Общая проблема Stuxnet как примера из криптографической области и текущего состояния кибербезопасности не в том, что мы не умеем создавать сильные системы, — скорее, мы не всегда поспеваем за теми, кто совершает на нас атаки, когда речь заходит о принятии на вооружение новых оборонительных стратегий.
В 2012 году Рон Ривест и его коллеги опубликовали работу, где излагался теоретико-игровой подход к кибербезопасности. Целью данной работы было найти оптимальные стратегии для обоих игроков, чтобы каждый из них мог контролировать систему при минимальных затратах. Авторы начали с предпосылки, гласящей, что, как бы ни была сильна система, она все равно будет «взломана». Далее они доказывали, что каждый раз, когда «взломщик» обладает приспособляемостью, лучшая стратегия защиты — это играть «экспоненциально», то есть делать защитный ход (например, поменять пароль или разрушить и восстановить заново сервер) в среднем за одно и то же время, но каждый раз с другими, труднопредсказуемыми интервалами.
Тогда ключевым фактором в оборонительной игре становится способность действовать быстрее нападающего, при этом непредсказуемо: устойчивость против силы. Сегодня компьютерные вирусы-«зловреды» и прочие формы кибератак обладают свойством молниеносного реагирования и обходят защиту практически в тот же момент, как она поставлена. Единственный способ для обороняющейся стороны наверстать упущенное — это признать и оценить тот факт, что современный интернет обладает качеством, схожим с вычислительным узлом других сетей, состоящих из разноплановых элементов, а именно сложностью. «Вредоносные элементы повсеместно встречаются в сложных системах, — говорит эксперт в области кибербезопасности и сотрудник Института Санта-Фе Стефани Форрест. — Это справедливо для биологических и экологических систем, рынков, политических систем и, конечно, интернета»
[325].
Действительно, интернет настолько переполнен злонамеренными игроками — тут и украинская кибермафия, и китайские киберпризраки, и докучливые американские хакеры-дилетанты, да мало ли кто еще, — что главным препятствием для всех них являются не режимы безопасности каждой сети в отдельности, а они сами друг для друга. И все чаще первой линией как нападения, так и обороны является автоматизированная система.
В августе 2016 года Агентство передовых оборонных исследовательских проектов (DARPA) организовало свой первый «Всемашинный хакерский турнир» — Cyber Grand Challenge. В ходе 12-часового соревнования машины тестировали защиту друг друга, «патчили» запрограммированные системы для защиты от уязвимостей и «проводили валидацию концепции автоматизированной киберзащиты»
[326].
Проблему усугубляет тот факт, что тот, кто осуществляет кибератаку, образно говоря, сам держит колоду карт и сдает их в свою пользу. В отличие от полицейских расследований, хакеры могут не волноваться насчет государственных границ и деталей юрисдикции. Чтобы добиться успеха, атакующий должен всего лишь нарушить «укрепления зaмка» в одном-единственном месте. Король, с другой стороны, должен защищать каждый дюйм стен вокруг своего королевства. Но быстрота реакции и подвижность, с которой действуют хакеры, несравнима с возможностями гипотетического короля.
«Разрыв между электронными коммуникациями, которые осуществляются со скоростью света, и временем, необходимым человеку и его структурам, чтобы отреагировать на проблемы информационной безопасности и защиты личных данных, очень велик и постоянно расширяется», — отмечалось в блог-посте Harvard Business Review, соавтором которого была Форрест. Как утверждали авторы, даже чтобы просто приступить к исправлению данного несоответствия, понадобится перестать воспринимать кибербезопасность как техническую проблему и признать ее политическое и социальное значение
[327].
Скорость продвижения вперед человеческих институтов сравнима со скоростью любой большой группы людей, пытающихся сориентироваться на новой местности. Когда столь многое поставлено на карту, у каждого наверняка имеется собственный блестящий план, а то и планы внутри планов. Однако компьютерные вирусы не только перемещаются со скоростью света — они еще и адаптируются со скоростью эволюции
[328], что для биологического вируса означает «очень-очень быстро». Один из самых распространенных вирусов — influenza A или B, или вирус обычного гриппа, способен продуцировать от тысячи до десяти тысяч собственных экземпляров в течение 10 часов
[329]. Рано или поздно вирус мутирует, получив способность сопротивляться любой вакцине, введенной в тело носителя. Через несколько месяцев или даже недель данная мутация — или (с точки зрения вируса) успешная адаптация — начнет распространяться со скоростью… вируса.
Точно так же компьютерные вирусы и прочие формы кибератак обладают свойством реагировать молниеносно и обходить защиту практически в тот же момент, как она поставлена.
Развивающаяся область сложных систем начала обнаруживать ранее скрытую динамику и паттерны, лежащие в основе видимого хаоса, скажем, экосистемы флоридских болот или покрытых мраком рынков ипотечных деривативов. И, как считает Форрест, это поможет нам в том числе имитировать данные системы. Чтобы поймать мышь, нужно научиться мыслить как мышь. А чтобы изловить вирус, как провозглашает растущий клан экспертов по безопасности, следует мыслить как антитело или как иммунная система.
«Биологические системы в процессе эволюции научились адаптироваться к широкому спектру угроз, таких как пролиферирующие патогены, аутоиммунные реакции, гонка вооружений, обман и мимикрия, — говорит Форрест. — Одна из стратегий, помогающих биосистемам обрести устойчивость к этим угрозам, — это разнообразие: генетическое разнообразие вида, видовое разнообразие экосистемы и молекулярное разнообразие иммунной системы»
[330].
Напротив, компьютерная индустрия специализируется на однообразии: выпекает как блины практически бесконечные множества идентичных образцов аппаратного и программного обеспечения. Результат налицо: агент, способный нанести серьезный ущерб одному носителю (читай: компьютеру, да и вообще любому количеству объектов, объединенных в интернет вещей
[331]), может с легкостью заразить любое количество экземпляров.