradarbiaujami amerikiečiai bei izraeliečiai“, – sakė L. Kello.
Tenka pripažinti, kad akademinės bendruomenės žinios smarkiai atsilieka nuo to, kas jau išvystyta ir galimai net naudojama įvairiose pasaulio šalyse, tačiau labai įslaptinta ir pažįstama tik labai siauram išrinktųjų rateliui. Ir kartkartėmis įkliūva kibernetinio pasaulio „sargams“ – kibernetinio saugumo bendrovėms, kurios išnarplioja ir paviešina ištisus kibernetinių atakų voratinklius – sužino kokiomis gudrybėmis naudojasi užpuolikai, kokie yra jų taikiniai, kokie yra jų tikslai. O patį užpuoliką gali parodyti tik labai apytiksliai – tvirtų įrodymų nėra ir būti negali, nes visi pėdsakai prapuola nežinia kur.
Kaip bebūtų keista, kariuomenės kibernetinių ginklų kūrėjai veikiausiai savo įgūdžius įgijo toje pačioje akademinėje aplinkoje – jie išmoksta programuoti, išmoksta analitinio mąstymo, reikalingo tikslui pasiekti. Bet kai studentai baigia mokslus, gauna diplomą, įgyja laipsnį, kartkartėmis jie pradeda dirbti vyriausybei. Ir tada bendravimas tiesiog nutrūksta: juos saisto konfidencialumo reikalavimai. „Bet tai nereiškia, kad šioje srityje rimti akademiniai darbai negalimi. Nes vyksta daug dalykų, kuriuos galime stebėti“, – tvirtino L. Kello, kaip matomus pavyzdžius nurodęs pačius žinomiausius pastarųjų laikų kibernetinius išpuolius, veikiausiai vykdomus valstybinių institucijų.
Tokie išpuoliai – tai jau minėta „Stuxnet“ ataka, išpuolis prieš Estijos kibernetinę infrastruktūrą 2007 metais, ataka prieš Gruziją 2008 metais, prieš „Saudi Aramco“ 2012 metais (anuomet „Shamoon“ virusas didžiausioje pasaulyje naftos bendrovėje sugadino dešimtis tūkstančių kompiuterių) ir daugelis kitų. „Negalime pasakyti, kad nėra atvejų, kuriuos galėtume analizuoti ir tyrinėti. Tiesiog mes nematome pilno išpuolių ir galimybių spektro“, – sakė L. Kello.
Be to, vykdant kibernetinių išpuolių tyrimus susiduriama su tam tikra terminijos problema. Štai kai praėjusių metų pabaigoje, manoma, Šiaurės Korėjos programišiai iš esmės paralyžiavo „Sony“ kino studijos veiklą, kibernetinio karo veiksmu to pavadinti lyg ir nebuvo galima. Bet ir kibernetinis vandalizmas nelabai tinka – susidarytų įspūdis, kad tai buvo taip pat nerimta, kaip ir paaugliškas sienų terliojimas grafičiu.
Verslas ir valstybė dalinasi paslaptimis
Kovo mėnesį „Bloomberg“ publikavo medžiagą, kurioje iš esmės tiesiogiai apkaltino antivirusinių programų kūrėjus ir kibernetinio saugumo ekspertus iš Rusijos – „Kaspersky Lab“ – bendradarbiaujant su Rusijos Federaline saugumo tarnyba (FSB). Esą, saugumiečiams atskleidžiama privati informacija apie vartotojus, nors oficialiai nurodoma, kad privačios vartotojo informacijos „Kaspersky Lab“ tiesiog nemato. Savaime suprantama, pats kompanijos įkūrėjas Jevgenijus Kasperskis, pradėjo aršiai ginti savo įmonės garbę ir pareiškė, kad jokiu būdu nerizikuotų savo 700 mln. JAV dolerių vertės verslu, o „Bloomberg“ savo straipsnius rašo „iš lempos“.
Anot L. Kello, privataus verslo ir valstybinių agentūrų bendradarbiavimas – beveik neabejotinas dalykas. Klausimas – kiek tas bendradarbiavimas glaudus. „Štai „Kaspersky“, pardavinėdami savo produktus vakarų valstybėse, dažnai skelbia šūkį „Mes nedirba su JAV valdžia“. RSA ar „Google“ tokiu bendradarbiavimu įtarti būtų galima, bet „Kaspersky“ kategoriškai sako: „Ne, su JAV valdžia – jokių ryšių“. Tik štai lieka neatsakytas klausimas – o kaip su Rusijos valdžia? Atsakymas į šį klausimą yra neaiškus“.
„Galbūt įdomesnis šiuo platesniu aspektu – privataus ir viešo sektorių bendradarbiavimo – yra RSA atvejis. Vienas iš įdomių dalykų, kuriuos sužinojome Edwardui Snowdenui paviešinus duomenis – kad RSA duomenų šifravimo sertifikatai yra „nulaužti“. Ir tuomet savaime kyla klausimas – ar būta bendradarbiavimo tarp RSA bendrovės ir JAV valdžios, kuris būtų pakenkęs šifravimo saugumui siekiant suteikti valdžiai daugiau stebėjimo galių?“, – svarstė kibernetinio saugumo mokslininkas.
Praėjusio amžiaus gale vyko vadinamieji „kriptografijos karai“ – JAV vyko arši diskusija, ar vyriausybė turėtų turėti laisvą prieigą prie šifruotų duomenų, kad galėtų juos peržiūrėti esant poreikiui? „Manėme, kad šios diskusijos rezultatas – vyriausybės pralaimėjimas, kad šifravimo produktuose nebuvo tokių dalykų, kaip „galinio kiemo durys“ (angl. Backdoor). Dabar pradedame suprasti, kad vyriausybė visai nepralaimėjo. Taip, debatuose, mūšyje, jie pralaimėjo. Bet jei E. Snowdeno ataskaita teisinga, jei RSA šifravimas tikrai atviras JAV valdžiai, tai ji galų gale laimėjo“.
Grėsmė – tiekimo grandinėje
Kalbant apie tarpvalstybinį kibernetinį šnipinėjimą, L. Kello nurodė, jog egzistuoja labai aiški rizika, kad į valstybinio sektoriaus jautrias sistemas diegiant užsienio valstybėse sukurtą programinę įrangą galima susidurti su netikėtomis, nemaloniomis pasekmėmis.
„Be jokios abejonės, egzistuoja tiekimo grandinės grėsmė. Ir tai netgi ne vien programinės įrangos bėda – grėsmė, galbūt netgi labiau, būdinga techninei įrangai“, – sakė L. Kello. Vienas iš tokių grėsmių tiekimo grandinėje pavyzdžių yra jau minėtas „Stuxnet“ išpuolis urano sodrinimo bazėje: nors kompiuteriai buvo apsaugoti „oro tarpu“, egzistuoja versija, kad kompiuterius šiai bazei valstybinio konkurso keliu pardavęs verslininkas Ali Ashtari iš tikrųjų buvo Izraelio užverbuotas agentas. Kita hipotezė – kad „Stuxnet“ į Natanzo urano sodrinimo gamyklą pateko per USB atmintinę, kuria galėjo būti infekuotas vieno iš šios įstaigos darbuotojų kompiuteris, kuris vėliau buvo atneštas į apsaugotą erdvę ir prijungtas prie tinklo, taip paskleidžiant infekciją į per centrifugų valdymo sistemą.
Tiekimo grandinėje rimtą susirūpinimą kelia tai, kad surinkinėjant kompiuterį kai kurie komponentai būna pagaminti nežinia kur. „Nėra jokio absoliučiai užtikrinto būdo pasakyti, kad komponentas yra tikrai tiesiogiai iš „Huawei“, kad į jį Kinijos valdžia neįdiegė slaptų prieigos galimybių“, – sakė L. Kello.
Žinoma, tokios į konkretų taikinį nenukreiptos atakos yra atsitiktinis šaudymas. Tuo tarpu kai, pavyzdžiui, dalyvaujama valstybiniuose techninės ar programinės įrangos pirkimo konkursuose, pasiruošimas atakai ar šnipinėjimui gali būti kur kas rimtesnis, norint pasiekti tokį žalos lygį, kaip „Stuxnet“ atveju, reikia turėti gerokai daugiau specifinių žvalgybos žinių – pavyzdžiui, žinoti kokios konkrečiai yra centrifugų valdymo sistemos, į kokias komandas jos reaguoja.
Didelę dalį kibernetinio išpuolio grėsmės, anot L. Kello, sumažintų apribojimas, kad, tarkime, vykdant valstybinius programinės įrangos pirkimo konkursus dalyvauti galėtų tik nacionaliniai programų kūrėjai. Tiesa, toks ribojimas Lietuvai vargu ar būtų naudingas – šalis labai maža, atitinkamai ir šalies viduje sukurtų programinių produktų įvairovė yra ribota.
Kas blogiausio gali nutikti?
Per maždaug aštuonerius pastaruosius metus buvo stebimas palaipsninis kibernetinių ginklų sukeliamos žalos didėjimas.
Pirmoji rimta tarptautinė kibernetinė ataka įvyko 2007 metais – nukentėjo Estija. „Matėme, kad šis instrumentas gali sutrikdyti mažos šalies finansinių ir valdžios institucijų veiklą“, – sakė ekspertas.
2008 metais kibernetinė ataka prieš Gruziją buvo panaudota siekiant suteikti taktinį pranašumą karinei kampanijai. „Rusijos kariuomenei veržiantis į Gruziją, kibernetinės atakos paralyžiavo Gruzijos centrinį banką, todėl valdžia negalėjo operatyviai vykdyti karinėms operacijoms būtinų priemonių pirkimo, o atakavus komunikacijos infrastruktūrą buvo apsunkinta valdžios ir civilių komunikacija – tai taip pat suteikė taktinį pranašumą invaziją vykdančiai kariuomenei“, – nurodė L. Kello.
Po poros metų išaiškėjo, kad kibernetinės atakos gali fiziškai pakenkti infrastruktūrai – vėlgi kalbama apie tą patį garsųjį „Stuxnet“ apsireiškimą Irane ir 1000 sunaikintų urano sodrinimo centrifugų. „Būtent ten buvo peržengta riba tarp kibernetinio ir fizinio pasaulio“, – pažymėjo mokslininkas.
2012 metais įvyko išpuolis prieš „Saudi Aramco“ - jis tapo įrodymu, kad kibernetinės karybos priemonės gali vienu metu sutrikdyti dešimčių tūkstančių kompiuterių veikimą.
„Noriu paaiškinti, kad įrodytos žalos mastas nepaliaujamai auga. Belieka užduoti klausimą – o kas toliau? Ir daugelio mokslininkų manymu, panašu, kad toliau – tik ataka, kurios rezultatas būtų gyvybės praradimas. Daug vaizduotės nereikia – tą galima padaryti nuo bėgių nuverčiant traukinius, gabenančius kenksmingas medžiagas, tą galima padaryti sutrikdant elektros tinklo veikimą. Yra daugybė galimų scenarijų, kurių rezultatas gali būti skaičiuojamas pražudytų žmonių kiekiu“, – teigė mokslininkas.
Kaip apsisaugoti?
Kalbant apie kibernetinę gynybą, L. Kello aiškiai išskyrė dvi esmines veiksmų grupes: pirmoji yra pasyvi, reaktyvi kibernetinė gynyba, kurios pagrindas yra kritinių sistemų atsparumas atakoms ir jų dubliavimas. Tokios gynybos tikslas – „sugerti“, absorbuoti žalą atakos metu ir po jos.
Antroji – aktyvi gynyba. Jos tikslas – grėsmių neutralizavimas prieš jas realizuojant. Dalis tokios gynybos yra infiltravimasis į priešininko sistemas siekiant išsiaiškinti jo puolimo potencialą ir gebėjimus. Aktyvios gynybos koncepcijai netgi galima būtų priskirti prevencines atakas prieš priešininko kibernetinio valdymo ir kontrolės funkcijas. „Žinoma, tuomet kyla klausimas – o tai gynyba ar puolimas? Tokią ribą nubrėžti sunku“, – sakė L. Kello.
Vykdant aktyvios gynybos strategiją, anot L. Kello, reikia atsižvelgti ir į tai, kaip į tokios sistemos aptikimą sureaguotų potencialus priešininkas? Ar aptikęs sistemą, iš kurios į kitą valstybę nuteka duomenys, jis manytų, jog tai yra bandymas išsiaiškinti kokios yra turimos kibernetinio puolimo galimybės ir kaip tą puolimą atremti, ar informacija renkama rengiantis patiems vykdyti kibernetinį smūgį?
Kalbant apie tokio dydžio valstybę, kaip Lietuva, Oksfordo universiteto mokslininkas visas pajėgas skirti pasyviai gynybai, nes aktyvi gynyba, kaip ir puolimas – prabanga, kurią sau leisti gali tik didelės valstybės. Jis rekomendavo atkreipti dėmesį į Estiją – ši kartą jau skaudžiai pamokyta valstybė pradėjo steigti „duomenų ambasadas“: Estija užsienio šalių jurisdikcijoje stato atsargines tarnybines stotis, kurios užtikrintų esminių valstybinių funkcijų tęstinumą rimtos kibernetinės atakos ar netgi karinės okupacijos atveju.
„Idėja tokia, kad jei jau išsivystytų tokia krizinė situacija ir tektų pradėti naudoti atsarginius serverius, esančius tokiose užsienio jurisdikcijose, kaip tarkime, Jungtinėje Karalystėje, tuomet užpuolikui smarkiai išaugtų tų sistemų neutralizavimo kaina. Sąnaudų struktūra būtų jau visiškai kitokia, nes dalyvautų visai kiti žaidėjai“, – tvirtino Oksfordo universiteto vyr. lektorius.