Иностранная деятельность по поддержке киберзащиты Украины
В феврале этого года был опубликован ряд иностранных работ, посвящённых противоборству России и Украины в киберпространстве. Приуроченные к годовщине начала СВО, они по-своему осветили характер этого противостояния. Чтобы более точно определить этот характер, стоит изучить основные тезисы, сформированные авторами публикаций.
Первая работа посвящена обзору деятельности России на платформе Meta. В частности, утверждается, что российская сторона предпочла качественным кибератакам количественные. Отмечается, что операции против Украины в киберпространстве стали рекордными по своему охвату в рамках платформы Meta за последние 5 лет. Так, в двух основных информационных кампаниях против Киева в 2022 году участвовало более трёх тысяч аккаунтов и страниц. Ставка на количество привела сетевые операции по установлению своего влияния в СМИ к значительной потере своей эффективности. Более того, специалисты Meta приняли дополнительные меры по борьбе с пророссийской армией троллей «Киберфронт Z», отмечая простоту в обнаружении аккаунтов ботов даже через использование автоматизированных систем. Вместе с тем, несмотря на частое раскрытие несложных по своей организации сетей, они продолжали восстанавливаться через создание новых учётных записей.
Исследователи из Meta выдвинули предположение, что данный формат в виде многочисленных, но плохо организованных кампаний, сложился в результате нагрузки из-за ведения активных боевых действий. Тем не менее, кажущиеся невпечатляющими результаты не являются свидетельством того, что Россия откажется от финансирования дальнейших операций в информационном поле. Вероятнее всего, они будут корректироваться и менять платформы для более успешной реализации.
Данное утверждение было подтверждено в отчёте Атлантического Совета с названием «Подрыв Украины». Помимо прочего, в нём говорится о вынужденной смене российскими СМИ каналов влияния, одним из которых стал Telegram. Агрессивная борьба социальных сетей, особенно Meta, с публикациями, отмеченными ими в качестве продуктов российской информационной войны, нанесли серьёзный урон и лишили эффективности даже сложные операции с созданием поддельных документов.
Данные мероприятия в целом повлияли на распространение российского информационного контента, финансируемого государством. Исследователи из компании по мониторингу социальных сетей Graphika заявили, что к августу 2022 года объём публикаций в российских государственных СМИ сократился на 43%, а уровень вовлеченности снизился на 80% по сравнению с предыдущим годом. Эти цифры они связали с деятельностью Meta по ограничению охвата российских государственных СМИ и действиями самой России по ограничению доступа к социальным сетям Meta.
В другой публикации в формате интервью раскрывается то, как официальные лица Украины описывают российские кибератаки по своей инфраструктуре. Так, в интервью одного украинского специалиста по кибербезопасности говорилось об активной работе группы реагирования в государственном центре киберзащиты. Он отметил, что несмотря на важное значение применения кибератак в ходе боевых действий, последнее слово всё равно остаётся за обыкновенным оружием.
По его словам, Украина на протяжении 8 лет подвергалась постоянным тайным ударам в киберпространстве со стороны России. Их скрытность объяснялась прощупыванием почвы перед началом активных боевых действий и намерением протестировать технологическую базу. Вместе с тем, российские кибератаки, в первую очередь, имеют психологический эффект или используются для шпионажа, в то время как предпочтение отдаётся более разрушительным видам вооружения.
В интервью также описывались подготовительные меры Украины в период ослабления атак с 14 января по 24 февраля 2022 года, затрагивающие создание киберцентров, центров безопасности, а позднее, перенос дата-центров в западные регионы. Всё это было бы невозможным или труднореализуемым без поддержки заинтересованных лиц из частного сектора и иностранных государств.
Также отмечается роль негосударственных хакеров, предложивших свою помощь в организации кибербезопасности во время подхода российских войск к Киеву. Рассматривая перспективы киберопераций, украинский чиновник ожидает совершение дальнейших атак по инфраструктуре, в особенности по украинским медиа, для распространения дезинформации и пропаганды. Он подчеркнул нацеленность России на удары по критической инфраструктуре, совершенствовании этих ударов, целями для которых могли бы стать водоочистные сооружения или транспортные объекты. Вместе с тем, им были отмечены и удары по инфраструктуре союзников Украины, носящие, по его мнению, бессмысленный характер и совершаемые «для галочки». Украине же требуется создание международной киберкоалции для противостояния не только России, но и государствам, оказывающим ей поддержку.
Цифровое противостояние в ходе украинского конфликта было тщательно изучено западными экспертами и нашло своё отражение в публикации Aspen Institute «Помощь в киберзащите: важные уроки Украины». В нём были изложены меры по оказанию поддержки в области киберзащиты и оценен украинский опыт. В первую очередь так называемая «cyber defense assistance», или помощь в киберзащите, отличается от традиционного комплекса мероприятий по усилению устойчивости цифрового потенциала своей направленностью на конкретные цели в рамках национальной безопасности, реагируя на отдельные геополитические риски. Во-вторых, такая помощь невозможна без поддержки частного сектора.
Помощь в киберзащите включает в себя следующие компоненты: управление уязвимостями; технологии и разведка; системы безопасности и организации мероприятий; помощь в анализе данных; технологии по смягчению DDoS атак; доступ к платформам разведки и к профессиональному аналитику киберразведки для выявления киберугроз; мониторинг площади атак и разведданных для их подсчёта; взаимодействие с руководством для получения информации о киберорганизационных структурах, программах, политике и процессах; проведение экспертизы вредоносных программ и технических атак, услуги по реагированию на инциденты; антивирусные технологии, выявление и подавление конечных точек угроз; проектирование центров управления безопасностью; мероприятия в цифровой области промышленной системы управления. Указанные компоненты могут быть использованы как государственными, так и частными организациями и должны иметь способность к изменению или адаптации в соответствии с актуальными угрозами.
Для оказания помощи Украине в области кибербезопасности было создано специальное партнёрство Cyber Defense Assistance Collaborative — CDAC, объединяющее добровольцев из западных компаний и организаций соответствующего профиля. Первоначальной целью данной группы стала защита критической инфраструктуры. Спустя время задачи CDAC расширились и стали включать в себя повышение стабильности и постоянную защиту украинских организаций путём уменьшения или смягчения потенциальных последствий кибератак.
С февраля 2022 году данная группа неофициально предоставляет свои услуги, подключая к работе ключевых специалистов из ведущих компаний в области кибербезопасности. Активное взаимодействие частного сектора с государственными структурами Украины привело к созданию сети контактов для более тесной координации своих действий. CDAC предоставляет Украине четыре основных вида помощи.
Первая сфера охватывает анализ, снабжение и обмен разведданными. Разведданные предназначены для облегчения обнаружения и смягчения последствий российских кибератак, а также для поддержки следственной работы, необходимой для выявления и разоблачения российской деятельности по кибервлиянию.
Второй вид помощи — предоставление лицензий. Украина получает от CDAC лицензии на использование технологий киберзащиты и связанных с ними услуг для удовлетворения неотложных тактических потребностей в защите от киберугроз. Среди них присутствуют инструменты EDR, сканеры уязвимостей, инструменты судебной экспертизы, технологии организации безопасности и реагирования на неё, платформы для анализа угроз, облачные продукты безопасности и технологии обеспечения безопасности сетей и приложений в виде виртуальных брандмауэров.
Тактические услуги являются третьим видом помощи от CDAC. Они оказывались ключевым государственным операторам и операторам критической инфраструктуры для повышения безопасности операций.
Консультации стали ещё одним видом помощи от CDAC. В данный момент её участники обучают старших руководителей для государственных организаций и организаций критической инфраструктуры Украины. Также планируется помощь в создании организаций для отработки и оценки широкого спектра возможностей украинской киберзащиты.
О каких же украинских уроках пишут авторы данного доклада? Во-первых, необходимо добиваться установления доверительных связей между оказывающей и получающей помощь сторонами на раннем этапе. Опыт CDAC и Украины показал, что это длительный и непростой процесс. Во-вторых, необходимо устанавливать чёткие приоритеты и иметь способность к организации согласованных между собой мероприятий.
Снова обращаясь к имеющемуся опыту, авторы утверждают, что украинские компании во время организации собственной киберзащиты довольно часто не координировали действия друг с другом, в результате чего данный процесс затормаживался. А отсутствие чётких требований к сбору разведданных мешал формированию единой картины, отвечающей интересам получателей.
Подводя итоги, авторы отмечают, что помощь Украине в создании устойчивой киберзащиты приносит свои плоды. Усилиями CDAC удалось повысить эффективность действий украинского правительства и организаций, отвечающих за критическую инфраструктуру. Полученный опыт должен помочь США и их союзникам в вопросах укрепления своего потенциала для сдерживания агрессии в киберпространстве, а извлечённые уроки могут быть институционализированы и масштабированы для обеспечения новых подходов и инструментов для предотвращения киберконфликтов и управления ими в будущем.
Таким образом, характер публикаций способствует формированию представления о деструктивной роли России в мировом киберпространстве, а её действия воспринимаются как непосредственная угроза для Украины, США и их союзников. В публикациях содержатся как уже действующие меры по противодействию российской деятельности в информационном пространстве, так и предлагаются новые подходы к сдерживанию России в киберпространстве.