Изначально здесь находился штаб криптографической службы ВМФ США, предшественницы нынешнего 10-го флота. Как и на всех остальных базах американского флота, здесь можно увидеть небольшую белую церковь и аккуратные вывески с названиями улиц. Одна называется Путь разведчика. Чтобы попасть в кабинет министра, мы прошли вдоль бесконечного ряда серых будок. Личный офис Наполитано выглядел не намного лучше. Для бывшего губернатора Аризоны это мрачное помещение три на четыре метра было серьезным понижением. Тем не менее в один угол она умудрилась втиснуть седло, какие используются в родео для езды на диких лошадях. Помещение выглядело как временное пристанище, даже спустя шесть лет после образования министерства. «Мы собираемся переезжать в новую, большую, штаб-квартиру», — объяснила министр, стараясь сделать акцент на позитивном. Новая штаб-квартира расположена на месте закрытой больницы для душевнобольных в Вашингтоне и будет готова на десятый год существования министерства. Возможно.
— Несмотря на то что вчера был выходной, я провела встречу с руководителями финансового сектора и обсудила проблему кибербезопасности, — начала Наполитана.
В министерстве шел месяц кибербезопасности, и она запланировала ряд событий. Я спросил ее, в чем важнейшая угроза.
— Опытный хакер-одиночка, киберпреступный картель» — ответила она.
— Хорошо, а если бы началась кибервойна? — продолжил я.
— Пентагон играл бы главную роль, но мы бы смогли справиться с последствиями любых повреждений, нанесенных Соединенным Штатам.
— А может, лучше предотвратить повреждения, чтобы справляться пришлось с меньшими последствиями?
— Мы наращиваем возможности, чтобы защитить домен. gov.
— Отлично. Если Киберкомандование США защищает. mil и вы однажды сумеете защитить. gov, кто защитит все остальное — важнейшую инфраструктуру, которая принадлежит частному сектору?
— Мы работаем с представителями частного сектора, центрами совместного использования и анализа информации в 18 важнейших отраслях промышленности.
— Но это не означает, что американское правительство защищает критическую инфраструктуру от кибератак, не так ли?
— Нет, не так. Это не входит в задачи Министерства национальной безопасности.
Министерство национальной безопасности разрабатывает систему сканирования кибертрафика, проходящего через федеральные ведомства, на предмет обнаружения вредоносного ПО (вирусов, «червей» и т. д.). Эта система с несколько претенциозным названием «Эйнштейн» выросла из простой программы контроля потоков трафика («Эйнштейн-1») в систему обнаружения вторжений и вредоносного ПО («Эйнштейн-2») и скоро научится блокировать интернет-пакеты, кажущиеся вредоносными («Эйнштейн-3»). В рамках попыток защитить правительственные сайты Министерство национальной безопасности и администрация общих служб стараются снизать количество интернет-порталов на домене. gov. Позднее Министерство национальной безопасности установит «Эйнштейн-3» на каждый из этих порталов, чтобы выявлять вредоносные программы. Управлять сетью «Эйнштейн-3» будет недавно организованное отделение — Национальный интеграционный центр кибербезопасности и коммуникаций в Болстоне (штат Вирджиния).
— Если Министерство национальной безопасности сумеет ее запустить, — спросил я, — то зачем ограничиваться защитой только федерального правительства?
— Возможно, в будущем мы рассмотрим возможность более широкого ее применения.
Наполитано, юрист и бывший федеральный обвинитель, добавила, что если правительство вознамерится сканировать публичный Интернет с целью защиты от кибератак, возникнут препятствия юридического и частного характера. Разве она не может привлечь распорядительный орган, чтобы заставить предприятия критической инфраструктуры усовершенствовать свои возможности защиты от кибератак и регламентировать деятельность интернет-провайдеров или электроэнергетических компаний? К ее чести, она не исключает этих и других возможностей, даже несмотря на то что сам президент Обама отказался от них в своей речи по кибербезопасности в мае 2009 года. Но регулирование, заметила она, может начаться только после совместного использования информации и добровольных мер, которые явно провалились, хотя в первый год президентства Обамы было слишком рано выносить такое суждение. Подход, основанный на совместном использовании информации и добровольных мерах, пытались использовать уже более десяти лет.
В сфере ее ответственности находится безопасность домена. gov, и Наполитано с гордостью сообщила, что в МНБ открыта тысяча вакансий для людей с опытом работы в кибербезопасности. Но с какой стати квалифицированные кибергики захотят работать на Министерство национальной безопасности, если их зовут куда угодно, начиная от Киберкомандования и заканчивая компаниями Lockheed и Bank of America. Наполитано ответила, что она прорабатывает кадровые вопросы, так что министерство сможет платить жалованье, сопоставимое с зарплатами в частном секторе, а еще планирует организовать дополнительные офисы вне Вашингтона — в Калифорнии и других местах, где, вероятно, предпочтут жить гики. Я подумал, что в ее голосе слышится тоска по дому, которую нередко тайно испытывают вашингтонские чиновники. Когда мы покинули кабинет министра, глава береговой охраны США адмирал Тад Ален встретил нас снаружи.
— Рад, что вы пережили разговор с Диком, — пошутил адмирал.
— Пережила, — ответила министр, — но теперь переживаю по поводу кибервойны.
Почему Клинтон, Буш и Обама так и не смогли справиться с проблемой уязвимости американского частного сектора перед кибервойной? Люди, работавшие над этим вопросом годами, имеют на сей счет разные мнения и расставляют разные акценты. Давайте рассмотрим шесть самых популярных объяснений.
1. Самый большой обман
Первое самое популярное объяснение заключается в том, что после кибератак обычно не остается ни следов, ни зияющих кратеров, как после взрыва на Манхэттене 11 сентября. Когда крадут интеллектуальную собственность компании, ее руководство и сотрудники, как правило, об этом даже не подозревают. Представьте, что вы работаете в музее, где хранятся ценные экспонаты, скажем, скульптуры и картины. Когда вы уходите из музея в конце рабочего дня, вы включаете систему сигнализации и убеждаетесь, что все камеры работают и ведется видеозапись. Утром вы возвращаетесь. Сигнализация не сработала, но чтобы знать, что все в порядке, вы просматриваете видео за последние 12 часов и убеждаетесь, что никто не вошел и не вышел из музея за время вашего отсутствия. И, наконец, вы проверяете скульптуры и картины, чтобы удостовериться, что все они на месте. Все хорошо. Так зачем же дальше думать о проблеме безопасности?
По существу, такая же ситуация наблюдается и в Пентагоне с конца 1990-х и по сей день. Врзможно, какие-то люди пытаются проникнуть в правительственные сети, но ведь программные средства защиты данных (брандмауэры, системы обнаружения и предотвращения несанкционированного вмешательства) эффективно стравляются с большей частью этих угроз? Зачем начальству думать, что их интеллектуальная собственность', их драгоценности — военные планы, технические чертежи или программы — теперь хранятся не только в их компьютерах, но и на жестких дисках в Китае, России и других странах?