Тішуся, що мій попередній допис про “кіберзброю” (та чому такої речі не існує) викликав жваву реакцію в професійній спільноті. Мав насолоду подискутувати з колегами та поділитися своїм баченням цього явища, сформованим на знаннях, отриманих вже під час “кібервійни” (ну ви зрозуміли) на тлі повномасштабного вторгнення.
Цей допис буде про границі застосовності в кіберпросторі метафор з реального світу. Якщо вам досить попереднього допису, можете не читати. Якщо ж маєте сумніви – ласкаво прошу.
Найкраще несумісність понять зброя та “кіберзброя”, а отже незастосовність аналогії між ними для розуміння спроможностей держав застосовувати силу в кіберпросторі, демонструє ставлення одних держав до передачі військових технологій іншим державам. В Макса Шмітза є про це наукова стаття Cyber Arms Transfer: Meaning, Limits, and Implications (так, я читаю всі його роботи). В ній йдеться про передачу експлойтів та інструментів, тобто двох з п’яти компонентів спроможностей держав в кіберпросторі (згідно з фреймворком PETIO його ж авторства). Звісно ж, мова йде не про публічні, а про приватні експлойти та інструменти, недоступні широкому загалу.
В статті демонструється, як відрізняються інтереси держав в контексті міжнародної військової допомоги, тобто під час передачі зброї від більш спроможних держав до менш спроможних.
Для початку, є чотири формати передачі військових технологій – тобто зброї. Розглянемо їх на актуальному та усім зрозумілому прикладі з реального світу. З метою уникнення автоцензури соцмереж, я користуватимуся словом “воювати” скрізь, де насправді має бути “вбивати ру**ю”.
- Америка дає нам HIMARSи. Тепер ми можемо користуватися HIMARSами, щоб воювати.
- Америка дає нам HIMARSи та розгортає в Україні локальні СТО, де ми можемо обслуговувати HIMARSи та навіть здійснювати їхню великовузлову зборку. Тепер ми можемо воювати з вищою економічною ефективністю.
- Америка дає нам HIMARSи та розміщує в Україні три заводи з виготовлення HIMARSів, де ми можемо навчати персонал, переймати організаційний досвід, та зрештою вдосконалювати HIMARSи для ефективнішого використання в унікальних умовах нашої війни. Тепер ми можемо користуватися тюнингованими HIMARSами, щоб воювати так, як ніхто не робив це до нас.
- Америка передає нам увесь об’єм знань, вмінь та організаційних спроможностей для виготовлення РСЗВ нового покоління, які будуть кращі за HIMARS та встановлять нові золоті стандарти ведення бойових дій.
Тепер щодо стимулів та інтересів. Сподіваюся, нікому не треба доводити, що інтереси США полягають у тому, щоб надати нам найменший об’єм військових технологій, достатній для перемоги. Тобто, Америка умовно “бажає” піти по першому сценарію значно сильніше, ніж по другому, і тим більше третьому, а про четвертий годі й казати. Саме тому його вона й обирає. Такий вже характер передачі кінетичних озброєнь, і такі стимули щодо цієї передачі у більш спроможних держав.
А що ж із цим в кіберпросторі? Ну поміркуймо… Чи вже здогадалися? Правильно – в кіберпросторі все рівно навпаки.
Держава А, яка має потужні спроможності для застосування сили в кіберпросторі, з найменшим завзяттям передасть державі Б, яка цих потужностей майже не має, конкретні експлойти та інструменти. Адже експлойти та інструменти – це конкуруючий товар: їхнє використання однією стороною ставить під реальну загрозу їхнє використання іншою. Використаний для здійснення впливу експлойт нульового дня припиняє бути ним за означенням, і тепер його експлуатацію відловлюють оновлені засоби безпеки, а вендор готує оновлення з виправленням відповідної вразливості.
Також, використання одних і тих самих експлойтів та інструментів створює підстави для операційного трекінгу: кібератаки, здійснені державою Б, вочевидь, не будуть секретом для держави А. Щобільше, спільні експлойти та інструменти створюють непотрібну атрибуцію дій держави Б до держави А. Незручно та не вигідно з усіх боків, як не крути.
Таким чином, передача готових експлойтів та інструментів геть не в інтересах держави, що їх передає. Тому, передавати така держава буде щось таке, що вона сама ніколи не використовувала (уникаючи атрибуції) та що їй самій зовсім не потрібно (уникаючи конкуренції). Та ще й матиме повну картину, як це потім буде застосовуватися. Увага питання: навіщо державі Б потрібна така “допомога”?
З іншого боку, передача вмінь, знань та навичок, необхідних для пошуку нових експлойтів та розробки нових інструментів – цілком в інтересах усіх учасників процесу. Згідно з такою стратегією загальний “пиріг” з експлойтів та інструментів лише збільшується та не призводить при цьому до зайвої конкуренції та перехресної атрибуції. Ще й операційний трекінг залишається предметом операційної безпеки, а не довіри між партнерами.
Пропускаючи всі тонкощі процитованої вище статті, підсумую мотиви держав допомагати одна одній розбудовувати спроможності в кіберпросторі. Лідерам цікаво залишатися лідерами, проте вони зовсім не проти мати потужних союзників. Звісно, поки в них із союзниками збігаються цілі та цінності.
Ось такий він – характер передачі “кіберзброї”. Який, я сподіваюся, наочно демонструє границі застосування метафор у дискусіях про спроможності держав застосовувати силу в кіберпросторі.
Метафори потрібні і для них в культурі є спеціальне місце. За допомогою метафор ми можемо краще передавати один одному ефективні теорії: знання, які можна дієво застосовувати, не заглиблюючись на пів життя у вивчення предметної області. Ейнштейн, наприклад, використовував Бога як метафору сукупності фізичних законів всесвіту. Центр мас є вдалою метафорою сукупності гравітаційних якостей усіх частинок фізичного тіла. Кібервійна є метафорою неперервних змагань держав за ініціативу в експлуатації кіберпростору з метою конфігурації обставин безпеки на свою користь. А кіберзброя – метафора засобів ведення отієї кібервійни.
Проте експлойтами та інструментами кіберзброя не обмежується. Якщо ми з вами на одній сторінці, значить цей та попередній дописи я написав, а ви прочитали, не дарма.
А кіберманьякам (насмілюся ввести цей термін для визначення тих, хто тулить префікс “кібер-” до всього без розбору) треба схаменутися та задуматися на хвилину про головне: метафори з реального світу в кіберпростір автоматично не переносяться. Бо кібер-зброя аналогічна до летальної зброї, кібер-війна аналогічна до реальної війни, кібер-війська аналогічні до збройних сил – рівно настільки, наскільки кіберпростір аналогічний до нашого фізичного тривимірного простору. Тобто ні наскільки.