Продовжуючи тему «кіберзброї», сьогодні поговоримо про два мережеві хробаки, які вважаються найуспішнішими прикладами цього явища: неПетю (notPetya) та Стакснет (Stuxnet). Забігаючи наперед: звісно, я зараз розтрощу обидві ці легенди та продемонструю, що ефективністю взагалі та стратегічними ефектами зокрема в обох випадках навіть не пахне. Але спочатку сухі факти.
Почнемо з неПеті. Раптом хто не в курсі, це мережевий хробак розроблений ГРУ рф, а точніше групою Sandworm, який був націлений на Україну та поширювався через оновлення легітимної бухгалтерської програми M.E.Doc в червні 2017 року. На відміну від звичайного вірусу-вимагача, метою Непеті було не вимагання викупу, а пошкодження систем.
Чи то через відсутність запобіжника від каскадних побічних ефектів, чи то так було задумано, хробак швидко поширився по всьому світу, заражаючи тисячі комп’ютерів у різних країнах. Основний вплив від неПеті був економічний: тисячі організацій кілька днів не могли оговтатися від атаки та відновити нормальну діяльність. За різними оцінками сумарні втрати від неПеті обчислюються 8-10 млрд доларів, хоча особисто я вважаю, що ці цифри скромніші від реальних разів у п’ять-шість.
Тепер щодо Стакснету. Це ще один хробак, який був виявлений у 2010 році, який був спеціально розроблений для атаки на центрифуги для збагачення урану в Ірані. Завданням хробака було пошкодження цих центрифуг з метою сповільнення розробки ядерної зброї. Це був один з найскладніших вірусів свого часу, який використовував низку вразливостей нульового дня. Хоча офіційно відповідальність за Стакснет не була взята на себе жодною державою, деякі джерела вказують на зв’язок з США та Ізраїлем.
Але я б все ж таки ставив на Штати, бо за найобережнішими оцінками, розробка та тестування Стакснету обійшлося приблизно в ту суму, на яку нашкодив неПетя. Якщо не помиляюся, на початку двохтисячних у світі була лише одна країна, яка могла собі таке дозволити.
Давайте порівняємо ці два хробаки. Справді, між ними багато подібного. Обидва розроблялися державами з метою здійснення санкціонованих урядом кібероперацій. Обидва були виявлені у дикій природі, щоправда Стакснет «на волі» нікому не шкодив. І найважливіше – обидва не мали суттєвої (якщо не жодної) стратегічної цінності для своїх операторів. Це смілива заява, я знаю. Поясню.
З неПетею все досить просто – попри очевидний негативний економічний ефект, вважати цю операцію успішною можна лише якщо у вас на меті «щоб усі боялись, щоб не насміхались». Хоча, здається, саме в цьому стратегія рф й полягає. На фоні глобальних втрат, скажімо, 10 млрд доларів, частина яких, до речі, припала на російські нафтодобувні та фінансові компанії, якихось переваг росії неПетя не приніс. Іншими словами, він зробив інші країни на якусь мить трохи слабшими, проте при цьому не зробив росію відносно сильнішою. А отже, можна вважати це демонстраційним заходом з нульовим ефектом. Хоча я все ще дотримуюся думки, що там просто хтось налажав.
Та й навіть якщо дивитися на цю суму як на абсолютну величину, а не мірило відносного балансу сил: що таке 10 мільярдів доларів «в нікуди» в порівнянні з масштабами китайського кібершпигунства проти США та союзників протягом останніх 20 років? Нагадаю, що ця розвідувальна кампанія визнана «найбільшою міжнародною передачею цінностей в історії» й об’єми втраченої США та надбаної КНР інтелектуальної власності оцінюються в 600 млрд доларів на рік.
З Стакснетом трохи складніше, адже його вважають ідеальною кіберзброєю, яка здійснила цілком стратегічний вплив на ядерну програму Ірану та відкинула цю країну на кілька років від досягнення ядерного паритету. Ця легенда культивується в медіа та літературі, в спільноті спеціалістів з кібербезпеки, та й американські військові й політики загалом не проти слави великого й жахливого Стакснета. Прихильники концепції «кіберзброї» дуже люблять Стакснет та тулять його у кожну суперечку на цю тему. У нас навіть є свій закон Годвіна, а саме: “по мірі збільшення довжини дискусії ймовірність згадування Стакснета збільшується до одиниці”.
Проте є один цікавий факт, який особисто я дізнався зовсім нещодавно. Виявляється, що за даними щоквартальних інспекцій Міжнародної агенції з атомної енергії протягом періоду активності Стакснету в мережі заводу в Натанзі, а саме у 2009-2010 роках, темпи виробництва збагаченого урану там виросли з 80 кг/міс до 120 кг/міс. Не сперечаюся, можливо без Стакснету цей ріст був би ще більшим, проте мені це не виглядає як «відкинути Іран на кілька років в минуле» у його ядерній програмі. Так само як і неПетя, Стакснет не став омріяною ідеальною зброєю, хоча й продемонстрував всьому світу спроможності США в кіберпросторі.
Підсумуємо. Стакснет і неПетя – цікаві експерименти, які доводять, що кібероперації з застосуванням автономних мережевих хробаків можуть мати вплив. Проте обидва ці приклади підкреслюють неефективність цього впливу. Я практично впевнений, що розголос найбільш вражаючих кібероперацій обох країн ще попереду. Проте я сумніваюся що й їхній одноразовий ефект буде стратегічним.
Як невеличке узагальнення, дозволю собі ще такий висновок: одноразові акції в кіберпросторі, не залежно від масштабів та наслідків, не мають стратегічного впливу, бо він досягається в результаті довготривалих менш ефектних кіберкампаній з кумулятивними стратегічними ефектами.