Кибератака, которая обрушилась на Турцию на прошлой неделе, выявила серьезные проблемы безопасности в этой сфере. Преподаватель отделения международных отношений Университета Кадира Хаса Салих Бычакчи (Salih Bıçakçı) обращает внимание на киберпотенциал стран, с которыми Турция состоит в политической борьбе: «Россия или Иран, если захотят, могут вернуть Турцию в каменный век».
Наш собеседник неоднократно выступал с докладами в Центре передового опыта по защите от терроризма НАТО (COEDAT), а также вел учебные занятия по вопросам кибербезопасности и кибервойн в Академии вооруженных сил. Бычакчи отмечает, что соседи Турции способны организовать серьезные кибератаки. Но у Турции, полагает Бычакчи, чрезвычайно скудные возможности противостоять им.
Барчин Йинанч: Как вы оцениваете последние кибератаки?
Салих Бычакчи: Налицо атака типа «распределенный отказ в обслуживании (DDoS)». Началась она 14 декабря. При таком нападении вы не можете быть уверены в том, что IP, от которого исходит такая атака, и есть настоящий адрес преступника. И поначалу из-за политического конфликта, который происходит между нами, а также послужного списка российских хакеров мы подозревали именно Россию.
Ответственность за эту атаку взяла на себя группа Anonymous. Насколько я смог отследить, о кампании #OpTurkey Anonymous объявила 25 ноября. Однако непонятно, почему она не атаковала до 14 декабря. С другой стороны, то, что к этим атакам присоединились Redhack (группа хакеров, созданная в 1997 году, придерживается марксистско-ленинской идеологии — прим.пер.), а также кириллица на скриншотах, которые нападавшие выложили в интернете, лично у меня создали впечатление, что нападавших было несколько, что Anonymous лишь возглавляли группу.
В своем списке атак Anonymous указала только государственные учреждения. Тем не менее, 24 декабря мы видели, что, кроме государственных органов, под атакой оказались и банки. И хотя из-за большого числа участников атаки предсказать их дальнейшие действия сложно, можно предположить, что мишенью последующих нападений станут важные экономические инструменты и сервисы: авиалинии, биржа, а, возможно, и сервисы в сфере коммунальных услуг. Масштаб атаки на серверы Ближневосточного технического университета (ODTÜ) в виде «200+ Gbps», а также интенсивность атаки 24 декабря позволяют утверждать, что эти нападения займут важное место в истории кибербезопасности.
— Как вы оцениваете ответные меры и процесс управления кризисом?
— Этот процесс происходил через ODTÜ, поскольку в структуре этого учреждения находятся все серверы nic.tr. Благодаря этому институту в Турции и появился первый интернет.
Что касается регулирующих органов в этой сфере, у нас действует следующая структура. Подразделение самого высокого уровня — Управление по связям и телекоммуникации (TİB). Также есть связанный с TİB национальный центр реагирования на киберпроисшествия (USOM). В его составе есть группа реагирования. Она и дает рекомендации.
В первый день эта команда сказала: закройте доступ иностранным IP. Когда мы это сделали, мы оказались отрезаны и отключены от всего, что происходит в киберпространстве. Это был ошибочный шаг, так как, отключив внешний трафик, мы сделали то, что и хотела от нас противоположная сторона. После этого доступ был открыт, что уже не возымело должного эффекта. А значит, USOM плохо справился со своей задачей. ODTÜ использовал все свои технические возможности и сделал то, что ему было под силу. Пробовал ли USOM раньше управлять таким кризисом?
— Правительство обвинило ODTÜ. Оно настаивает на том, что ответственность ODTÜ должна перейти к другому ведомству — Управлению информационных технологий и коммуникаций (BTK). Решит ли это проблему?
— ODTÜ — государственное учреждение, но у него другие функции. У него есть свои серверы. ODTÜ заботился о том, как сохранить их в рабочем состоянии. Это он и должен делать.
Мне неизвестно, как ODTÜ и министерство транспорта и связи решали вопрос о том, где должны находиться серверы nic.tr. Я знаю, что ODTÜ давно выполняет эти задачи. Минтранспорта настаивает на том, чтобы эти серверы перешли под контроль BTK в его составе, но в ходе недавних атак сервисы министерства тоже вышли из строя, хотя и ненадолго. На этом этапе забыли, что каждое государство, где бы оно ни находилось, должно защищать все серверы и сервисы на своей территории. Отныне существуют национальные границы киберпространства, и их нужно охранять. Поэтому ответственность за защиту серверов ODTÜ, как и серверов банков, несет государство. Конечно, перенос серверов в BTK может принести определенную пользу и расширить некоторые технические возможности. Но реорганизация всегда чревата еще большими проблемами. Полагаю, что о таком переходе следовало бы говорить до возникновения кризиса, при этом в момент кризиса не стоит обсуждать такие провалы.
— Иными словами, с кризисом не удалось справиться должным образом, и налицо, кажется, отсутствие координации.
— И очень существенное. Кто и как будет управлять киберкризисом — совершенно не ясно. Какой-либо координационный центр антикризисного управления отсутствует. Управлять кризисом якобы должен USOM, но его компетенция и область специализации очень ограничены. Еще есть совет по кибербезопасности. Он был создан под эгидой Минтранспорта. Он вообще не вникал в эти события. Но и это неправильно. Нужен эффективный антикризисный центр, который сможет быстро связаться со всеми ведомствами в составе министерства. В конечном счете стало очевидно, что у нас нет культуры мышления, которая позволила бы грамотно управлять киберкризисом.
— Общественность почти ничего не знала о произошедшем. Почему?
— Кибермир невидим, и государства склонны скрывать происходящие в нем атаки. Ведь это показатель слабости. Однако мир совершает переход от безопасности на основе неопределенности к безопасности на основе прозрачности. И так называемое сдерживание происходит с упором на открытость.
— Какая угроза нависла над нами?
— Мы говорим об угрозе, которая способна вернуть нашу страну в каменный век. Встать может все: электричество, вода, транспорт, здравоохранение, банковская система.
— С каких-то пор число таких угроз заметно возросло.
— За последние десять лет произошел колоссальный рост. Америка, например, заложила первые основы своей киберармии еще в 1993 году. Вспомним атаку Stuxnet. Израиль и США разработали вирус и заразили им компьютерную систему ядерной программы Ирана. В результате ее реализация запоздала на два года. До того времени (2010) мы и не догадывались, что такая квалифицированная атака вообще возможна. После того, как это произошло, Иран наряду с США, Россией, Китаем и Израилем вошел в пятерку ведущих киберсил в мире. Подозреваю, что проблема, которая 31 марта этого года возникла в наших системах электропередач, могла явиться результатом кибератаки, потому что Иран существенно усовершенствовал свой потенциал в сфере нападения на промышленные объект.
У всех стран, с которыми Турция состоит в политической борьбе, есть киберпотенциал, включая и сирийскую электронную армию.
У Рабочей партии Курдистана (РПК) тоже есть своя hack team. В 2008 году в Диярбакыре задержали хакера, раскрывшего планы Генштаба и турецкой разведки. Отныне поле этой деятельности так расширилось, что обладать подобным потенциалом может каждый. Уже нет ясной фигуры врага, как это было раньше. В этих условиях государственные структуры крайне уязвимы. Нам нужна трансформация на ментальном уровне. У исследователя по имени Марк Пренски (Marc Prensky) есть такое выражение: поскольку дети появляются на свет с iPad в руках, они — коренные жители цифрового мира, а те, кто, как мы, находится в состоянии перехода, — иммигранты, мы не понимаем этот мир до конца.
Проблема в том, что совершают кибератаки аборигены цифрового мира, а управлять киберкризисами пытаются иммигранты с гораздо более высоким средним возрастом.
Например, я говорю об этом и военным. Молодежь по-другому смотрит на мир. В зависимости от того, у кого информация, один командир, другой — рядовой. Структура в мире меняется радикальным образом.
— О чем же, в конечном счете, говорят эти последние атаки?
— 24 ноября, когда был сбит российский самолет, я написал в Twitter: блокировала ли Турция российские IP? Израиль, например, в день инцидента с турецким судном «Mavi Marmara» закрыл доступ к своим сайтам с турецких IP.
Если есть политическая проблема, мы должны понимать, что она может найти отражение и в киберпространстве. Делая некоторые политические шаги, Турция не принимает в расчет их возможные киберпоследствия. Говорят, у нас есть стратегия, но на самом деле ее нет. Планы действий, о которых говорилось в 2013, 2014 годах, устарели. Когда что-то происходит, и на повестке дня возникает какой-нибудь вопрос, Турция вроде не бездействует, но о том, что действительно следовало бы сделать, почему-то всегда забывают. Кибервойны — весьма близкая для нас угроза, но мы к ним совершенно не готовы. Важно создать правильную инфраструктуру. Без координации политических событий и киберпроисшествий защитить страну невозможно.
В Турции есть богатейшие человеческие ресурсы. Но этого недостаточно. Например, с частным сектором, банковской системой все в порядке. Но стоит коснуться координации частного сектора и государства, как здесь уже проблемы. Энергетический сектор, например. Ведь он тесно связан с национальной безопасностью государства.
Самая слабая сторона в этой схеме — государство. Есть такие нуждающиеся в защите сферы, как электронное государство, электронное здравоохранение. Но поскольку кибермир неосязаем, государственные чиновники могут отбрасывать этот вопрос на второй план.
— Есть много стран, которые недовольны Турцией. Оказывается, мы крайне уязвимы перед кибератаками, но тогда почему мы еще не вернулись в каменный век? Атаку такого масштаба еще не организовали? Или же организовали, но Турции удалось ее предотвратить?
— Думаю, ни то, ни другое. Просто сейчас таких намерений нет, ведь подобная атака будет иметь определенные последствия. Например, в ответ на кибератаки НАТО может задействовать пятый пункт договора. Конечно, потенциал НАТО тоже ограничен, но, тем не менее, это сдерживающий фактор. Вместе с тем Россия или Иран, если захотят, могут вернуть Турцию в каменный век.
У нас нет культуры кибербезопасности. Нам нужно кардинально изменить наше мышление. Речь идет о структуре, в которой есть множество подразделений, не координирующих свои действия друг с другом. Мы невероятно далеки от знания и понимания текущей ситуации.
Если вы чиновник, ваш рабочий день начинается в девять и заканчивается в пять. Рабочий день хакера начинается после пяти. Необходимо управление кибербезопасностью, а также центр координации, который будет работать круглосуточно и иметь представление о текущей ситуации.
Он будет знать, какие меры нужно предпринять еще до того, как возникнет кризис. Этот центр будет понимать, можем ли мы блокировать Россию в случае такого кризиса. Центр должен быть осведомлен о политической ситуации, получать разведданные и сообщать необходимые сведения населению. Тогда возникнет совершенно иная культура безопасности.