Атрибуція кібератак

довге та невдячне доведення очевидних фактів

У зв’язку з останніми гучними заявами МЗС Великобританії та Білого дому, в яких вони напряму звинувачують Російську федерацію в здійсненні минуло-річної кібер-атаки з використанням вірусу #NotPetya, вкотре повертають нас до питання атрибуції кібер-атак.

МЗС Сполученого королівства та Адміністрація Президента США одностайні в тому, що минулого року Росія за допомогою своїх військ свідомо вчинила кібер-напад на Україну з метою нанесення шкоди нашій економіці та дестабілізації політичних процесів в нашому суспільстві. Розумію, для більшості читачів ці слова звучать як стара пластинка, тому що це вже багато разів обговорювалося спеціалістами з кібербезпеки, включаючи вашого покірного слугу. Є документальні та відео докази того, що спільнота професіоналів кібербезпеки ще 8 місяців тому була впевнена в тому, що російська федерація є кінцевим бенефіціаром та виконавцем цієї кібератаки. Чому ж офіційному Білому дому та МЗС Великобританії знадобилося стільки часу для того, щоб зробити відповідні висновки та політичні заяви?

Для початку відповім на інше запитання, яке дуже часто лунає від читачів та журналістів. Як ми взагалі можемо бути впевнені в тому, що та чи інша держава або група нападників є авторами певної кібер-атаки? Коротка відповідь: ніяк. Справа в тому, що якщо атака здійснюється високопрофесійними агентами загроз, які мають доступ до майже необмежену бюджету, та виконують усі настанови дисципліни “операційна безпека” (OPSEC), провести стовідсотково точну атрибуцію кібератаки буде практично неможливо. Тобто, іншими словами, ми ніколи не будемо на 100% впевнені, хто здійснив кібератаку, якщо будемо володіти лише інформацію доступною її цілі.

Встановлення атрибуції кібератак можна порівняти із теоретичною фізикою. Так-так не смійтеся. Як багатьом відомо, хороша фізична теорія пояснює наші спостереження в навколишньому світі, та одночасно може якісно передбачити майбутні спостереження та результати експериментів. Але спільна риса усіх фізичних теорії полягає в тому, що жодна з них не може бути до кінця доведена. Теорія існує лише до того моменту, коли буде здійснено спостереження, яке вона не в змозі пояснити. І тоді настає момент, коли теорію необхідно або узагальнити (як це було з ньютонівською фізикою на початку минулого століття, коли Ейнштейн запропонував Спеціальну теорію відносності), або повністю реформувати та запропонувати нову теорію та інтуїцію для її сприйняття (як це відбулося трохи пізніше, коли той самий Ейнштейн висунув Загальну теорію відносності).

Так само і в кібер-розвідці. Аналітики провідних розвідувальних агенцій займається тим, що спостерігають факти та будують гіпотези, які згодом підтверджуються спостереженнями та перетворюється на теорії, які використовуються до тих пір, поки вони підтверджуються фактами. Як і у випадку з теоретичною фізикою, кількість цих фактів дуже велика, а якість – дуже й дуже висока. Та коли в теорії знаходяться протиріччя, вона скасовується та починається розробка нової.

Повертаючись до МЗС Великої Британії та прес-секретаря Білого дому. Чому Вова Стиран та інші українські спеціалісти з кібербезпеки вже 8 місяців впевнені в тому, що саме Росія здійснила кібер-атаку 27 червня, а офіційним особам потрібно аж стільки часу, щоб заявити то саме? Тому що, така заява, як і справжня фізична теорія, в майбутньому передбачатиме дуже багато важливих подій. В контексті окремих експертів кібербезпеки ці події очевидні: ми так само будемо звинувачувати Росію, ми так само будемо вказувати на необхідність адекватного кібер-захисту, ми так само будемо розвивати професійну спільноту, щоб кібербезпека нашої держави стала можливою та ефективною. В контексті ж світових лідерів ці події зовсім інші. Вартість їхньої помилки відіб’ється не лише на їхній репутації, а на долях людей, тому ставки та ризики в них набагато вищі.

Але в той момент коли уряд держави, впевнено покладаючись на рекомендації своїх розвідувальних агентств, робить такі різкі дипломатичні заяви, ми мусимо готуватися до сюрпризів. Які саме несподіванки приготували нам західні партнери, ми з вами ще побачимо. Але вже зараз очевидно, що у розвідок співдружності 5 Eyes є достатні, можливо навіть прямі, докази нашої теорії.