Санкции нового типа: к чему приведет решение уходящего президента США
Введя новые санкции против России, Барак Обама впервые применил механизм защиты национальных интересов в сфере кибербезопасности. Речь идет об указе «Об аресте собственности лиц, причастных к серьезным противоправным действиям в киберпространстве» от 1 апреля 2015 года. Указ дает властям США право накладывать санкции (включая блокировку активов) на компании и физических лиц, причастных к кибератакам, нарушающим функционирование объектов критической инфраструктуры США и ключевых компьютерных сетей и систем. Санкции также могут применяться в отношении лиц и компаний, которые путем кибератак незаконно присвоили средства или экономические ресурсы, торговые секреты, персональные данные и финансовую информацию американских компаний и организаций — либо использовали данные активы, похищенные в ходе кибератаки третьей стороной, зная о способе их присвоения. Последний пункт особенно важен, так как представляет собой потенциальное средство сдерживания систематических кибератак и хищений интеллектуальной собственности американских компаний.
Изначально указ писался под «китайскую угрозу», однако до сих пор он не применялся на практике: в сентябре 2015 года Вашингтон и Пекин сумели договориться о совместной работе над проблемой государственных кибератак и кибершпионажа, после чего активность «китайских государственных хакеров» на какое-то время пошла на спад.
Так что впервые инструментарий указа применен не против КНР, а против российских граждан, компаний и государственных органов. При этом текст указа был специально дополнен пунктом в перечне оснований для наложения санкций: вмешательство, изменение или неправомерное завладение информацией с целью или для обеспечения подрыва электорального процесса или вмешательства в работу электоральных институтов.
Последствия для пострадавших
Каковы могут быть последствия для лиц и структур, подпавших под санкции? В части бизнеса речь идет о специфических организациях, во многом ориентированных на госзаказы от силовых структур, включая МВД, ФСБ, ФСО, Минобороны. АНО «ПО КСИ», ЦОР (бывшая EsageLab) и ООО «СТЦ» решают узконишевые задачи, такие как разработка систем подавления сигналов в сетях связи, разработка специальной микроэлектроники и оптико-электронных сенсоров для нужд военных, тестирование корпоративной инфраструктуры на уязвимости и проч. По своим размерам это малый или максимум средний бизнес с оборотами в десятки или несколько сотен миллионов рублей, что несопоставимо с лидерами российского рынка информационной безопасности, такими как «Лаборатория Касперского». В целом эти организации привязаны к госзаказчикам из силовых структур, а частично и связаны с ними своей историей. ООО «СТЦ», по некоторым данным, основан выходцами из Военной академии связи им. Буденного. Санкции США для такого рода компаний не несут серьезной угрозы, поскольку их бизнес-интересы локализованы в России.
Особняком, пожалуй, стоит лишь ЦОР, созданный пионером российского рынка услуг в области offensive security (агрессивная защита информации, в том числе тестовые компьютерные атаки на инфраструктуру заказчика с целью выявления уязвимостей) — Алисой Шевченко. Программно-аппаратные разработки ЦОР — довольно серьезные продукты, которые, по данным СМИ, подпадают под расширенные в декабре 2013 года реестры Вассенаарских договоренностей по экспортному контролю над обычными вооружениями, товарами и технологиями двойного назначения. Интересы г-жи Шевченко не ограничивались российским рынком, объем которого в этой нише довольно ограничен. В 2014 году сообщалось о планах запустить развитие сервисов ЦОР в Сингапуре — санкции США могут этому помешать, как минимум в части блокировки банковских счетов и переводов организации. Впрочем, пока речь не идет об адресных санкциях в адрес г-жи Шевченко как физического лица, а бизнес за рубежом обычно предполагает открытие нового юрлица.
Что касается госструктур — ФСБ и Главного управления Генштаба ВС РФ (фигурирующего в указе Обамы под старым названием — ГРУ), то в этой части санкции по понятным причинам носят скорее символический характер. Впрочем, есть и оговорки: решение Обамы, если не будет отменено, неизбежно ударит по процессу двусторонних консультаций по разморозке мер доверия в области кибербезопасности. Пакет российско-американских соглашений 2013 года, предполагающий взаимное информирование о кризисах в киберпространстве и диалог в рамках двусторонней рабочей группы, был заморожен после эскалации кризиса на Украине. В течение 2016 года предпринимались попытки реанимировать эти механизмы, в том числе в рамках двусторонней встречи высокого уровня в Женеве в апреле, в которой со стороны России наряду с дипломатами участвовали и представители спецслужб. Теперь для ФСБ и Минобороны этот канал диалога закрыт, что явно затормозит процесс реактивации мер доверия. Кроме того, пока не отменен вчерашний указ, сама постановка вопроса о мерах доверия между Россией и США в сфере кибербезопасности отдает неким абсурдом.
С санкциями в отношении физических лиц все довольно просто. Алексей Белан и Евгений Богачев давно находятся в списке самых разыскиваемых ФБР компьютерных преступников, а их русские корни вкупе с предполагаемой, хоть и недоказанной причастностью к кибероперациям российских спецслужб делают логику вчерашнего указа довольно прозрачной. Причем в отличие от государственных киберопераций причастность обоих лиц к масштабным эпизодам компьютерного мошенничества и хищений вызывает мало сомнений — это не тот случай, когда речь идет о беспочвенных происках ФБР против добропорядочных российских граждан — взять хотя бы эпизод с созданием Богачевым ботнет-трояна GameOver Zeus, на который в 2013 году пришлось более трети всей глобальной активности банковских троянов.
Что дальше?
Безусловно, есть вероятность, что новый хозяин Белого дома приостановит либо отменит действие указа. Именно так расценивают ситуацию большинство российских СМИ, а также некоторые парламентарии, эксперты и дипломаты. Однако оптимизм выглядит преждевременным.
Во-первых, решение Обамы встретило одобрение ряда сенаторов-республиканцев: в поддержку санкций высказались Джон Маккейн, Линдси Грэм — наверняка список пополнится. Причем отдельные «ястребы»-республиканцы, включая Пола Райана, настаивают на недостаточности и «запоздалости» принятых мер и призывают к дальнейшему расширению санкций и их ужесточению вплоть до «всеобъемлющих». Трампу придется в той или иной мере считаться с этими настроениями.
Во-вторых, ФБР и Министерство внутренней безопасности действительно не предоставили общественности убедительных технических данных о причастности к кибератакам российских спецслужб. Технический отчет ФБР и DHS, опубликованный на сайте US-CERT, скорее представляет собой рекомендацию по управлению, предотвращению и минимизации последствий инцидентов, связанных именно с этим типом вредоносного ПО и векторами атаки. Однако в нем практически отсутствуют технические данные, показывающие, кто осуществлял атаку и управлял ею. В отчете «индикаторов компьютерного проникновения» (IoC) упомянуты лишь сигнатуры вредоносного ПО, которое было использовано, — при этом нет упоминания даже IP-адресов, которые использовались в ходе атаки (хотя они были в отчете американской компании по киберзащите Crowdstrike). По сути, перед нами краткая техническая характеристика самого средства атаки — но никак не данные о том, как была организована инфраструктура атаки, кто и откуда ее вел.
Но это не значит, что у американских спецслужб больше нет никаких чувствительных данных, которые они не желают разглашать по тем или иным причинам: например, потому, что их источником теоретически может быть и «традиционная» резидентурная разведка, сопряженная с известным риском для агентов. Если подобные данные все же имеются, вопрос в том, как отреагирует на них новый президент.
Кроме того, нужно понимать, что указ 2015 года, с момента своего подписания, был ружьем, которое обязано рано или поздно выстрелить — вопрос в том, по кому и когда. Его практическое применение создает прецедент политики «санкции за кибератаки с отсутствием твердых доказательств». Такие мощные инструменты легко переживают смену президентских администраций — вопрос лишь в том, когда и против кого его применит уже Трамп. Вполне возможно, что против Китая — но и Россия остается в зоне риска, даже если новый президент-республиканец в этот раз распорядится отменить распоряжение Обамы. Политическая конъюнктура меняется, а инструменты внешней политики остаются. Об ответных шагах можно лишь гадать. Пока руководство России демонстративно воздержалось от принятия каких-либо мер — но если санкционный «язык диалога» будет применяться уже при новой администрации, Кремль будет реагировать. Причем эти шаги не обязаны быть симметричными и вряд ли могут быть просчитаны заранее, в том числе в Вашингтоне. Проблема в том, что механизм санкций против юрлиц, в том числе бизнеса, за действия в киберпространстве, не подкрепленные солидными техническими доказательствами, при желании может быть интерпретирован весьма творчески другими правительствами.
Например, с 2013 года достоянием общественности благодаря Эдварду Сноудену и СМИ стала масса сведений, которые позволяют обвинить почти все крупнейшие американские IT-компании (Google, Yahoo! , Cisco, Microsoft и проч.) в сотрудничестве с АНБ в рамках правительственных операций кибершпионажа. Никто не подтверждал подлинность сведений, раскрытых Сноуденом, — но если ориентироваться на логику вчерашнего решения Обамы, то разоблачений Сноудена может быть вполне достаточно, чтобы другие правительства ввели санкции против американских компаний, используя это как рычаг для обеспечения политики протекционизма на своих IT-рынках.
В долгосрочной перспективе механизм «сильные санкции за кибератаки со слабыми доказательствами» может открыть ящик Пандоры, который ударит прежде всего по глобальному IT-бизнесу и транснациональному IT-рынку. Не лучший вывод для завершения года — но иного пока не дано.