Загострення кіберактивності рф проти України на тлі широкомасштабного вторгнення все частіше називають першою в історії кібервійною. Насправді це сумнівний термін, проти якого в мене ціла купа застережень, наведу два. По-перше, всі війни колись неодмінно завершуються, а кіберконфлікт це явище перманентне. По-друге, навіть безпрецедентна інтенсивність російських кібератак, яку ми спостерігали на початку вторгнення, за відсутності власне вторгнення, скоріш за все, залишилася б нижче порогу визнання таких кіберактивностей актами війни.
Проте сьогодні не про кібервійну, а про інший термін, навколо якого ще більше конфузів та спекуляцій. Засоби ведення кібервійни, якої, нагадаю, не існує, всі кому не ліньки вже досить буденно називають кіберзброєю. Яка, як ви вже здогадалися з заголовка, в природі не існує. Як в старій та добре відомій дитячій пісеньці, слово є, а кіберзброї немає. Нумо розбиратися, чому.
Спочатку, поясню, чому існує термін. Хто його вигадав достеменно невідомо, але кожного разу, коли я чую це слово, я мимоволі згадую античне інтерв’ю Євгенія Касперського в подкасті Risky Business, де він дуже кумедно вимовляв слово cyberweapon зі страшним російським акцентом: САЙБЕРВІПОН. Аудіокліп з цим словом автори подкасту потім кілька років використовували, щоб глузувати над терміном.
На мою думку, виникнення терміну кіберзброя нерозривно пов’язане з когнітивним викривленням ілюзії знання. Це коли ми плутаємо розуміння з впізнаванням, тобто вважаємо, що те, що ми можемо впізнати та назвати якимось терміном автоматично стає нам зрозумілішим. Звичайно ж, це не так: насправді, дати чомусь ім’я або означення не означає це зрозуміти. Проте люди схильні зрізати кути, і через це страждають та змушують страждати інших.
У випадку з кіберзброєю когнітивна транзитивність терміну очевидна: раніше була війна, в ній була зброя; тепер з’явилася кібервійна, тому «логічно», що в ній буде кіберзброя. Щось потужне, страшне, і обов‘язково з червоною кнопкою. Ця логіка не піддається сумніву, але за однієї важливої умови: лише якщо ви поняття зеленого не маєте про структуру кіберпростору. Якщо ж ви трохи на цьому розумієтесь, все стає трохи складніше.
Також, для багатьох застосування сили в кіберпросторі це «логічне продовження» інших видів нематеріального впливу, на кшталт радіоелектронної боротьби. Ветеран ізраїльських кіберсил Деніел Мур цілу книгу написав, щоб розвіяти цей міф (Offensive Cyber Operations: Understanding Intangible Warfare). Проте й автор, і його твір відомі лише у вузькому експертному середовищі, тому проблеми це не вирішує.
Щоб розв‘язати це непорозуміння, нам спершу треба розібратися в особливостях кіберпростору як домену застосування сили та його відмінностях від інших доменів.
Структура домену ведення бойових дій надважлива, тому що вона формує реальність в цьому домені. І правильне розуміння структури, а отже й реальності домену, визначає правильне уявлення про нього. І навпаки: немає розуміння структури – нема й розуміння реальності, а отже й уявлення про домен буде поверхневим або хибним. Наголошую, потрібно саме розуміти домен, а не впізнавати його коли лунає термін кіберпростір, чи відрізняти його від інших доменів. Інакше ви заблукаєте в ілюзії знання.
Що ж «не так» зі структурою кіберпростору? Та все: він абсолютно інакший. З іншими доменами його об’єднує лише те, що через нього можна застосовувати силу в політичних цілях. На цьому перелік видимих спільних рис вичерпано.
Наприклад, в класичному домені, такому як повітря, вода чи суходіл, існують відстані та природні перешкоди. Війна між двома країнами значно ймовірніша, якщо їх не розділяє океан або сотні кілометрів гірського масиву. А в кіберпросторі відстані не існує – там усі країни «граничать» одна з одною та знаходяться на нульовій відстані: для доступу до американського Sony Pictures північнокорейським хакерам не треба летіти чи плисти в Америку. Також, всі перешкоди у кіберпросторі штучні: створені людьми з метою кіберзахисту.
Ще приклад, в класичних доменах середовище чинить спротив засобам застосування сили (зброї), бо це загалом різні речі, а проникнення одних речей в інші, чисто фізично, супроводжується тертям. Тобто, щоб йти по морю, корабель долає спротив води. Щоб летіти, літак долає спротив повітря й одночасно використовує цей спротив, щоб подолати силу тяжіння. Щоб пересуватися по землі, солдат палить калорії, а танк – пальне. А щоб пересуватися в кіберпросторі, хакер не долає спротив середовища – навпаки: він використовує кіберпростір, видозмінює його, маніпулює ним, налаштовує його під себе та свої цілі.
Це може звучати як магія і це слово найкраще описує те, що відбувається. Чому так сталося? Тому що фізика домену випливає з його структури. В класичних доменах засоби та середовище це загалом різні речі. Там де є корабель – немає води, вони не можуть знаходитися в одному місці одночасно, це суперечить законам фізики. Так само й у повітрі та на суходолі. Також, одночасно в одній точці середовища не можуть довго знаходитись дві різні зброї: літак, що потрапить в інший літак, з великою ймовірністю знищить обидва літаки.
В кіберпросторі все так само з точністю до навпаки. Тут середовище, цілі та засоби без проблем можуть знаходитися в одній «точці». Бо середовищем може бути база даних, ціллю – дані, що ця база містить, а засобом – експлуатація вразливості у програмному забезпеченні. Можете посперечатися, що це все ж таки різні речі – і я скажу браво! Значить, ви, на відміну від багатьох, маєте менш хибну інтуїцію про структуру кіберпростору. Проте менш хибна не означає правильна, адже, якщо я зненацька вимкну СУБД, кудись раптом подінуться й дані, й здатність хакера дістатися до них через використання вразливості.
На цьому місці ви вже достатньо знаєте про структуру кіберпростору, щоб осягнути його головний структурний імператив, тобто до чого він підштовхує тих, хто в ньому має спроможності для застосування сили. Якби кіберпростір був чимось природним, як інші домени, можна було б сказати, що він наче створений для використання з метою протистояння між державами. Але та як це явище штучне, то можна й без «наче».
Справді, згідно з теорією постійності кіберконфлікту (Cyber Persistence Theory), кіберпростір створює усі передумови до неперервного змагання між державами. Через це втрачається сенс слова “кібервійна”, але це ви вже й так знаєте, а зібралися ми сьогодні поговорити про інше – про кіберзброю. Я міг би завершити на тому, що ну ось бачите, кібервійни немає, тому й перенесення терміну зброя в кіберпростір не працює, всім гарного дня. Але це було б неконструктивно, тому решту допису поговоримо про те, що ж тоді є, якщо «кіберзброї» немає.
Є, звісно ж, сили держав в кіберпросторі, проте назвати їх кіберзброєю буде помилкою. Тому що з цим терміном з класичних доменів у кібер переллється ота руйнівна омана – ілюзія знання. В класичних доменах зброя – це щось матеріальне, що існує в просторі, що можна купити, чим можна навчитися користуватися, що можна інтегрувати з іншою зброєю та використовувати для застосування сили. Тобто є певний засіб, який ефективно застосовується для цілей війни й це очевидно з його характеристик та зазвичай із зовнішнього вигляду. Військовий літак легко відрізнити від цивільного: в них різні цілі, а отже вони по-різному долають середовище, а отже й побудовані вони по-різному. Це принципово схожі, але при цьому дуже різні речі: Boeing 767 це інструмент, а F-16 це зброя.
Тепер уявімо собі сценарій. Хакер знаходить в пошуку вебсайту помилку та впізнає в ній ознаки SQL-ін’єкції. Це така вразливість, яка дозволяє хакеру «надурити» базу даних: вислати їй спеціально підготовлену команду, яка виглядає як дані, але насправді є програмним кодом. Цей програмний код змушує БД «повірити» в те, що хакер це її адміністратор, і це лише початок. Хакер використовує помилку в налаштуванні СУБД для виклику команди операційної системи “rm -rf /data/” яка повністю видаляє вміст бази даних. Ознаки кібератаки очевидні, проте скажіть мені, яку кіберзброю застосував хакер?
Можливо це браузер, в якому він відкрив вебсайт? Чи помилка на вебсайті? Чи команда rm, яка постачається з кожним Лінуксом? Чи сам хакер, його знання, навички, попередній досвід та хиткий моральний компас? Сподіваюся, я витратив ваш час недаремно, і тепер для вас очевидно, що це ніщо із переліченого, і водночас усе це в сукупності. Давайте тепер оформимо це у систему.
Найкраще спроможності держав для застосування сили в кіберпросторі систематизував Макс Шмітз у своїй торішній книзі No Shortcuts: Why States Struggle to Develop a Military Cyber-Force. Зрозумілий та доступний текст пояснює, чому, з точки зору сучасної наукової думки створення кіберсил неможливе без системного підходу до п‘яти складових: людей, експлойтів, інструментів, інфраструктури та організації. За підсумками вивчення теми та власних досліджень, та щоб спростити життя сучасним політикам, теоретикам та практикам у галузі кіберконфліктів, Макс сформулював гармонійний та зручний фреймворк, який дозволяє по-справжньому зрозуміти предмет, та назвав його PETIO (People, Exploits, Tools, Infrastructure, Organization). Блискучий твір, який я рекомендую усім, хто хоч трохи цікавиться темою.
Як бачите, оманливе поняття «кіберзброї» охоплює лише дві з п‘яти компонент необхідних спроможностей: експлойти та інструменти. Які геть не застосовні без адекватних людей та навичок, якісної підготовчої та контрольної інфраструктури, та злагоджених організаційних процесів. До того ж зважаючи на дуальність буквально усього в кіберпросторі, вважати вразливості та інструменти зброєю можна лише у дуже вузькому контексті проведення кібероперацій. Решту часу вони будуть звичайними інструментами, які однозначно не зброя. Сподіваюся я вас не заплутав, але навіть якщо й так – згадайте, що Glock 17 можна колоти горіхи, а Boeing 767 можна скинути на Пентагон. Проте їхньої суті це не змінює: Глок – це зброя, я Боінг – це інструмент.
Я дуже давно хотів написати цей текст та прошу вибачення у всіх, хто (в тому числі неодноразово, явно і неявно) нагадував мені це зробити. Сподіваюся, він буде корисний для надання дискусіям на тему кіберсил, кібервійни та кіберзброї потрібного конструктиву.
На завершення відмічу, що я зовсім не проти терміну «кіберзброя», якщо ми під цим словом розуміємо одне й те саме: персонал, інструменти, знання про вразливості, експлойти, а також інфраструктуру та організацію процесів. Проте, якщо для вас це чергове вундерваффе, яке можна придбати по спецзакупівлям чи отримати від західних партнерів, та без підготовки й досвіду застосувати проти ворога, вибачте – ні.
Знаєте, чому на вашій кіберзброї червона кнопка? Це вона заіржавіла.
Один коментар для “Що таке кіберзброя та чому такої речі не існує”