Перед тим як ставити питання «Якою повинна бути кіберстратегія України» треба спочатку відповісти на питання «Якою могла би бути кіберстратегія України». А для цього потрібно розібратися, які є можливі опції.
В продовження попереднього допису, спробую підсумувати сучасний стан розуміння кіберпростору як середовища міжнародного конфлікту з огляду на дослідження та операційний досвід основних гравців: РФ, КНР, США, Ірану, КНДР та Ізраїлю.
Спочатку варто вкотре пройтися по варіантах, які наразі неможливі в принципі. Були в кібері кілька хибних шкіл мислення, які з часом та досвідом були відкинуті через їхню відверту фентезійність.
Стратегія кібер стримування
Отже, кібер зомбі номер один: стратегія кібер стримування.
Більшість стратегічних мислителів початку інформаційної ери були вихідцями з холодної війни, а для клевців усе є цвяхи. Тому перша й найтриваліша стратегія провідних держав у кіберпросторі полягала у стримуванні. Частково тупо по аналогії. Частково через фантастичні уявлення про кібер як про надзвичайно потужний засіб впливу, на рівні з ядерною зброєю.
Час йшов і всі навкруги в кого були для цього ресурси та засоби (тобто люди і гроші) активно проводили кібероперації, а колективний захід займався стримуванням. За виключенням кількох випадків застосування, кінець ХХ століття майже не бачив якоїсь операційної активності країн вільного світу. Проте нова вісь зла взялася до цієї справи дуже жваво і завзято отримувала досвід успішного використання кіберспроможностей, намацувала межі їх застосування та ефективності, а також, що теж дуже важливо, пропрацьовувала сценарії реагування на виявлення та випердолення їхнього доступу з інфраструктур стратегічних противників.
Ось в такому режимі стримування, нікого крім себе не стримуючи, захід дожив до кінця першої декади ХХІ століття. Як виявилося, стримування було незастосовною в кіберпросторі стратегією, адже якщо воно працює, то звідки тоді всі ці кібероперації противників? Деякий час штучним виправданням цьому була теза, що страшний та жахливий кібер-Перл-харбор не настав саме через дієве стримування. Пороте згодом стало очевидно, що нищівний кіберармагедон штука вигадана і на даному етапі розвитку технологій просто неможлива.
“П’ятий домен”
Таким чином, похорон за похороном, стратегія кібер стримування потроху відійшла на задній план та поступилася місцем новій химері: мілітаризації кіберпростору. Країни одна за одною почали створювати кібер-командування, а кіберпростір визнавати “ще одним доменом” ведення бойових дій поряд з класичними кінетичними (або фізичними) доменами: суходолом, морем, повітрям та віднедавна космосом.
Концепція “п’ятого домену” була вже менш фантастичною, але все одно створювалася воєнними стратегами простим мисленням за аналогією, яке не дало очікуваних плодів. Замість створити нове доктринальне мислення про нове середовище конфлікту, яке радикально відрізняється від усіх попередніх операційних доменів, вояки спробували натягнути на кібер старі напрацювання. Звісно, що така екстраполяція не вдалася через унікальні структурні особливості кіберпростору в порівнянні з класичними доменами ведення бойових дій.
Відмінностей між справжніми воєнними доменами та кібером занадто багато, щоб втиснути в блог, тому підсвічу найяскравішу. Воєнні дії в класичних доменах характеризуються дуалізмом нападу та захисту: без одного немає іншого і навпаки. Нападник атакує, захисник захищає, і це називається боєм або битвою.
В кіберпросторі поняття напад та захист втрачають оригінальний сенс, адже такий дуалізм в кібері кудись раптом зникає. Дії “захисників” незалежні від окремих кібератак, адже загалом їхня задача – це кібербезпека, тобто ускладнення задачі “нападників” різними шляхами від виправлення вразливостей, які дозволяють їх атакувати, до побудови систем раннього виявлення та реагування на кібератаки. Інакше кажучи, якби в класичних доменах воювали як в кібері, то дії захисту обмежувалися б побудовою укріплень та встановленням сигналізації. А коли напад буде виявлено, то захисники зможуть все швидко виправити, відновивши уражені ділянки з бекапів та заблокувавши нові методи нападу новими методами захисту.
Дії ж “нападників” полягають в проникненні та контролі за інфраструктурою цілі з метою використання її собі на користь або противники на шкоду. Головною вимогою здійсненності таких дій є їхня секретність, адже, як сказано раніше, після виявлення присутності і до повного скасування доступу проходить порівняно небагато часу. Тому кібератаки відбуваються незалежно та у таємниці від кіберзахисту, так щоб ціль дізналася про це якомога пізніше, бажано коли вже запізно. Очевидно, що за таких умов поняття “бою” чи протистояння в кіберпросторі годі й уявити, а кіберконфлікт з серії кібербитв перетворюється на серію незалежних дій, які впродовж більшості часу ніяк не пов’язані.
Попри цю та багато інших перешкод на шляху мілітаризації кіберпростору багато країн роблять вигляд що так треба і сворюють кіберкомандування та кіберсили, накопичують кіберспроможності, проводять кібернавчання та перебувають в кіберготовності. Що це означає в реальності? Нічого. Усі зазначені країни за виключенням вузького кола яскравих виключень вперто та наполегливо займаються фантастичним нічим. Дослідженню цього феномену присвячені наукові статті, тому я не буду продовжувати. Зазначу лише, що якщо ви десь раптом чуєте що хтось визнав кіберпростір доменом воєнних дій, створив кіберкомандування, та готується до створення кіберсил – знайте, що мова йде про легалістичну та політичну еквілібристику, а не про реальне застосування кіберпростору для досягнення безпекових чи політичних цілей.
Викорінення концепції “п’ятого домену” все ще в процесі: час все йде, нищівні кіберефекти які можна порівняти з ушкодженнями від конвенційного озброєння все не настають, проте адепти мілітаризації кіберпростору все ще не здаються, мабуть що на щось чекають. Ніколи не можна закривати майбутнє від гарних речей, тому звісно що зберігається гіпотетична можливість застосування кіберпростору для створення ефектів, які можна порівняти з, скажімо, прильотом “Кинджала” або навіть стратегічним ядерним ударом. Зберігається десь в майбутньому, адже емпіричних доказів цьому немає. Поки що всі кібератаки, навіть “найнищівніший” неПетя та міфічний Stuxnet не перетнули навіть порогу застосування сили в міжнародному праві, тому про збройний напад та воєнну агресію годі й казати.
Нові підходи
З старовірами розібралися, давайте тепер про сучасні стратегії, з яких має сенс обирати. Наразі найбільш жвава дискусія точиться щодо трьох підходів. Два із них знов ж таки пропонують екстраполяцію наявних концепцій на нове середовище, проте не по аналогії, а як логічне продовження з застосуванням нових технологій. Третя йде трохи далі та вибудовує підхід відштовхуючись виключно від структурних особливостей кіберпростору.
1. Кібероперації це продовження розвідувальної діяльності (ISR) в кіберпросторі. Операції кіберзбору це аналог класичного шпіонажу, а операції кібервпливу це аналог “активних заходів” (active measures), які історично є прерогативою розвідувальних органів.
2. Кібероперації це продовження підривної діяльності (subversion) в кіберпросторі. Класична підривна діяльність працює по соціальних системах, компрометуючи людей та організації через їхні вроджені та структурні вразливості. Кібероперації працюють по соціотехнічних системах, компрометуючи людей, організації та програмне забезпечення через їхні вроджені та структурні вразливості. Одразу скажу, що цей підхід здається мені найраціональнішим.
3. Кібероперації це принципово новий феномен, який використовує надзвичайну складність, взаємнопов’язаність та інші структурні особливості кіберпростору як унікального домену міжнародних відносин для досягнення безпекових цілей. Важливим критерієм досяжності цих цілей, тобто ефективності кібероперацій, є їхня персистентність (persistence initiative). Відповідна теорія називається Cyber Persistence Theory, і вона вже знайшла відображення у офіційній кіберстратегії США та загальному баченні підходів до кібероперацій у Великобританії.
Далі проговоримо кожен з цих підходів докладніше. Аналіз буде такий: я описуватиму основні ідеї підходу, потім підсвічуватиму чи є він ефективним у загальному випадку і щонайважливіше – у випадку України.
Підкреслюю, це наукова дисципліна, тут працюють науковці-дослідники, вони переважно розумніші за мене. Я не висловлюю свою думку, а транслюю хиткий консенсус який все ще формулюється. І цей стан нестабільності – це скоріше добре, адже догматичне (само)стримування та «пʼятий домен» нічого хорошого не принесли. Лише загальмували прогрес вільного світу поки вісь зла експериментувала і намацувала вигідні їй стратегії.
Розширення розвідувальної діяльності
Ідея перша: кібер як розширення розвідки. Цілком логічна історія, якщо ви знаєтесь на розвідці. Є одна проблема: на розвідці знається дуже мало людей, це вкрай недовивчена область знань, а більшість літератури на цю тему – художня.
Але спробуємо оцінити наскільки цей підхід взагалі дієвий, тобто чи є універсально ефективним мислення про кібероперації як про розвідку, що поширилася в кіберпростір та підсилилася інформаційними технологіями. Знов ж таки, про це томи написані, посилання будуть в бібліографії, а всі аргументи тут не вмістяться. Але по найяскравішим пунктам пройдемось.
З одного боку, розвідку та кібероперації обʼєднує критичний фактор успішності: секретність. Виявлений актив вважається скомпрометованим. Виявлений доступ відділяє від втрати лише халатність цілі. Отже, вимоги до операційної безпеки це спільна риса, на цьому засновують свої позиції прихильники такого підходу.
З іншого боку, секретність неможливо сумістити зі створенням ефектів: не можна зруйнувати інфраструктуру мобільного оператора та забезпечити до нього тривалий доступ після таких дій. Доведеться або ефекти обмежувати, або доступ відновлювати, і обидві ці задачі нетривіальні.
Розвʼязують цю дилему зазвичай люди, для яких вона не має значення, тобто вище керівництво. В деяких ситуаціях ефекти, вбудовані в масштабну воєнну операцію, справді можуть мати потенціал. Щоправда реалізація такого потенціалу в історії траплялася буквально кілька разів і в усіх випадках метою доступу були саме ефекти.
Отже, попри деяку спорідненість розвідки та кібероперацій, між ними існує вроджений конфлікт інтересів. Обʼєднання розвідки та підривної діяльності в одному субʼєкті проблему не розвʼязує, а лише переносить конфлікт під єдине керівництво, що ситуації геть не на користь.
Також, треба зазначити, що розвідка взагалі справа цілком цивільна, а ефекти вважаються чи не актом війни (дякувати «пʼятому домену»), тому створювати їх дозволено військовим. В противному випадку на операторів не поширюються статус комбатанта, женевська конвенція тощо. Дрібниця, але важлива, а з точки зору відповідальності по закону ще й принципова.
Ще одне важливе зауваження: вимоги до персоналу в класичній розвідці та в кібері, мʼяко кажучи, відрізняються. Тому організаційне обʼєднання відповідних напрямів роботи теж своєрідна дилема, адже доведеться обирати між вимогами до операційної безпеки та креативності й творчості, якщо ви розумієте про що я.
Ці та інші фактори роблять доктринальне обʼєднання розвідки та кібеороперацій універсально неефективним. Вихід: розвідувальні кібероперації віддати розвідці, а наступальні – військовим, конфлікт інтересів розвʼязувати на вищому рівні. Виглядає гарно, проте вгадайте, хто розконфліктовує операції, наприклад, у США? Директор національної розвідки. Думаю тут всім все зрозуміло.
Звісно, що такий варіант не єдиний можливий. Проте дилему розвідка vs ефекти розвʼязати організаційно навряд чи вийде, її доведеться вирішувати щоразу, або ж встановлювати політику, яка на деякий час надаватиме перевагу одному з варіантів, як у прикладі США.
Яка конфігурація такого підходу може бути корисна Україні сказати важко, адже наразі існує потреба в обох напрямах кібеороперацій. З одного боку, для ефективного застосування сил безпеки і оборони потрібні якісні розвіддані, а операції кіберзбору дозволяють отримувати їх з місць недоступних класичній розвідці. З іншого боку, для підтримки вигідного політичного консенсусу серед союзників, Україні потрібно неперервно генерувати переможний сигнал в інфопросторі, а операції кіберефекту – чи не найпростіший для цього спосіб.
Отже, в мисленні про кібер як продовження розвідки є свої зручні та проблемні сторони. Організаційне розташування кібероперацій як функції в рамках розвід діяльності має вроджений конфлікт інтересів та створює низку політичних та юридичних складностей. Щоправда, з огляду на новини, мандат української розвідки зараз дещо ширший, ніж в мирний час, якщо ви розумієте про що я.
Теорія кіберперсистентності на практиці
Зміню трохи порядок, тому ідея третя: Persistent Engagement.
Теорія кібер персистентності робить спробу впорядкувати мотиви та засоби учасників міжнародних відносин в кіберпросторі, не покладаючись на аналогії з іншими середовищами. Замість цього, CPT (Cyber Persistence Theory) аналізує особливості структури кіберпростору як власне середовища, порівнює його з іншими середовищами, та робить з цього висновки. CPT елегантна та витончена, і на мою думку в ідеальному світі це найкраща стратегія в кіберпросторі. Саме тому на її основі збудували свою стратегію США. А може через те, що співавторка теорії має неабиякий вплив на цю стратегію… Менше з тим, повернімося від політики до суті.
CPT робить припущення, що кіберпростір є повноцінним доменом стратегічного суперництва або інакше кажучи, що кібероперації можуть мати стратегічні ефекти, тобто зсувати баланс сил між державами. Критерієм успішності таких кібеороперацій теорія визначає саме персистентність, тобто постійне та неперервне збереження ініціативи у пошуку та використанні вразливостей для конфігурації обставин безпеки на користь собі та на шкоду ворогу. Я знаю, це занадто для одного разу, але насправді все дуже просто, по пунктах:
- кіберпростір створили люди,
- кіберпростір складний,
- кіберпростір взаємоповʼязаний,
тому як наслідок,
- кіберпростір вразливий.
Вразливості є як у нашому кіберпросторі, так і в кіберпросторі противника. Вразливості треба шукати та використовувати. Свої – виправляти, противника – експлуатувати. Таким чином наша безпека покращуватиметься, а противника – погіршуватиметься. Так обставини безпеки змінюватимуться на нашу користь.
Все просто, до геніальності, але є одна деталь, яка робить теорію кіберперсистентності важкою в застосуванні в умовах так би мовити обмеженого бюджету. Інакше кажучи на застосування CPT на практиці потрібно дуже багато ресурсів і це можуть собі дозволити лише добре фінансовані організації та держави. Чому так? Тому що як показують емпіричні докази, окремі кібероперації практично ніколи не мають стратегічних ефектів. Натомість, стратегічні ефекти мають серії кібероперацій, які називаються кампаніями. Кампанії складаються з десятків або сотень повʼязаних спільною стратегічною метою кібероперацій, і вони можуть досягати кумулятивних стратегічних ефектів. Принаймні так стверджує теорія і таке ми спостерігали на практиці.
Отже, CPT це дуже круто, але вона працює лише за умови збереження ініціативи, тобто наполегливої та цілеспрямованої боротьби за перевагу в кіберпросторі. Стабільна перевага штука недешева тому її можуть собі дозволити лише дуже багаті країни. Також CPT слабо сумісна з міжнародним правом. Все це робить її потенційним інструментом наддержав, які мають відповідні ресурси, розуміють свої стратегічні безпекові пріоритети та готові йти на дипломатичні ризики. Тому CPT немає у доктринах організаційно стриманих держав, слабких держав, бідних держав та безпекових альянсів, зокрема НАТО.
Я пропущу параграф про те, чому Cyber Persistence Theory та доктрина Persistent Engagement не підходять Україні. Думаю, тут все очевидно.
Підривна діяльність в кіберпросторі
Нарешті, ідея друга: кібероперації як підривна діяльність в кіберпросторі.
Концепція, яка в ретроспективі виглядає максимально простою та природною, але до якої дослідники кіберпростору йшла досить довго – через вже згадану інертність досліджень про безпеку й міжнародні відносини та спадок помилкових ідей.
Аналіз літератури про класичний Subversion наштовхує на аналогії в основних критеріях успішності (секретність, кваліфікація персоналу) та операційних обмеженнях (Subversive Trilemma). Структурно, кібероперації є прямим відображенням підривної діяльності в кіберпросторі: обидва феномени експлуатують системи об’єктів. В одному випадку це роблять шпигуни та спецпідрозділи, в іншому – кібероператори та сили підтримки. В одному випадку йдеться про системи з людей та організацій, а в іншому – про системи з людей, організацій, комп’ютерів, програм, мереж та інфраструктур. Іншими словами, в кіберпросторі все стає значно складніше, а отже жвавіше.
Одне з явищ, що характеризує підривну діяльність та ідеально переноситься на кібероперації, це субверсивна трилема: негативна кореляція між швидкістю, контролем та інтенсивністю ефектів. Я вже писав про цей “залізний трикутник”, але повторимо. Планувальники кібероперацій можуть оптимізувати лише два з цих параметрів за рахунок деградації третього, або максимізувати один за рахунок зниження двох інших. При цьому необхідною умовою успішності операцій залишається їхня секретність, яка додатково їх сповільнює.
Разом з тим, в кібероперацій є реальний шанс, коли це вдається, долати обмеження трилеми за рахунок факторів підсилення. Одним з таких факторів є надзвичайна вразливість цілі, приклади: інфраструктура українських Мінфіну та Казначейства в грудні 2016 року або система поширення оновлень M.E.Doc в 2017 році. В обох випадках операції тривали порівняно недовго, проте були досить інтенсивними та досягли поставленої мети – саме через надзвичайну вразливість цілей. Другий такий фактор – фізичний доступ до інфраструктури цілі, приклади: атака на Укртелеком після початку повномасштабного вторгнення та (вибачте) Stuxnet. В обох випадках в кібероператорів був доступ до елементів інфраструктури: через захоплення територій та через інсайдера відповідно. Проте у другому випадку можна сперечатися, чи був взагалі Stuxnet кібератакою, адже з огляду на опубліковані протягом минулого року подробиці, він все більше нагадує класичну підривну операцію.
Я переконаний, що використання Subversion-подібності кібероперацій спрощує та оптимізує мислення про можливі стратегії побудови та застосування відповідних спроможностей. В першу чергу, підривна діяльність більш пасує слабшій та динамічнішій стороні конфлікту. Також, такий підхід дозволяє чітко розмежувати розвідувальні та підривні заходи з застосуванням кіберспроможностей, щоправда розконфліктовувати їх доведеться в кожному конкретному випадку, що підвищує вимоги до координації кібероперацій. З іншого боку, застосовуючи в плануванні кібероперацій напрацювання теорії та практики класичної підривної діяльності, можна суттєво спростити такі важливі вправи як таргентинг, аналіз, розрахунок побічних втрат, підтвердження ефектів тощо.
А що найцікавіше, можна спростити аналіз оптимальної стратегії України в кіберпросторі до розгляду того, які з стратегій підривної діяльності (маніпуляція, ерозія та повалення) найвдаліше переносяться в кіберпростір. Проте, робити це треба в синхронізації з дискусією про перспективну загальну воєнну стратегію, а також велику стратегію України на наступні кілька років, і це тема наступного допису.
Що почитати:
- Michael P. Fischerkeller and Richard J. Harknett, ‘Deterrence Is Not a Credible Strategy for Cyberspace’, Orbis 61/3 (1 Jan. 2017), 381–93. doi:10.1016/j.orbis.2017.05.003
- Brad D. Williams, ‘Nakasone: Cold War-Style Deterrence “Does Not Comport to Cyberspace”’, Breaking Defense (blog), 4 Nov. 2021. https://breakingdefense.sites.breakingmedia.com/2021/11/nakasone-cold-war-style-deterrence-does-not-comport-to-cyberspace
- Thomas Rid, ‘Cyber War Will Not Take Place’, Journal of Strategic Studies 35/1 (Feb. 2012), 5–32. doi:10.1080/01402390.2011.608939
- Erik Gartzke, ‘The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth’, International Security 38/2 (2013), 41–73.
- Joshua Rovner, ‘Cyber War as an Intelligence Contest’, War on the Rocks, 16 Sept. 2019. https://warontherocks.com/2019/09/cyber-war-as-an-intelligence-contest/
- Michael Fischerkeller and Richard J. Harknett, ‘Cyber Persistence Theory, Intelligence Contests and Strategic Competition’, Institute for Defense Analysis (June 2020), https://apps.dtic.mil/sti/pdfs/AD1118679.pdf
- Lennart Maschmeyer, ‘The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations’, International Security 46/2 (25 Oct. 2021), 51–90. doi:10.1162/isec_a_00418
- Lennart Maschmeyer, ‘A new and better quiet option? Strategies of subversion and cyber conflict’, Journal of Strategic Studies, 2023, Vol. 46, No. 3, 570-594, https://doi.org/10.1080/01402390.2022.2104253