Хотя большинство участников киберэкосистемы знают об этих растущих рисках, ответственность за смягчение системных опасностей распределена плохо. Киберспециалисты и политики слишком часто руководствуются, скорее, страхом риска, чем стремлением полностью реализовать потенциал киберпространства. Усугубляет эту динамику существовавшая десятилетиями тенденция среди крупных и сложных субъектов, которые проектируют, создают и эксплуатируют цифровые системы, перекладывать затраты и трудности по снижению рисков на пользователей, у которых зачастую не хватает ресурсов и опыта для их устранения.

Слишком часто такое положение дел приводит к созданию цифровых экосистем, где частная информация легко доступна, технологии злоумышленников недороги, а кратковременное ослабление бдительности может привести к катастрофе в масштабах всего континента. Хотя такие индивидуально ориентированные инструменты, как многофакторная аутентификация и менеджеры паролей, имеют решающее значение для решения отдельных элементов этой проблемы, сами по себе они недостаточны. Долгосрочное решение должно включать в себя отказ от тенденции возлагать абсурдный уровень риска на отдельных людей, малые предприятия и местные органы власти. Те, кто более способен нести нагрузку – например, правительства и крупные компании – должны взять на себя часть бремени, а коллективная, совместная защита должна заменить единичные и разделенные усилия. До тех пор проблема всегда будет выглядеть так, будто ее решает кто-то другой.

Соединенным Штатам необходим новый общественный контракт для цифровой эпохи – такой, который существенно изменит отношения между государственным и частным секторами и предложит новый набор обязательств для каждого из них. Такой переход является судьбоносным, но не лишенным прецедентов. От Закона о чистых продуктах питания и лекарствах 1906 года до Закона о чистом воздухе 1963 года и государственно-частной революции в области безопасности авиаперевозок в 1990-х годах, Соединенные Штаты внесли важные коррективы после глубоких изменений в экономике и технологиях.

Подобный инновационный сдвиг в киберсфере, вероятно, потребует интенсивного процесса разработки и совершенствования. Тем не менее, его основные черты уже ясны: частный сектор должен уделять приоритетное внимание долгосрочным инвестициям в цифровую экосистему, которая справедливо распределяет бремя киберзащиты. Правительство, в свою очередь, должно предоставлять более своевременную и полную информацию об угрозах, одновременно рассматривая промышленность как важного партнера. Наконец, как государственный, так и частный сектор должны взять на себя обязательство перейти к настоящему сотрудничеству – направлять ресурсы, внимание, опыт и людей на создание институтов, предназначенных для предотвращения, противодействия и восстановления после киберинцидентов.

Хотя успех далеко не гарантирован, преимущества такого общественного контракта огромны. Новое видение того, что правительство США, компании и частные лица должны друг другу в киберпространстве, не отягощенное современными представлениями о рисках и угрозах, в конечном итоге, означает мир, способный полностью реализовать свой технологический потенциал.

НЕСБЫТОЧНАЯ МЕЧТА

Современные киберугрозы представляют собой трагическое предательство того, что ведущие защитники технологий обещали на заре цифровой революции. Пьянящие первые дни Интернета были наполнены оптимизмом. Многие утверждали, что цифровая связь не только будет способствовать демократии и правам человека, но и станет неотъемлемой силой прогресса и равноправия. После падения Советского Союза в начале 1990-х годов было легко рассматривать Интернет как естественное и неизбежное продолжение либерализации геополитических сил, предвещающее мир, где ни физические границы, ни государственные органы не будут сдерживать свободный поток идей.

Однако вскоре стало ясно, что киберпространство – это такой же инструмент, как и любой другой, который усиливает ценности тех, кто им владеет. Китай, который изначально рассматривался как квинтэссенция либерализации через коммерцию, сделал именно то, что технооптимисты считали невозможным: он приручил Интернет, использовал киберпространство и превратил цифровую революцию в цифровую антиутопию, которую Пекин теперь стремится экспортировать начинающим авторитаристам по всему миру. Россия, чьи советские предшественники были частично побеждены свободным потоком информации, теперь является виртуозным поставщиком дезинформации, цифровых манипуляций и геополитического шантажа с помощью кибертехнологий.

Между тем, частные лица и малый бизнес лишь частично реализовали обещания радикально равноправной цифровой экономики. Рыночные преимущества достались нескольким крупным компаниям. Цифровое криминальное подполье, наоборот, гораздо более демократично. Инструменты взлома легко доступны, что позволяет киберпреступникам держать в заложниках важнейшие объекты инфраструктуры. Цифровые надежды 1990-х годов теперь переплетаются с рядом катастрофических угроз.

На этом фоне неудивительно, что многие политические меры в области кибербезопасности исходят из фундаментально негативной концепции, которая отдает инициативу нарушителям и возлагает чрезмерные надежды на рыночные стимулы. Эти опасения не лишены оснований: проблемы безопасности в киберпространстве пугают, поскольку масштабы и размах любого инцидента безопасности могут быть очень велики. В мире, где переход по неправильной ссылке или игнорирование одного программного обновления может привести к геополитическому инциденту, специалисты по реагированию часто сосредотачиваются на виновнике атаки в ущерб устранению ошибочных стимулов, которые, в первую очередь, создают эти обстоятельства. Однако такая постановка вопроса имеет серьезные материальные последствия. Безопасность является необходимым условием процветания в физическом мире, и киберпространство ничем не отличается от него. Пока Вашингтон не выработает лучшее понимание того, как может выглядеть процветание с использованием цифровых технологий, Соединенные Штаты будут продолжать упускать из виду изначальную цель киберпространства: амбициозную реализацию лучшего мира, более справедливой экономики и более справедливого общества.

НОВЫЙ СОЦИАЛЬНЫЙ КОНТРАКТ

Ни рыночные стимулы, ни существующие угрозы не являются необратимыми силами природы. Изменения возможны, и в соответствии с американскими ценностями правительство должно сотрудничать с частным сектором для снижения рисков и лучшего удовлетворения общественных интересов. Лучшим способом начать эту перезагрузку является расширение сотрудничества внутри правительства США и – что, возможно, наиболее важно – создание четкой основы для сотрудничества между государственными и частными элементами общей киберэкосистемы Соединенных Штатов.

Правительство США добилось больших успехов в первом направлении. Администрация Байдена представила ряд общегосударственных инициатив, направленных на задержание преступников, изоляцию и наказание их пособников, а также мобилизацию государств-единомышленников для защиты от поддерживаемых государством хакерских кампаний. Однако в государственном и частном секторе по-прежнему нет единого понимания того, что должна делать организация и к кому обращаться при подготовке ко вторжению или в ответ на него. У правительств, компаний и граждан слишком часто нет авторитетного ответа на вопрос, что мы должны друг другу в киберпространстве.

Ответ на этот вопрос требует сотрудничества между правительством США, частным сектором и их международными партнерами. Ситуационная осведомленность, которая необходима для понимания угроз, действующих через границы организаций, возможна только в том случае, если каждая организация вносит свои частичные представления в общее понимание общей угрозы. Сотрудничество между киберзащитниками может изменить ситуацию против злоумышленников, но только если каждая заинтересованная сторона понимает, как ее часть вписывается в целое и при каких обстоятельствах она должна быть готова прийти на помощь.

Однако, как и в других отраслях, призванных предоставлять критически важные услуги, одних только рыночных сил недостаточно для того, чтобы обеспечить справедливое обслуживание киберпространства всеми заинтересованными сторонами. В соответствии с передовым опытом, взятым из транспортного и медицинского секторов, правительство и частные компании должны начать работать вместе. Прежде всего, это означает разработку новых способов решения проблемы непропорционального бремени, которое нынешняя система возлагает на отдельных лиц и конечных пользователей. Киберпространство состоит в подавляющем большинстве из частных компонентов, но при этом имеет огромную общественную ценность. Поэтому компаниям частного сектора необходимо будет уделять все больше внимания безопасности и устойчивости как при производстве оборудования, так и при разработке программного обеспечения, даже если эти приоритеты потребуют большего терпения от их иногда нетерпеливых инвесторов. Правительство также должно играть активную роль в облегчении этого перехода, устанавливая стандарты, стимулируя нормы и предоставляя информацию.

Обе стороны также должны подкрепить эти действия новым видением сотрудничества. Повышение устойчивости к потенциально катастрофическим киберинцидентам потребует беспрецедентного уровня планирования, обмена информацией и оперативной близости в некогда изолированных областях. Существующие усилия по размещению правительственных и промышленных экспертов бок о бок, в том числе в отраслевых центрах обмена информацией и анализа – хороший способ, чтобы начать. Правительство США быстро осознало, что такие партнерства могут выявлять и устранять угрозы гораздо эффективнее, чем одиночные действия одной организации.

Приказ президента Джо Байдена от мая 2021 года о повышении кибербезопасности США является жизненно важным элементом этой новой парадигмы. Указ призван способствовать созданию устойчивых цепочек поставок программного обеспечения путем укрепления стандартов информационных технологий и защиты сетей от известных уязвимостей. Исследователи безопасности уже давно призывают к реализации многих новых инициатив, предусмотренных приказом, включая так называемую программу учета материалов, предназначенную для отслеживания различных компонентов, используемых при разработке программного обеспечения. Кроме того, решение Байдена поможет распространить эти практики далеко за пределы только лишь государственного сектора.

Федеральному правительству также придется показать пример при создании собственных цифровых систем. В ноябре 2021 года Агентство по кибербезопасности и инфраструктурной безопасности (CISA) выпустило новую директиву, требующую от всех федеральных агентств устранить более 250 известных уязвимостей в программном обеспечении, которые активно используются хакерами. В январе 2022 года администрация обнародовала стратегию внедрения в правительстве архитектуры нулевого доверия – философии безопасности, которая предполагает неизбежность взломов и предусматривает создание защитных барьеров для сдерживания воздействия любого потенциального взлома. Такая программа снижает риск любой отдельной уязвимости, уводя Соединенные Штаты от системы, которая слишком часто концентрирует риск на промахах отдельных людей в цифровой сфере. Не просто призывая к изменению направления и стратегии, федеральное правительство приводит в порядок свой собственный цифровой дом и прокладывает путь, по которому могут пойти другие.

Трансформировать этот уровень мобилизации в системные изменения в частном секторе будет сложнее. Для этого потребуется беспрецедентный уровень сотрудничества между правительством и промышленностью. Для начала администрация Байдена создает новый Совет по обзору кибербезопасности по образцу Национального совета по безопасности на транспорте. Лидеры правительства и частного сектора будут сопредседательствовать в этом органе с целью анализа значительных инцидентов в области кибербезопасности, обобщения извлеченных уроков и выработки конкретных рекомендаций по предотвращению будущих кризисов. Вашингтон также ослабляет договорные барьеры, которые раньше мешали субъектам частного сектора делиться информацией об угрозах с властями, и требует от поставщиков государственных услуг уведомлять федеральные агентства о соответствующих утечках данных. Наконец, администрация Байдена создала Объединенную коллаборацию по киберзащите при CISA – первую в своем роде организацию, уполномоченную объединять представителей правительства и промышленности для выявления угроз, разработки планов реагирования на кризисы и налаживания отношений, необходимых для реагирования на злонамеренные киберинциденты.

Такой уровень сотрудничества потребует профессиональной и оперативной близости между специалистами-практиками и значительного опыта в разработке планов для исключительных событий. CISA, например, необходимо будет проводить общегосударственные учения, направленные на прогнозирование конкретных чрезвычайных ситуаций и определение ведомств, ответственных за конкретные элементы реагирования на кризис. CISA и другие агентства по управлению рисками в федеральном правительстве также должны будут выполнять свои обязанности вместе со своими коллегами из других отраслей. Лидеры частного и государственного секторов должны будут научиться говорить на языках друг друга и продуктивно обмениваться информацией. А Совет национальной безопасности должен будет координировать развертывание всех инструментов национальной безопасности, когда киберпроблема внезапно превратится в геополитическую проблему.

Однако, как и любой хорошо функционирующий коллектив, правительство США также нуждается в регулярном анализе своей работы. Это еще одна область, где Офис национального кибердиректора (ONCD) может проявить себя с лучшей стороны. Со своей позиции в Белом доме ONCD должен использовать свою стратегию для поддержки и обеспечения согласованности киберполитики США. Это должно включать в себя тщательный анализ бюджетов для определения эффективной политики и преобразование национальных стратегий в приоритеты планирования для конкретных ведомств. ONCD также должен выявлять слабые места в проводимом Вашингтоном ускоренном курсе по сотрудничеству государственного и частного секторов и устранять организационные проблемы до того, как они станут серьезными проблемами. Киберпространство – это крупнейшее в мире общественное благо, состоящее почти полностью из частных компонентов, и ONCD, наделенный уставной обязанностью проводить консультации и координацию с представителями частного сектора, должен работать в качестве правительственного посредника. Наконец, поскольку киберпространство не является чисто внутренним вопросом, ONCD должен работать вместе с Государственным департаментом и Советом национальной безопасности, чтобы обеспечить свободный обмен накопленным опытом между США и их партнерами.

УЧАСТИЕ В СОЗДАНИИ

С таким новым общественным контрактом для киберпространства, основанном на инвестициях в устойчивость, новых формах обмена информацией и сотрудничестве государственного и частного секторов, у Соединенных Штатов будут все шансы вернуть то хорошее, на что они надеялись на заре цифровой эпохи. Несмотря на то, что американцы стали скептически относиться к тому, что Интернет является положительным явлением для общества, на стыке государственного и частного сотрудничества скрываются нереализованные перспективы. Пересмотрев свое понимание того, для кого и для чего в конечном счете предназначено киберпространство, Соединенные Штаты смогут получить огромные социальные, экономические и геополитические выгоды.

Технологический сектор, например, уже является значительным двигателем инноваций и роста, составляя почти десять процентов от общего объема экономической продукции США. Семь из десяти самых прибыльных американских компаний – это компании, работающие в сфере технологий, телекоммуникаций или программного обеспечения. 85% американцев владеют смартфонами, по сравнению с 35% всего десять лет назад, что свидетельствует о том, насколько глубоко цифровая связь вплетена в ткань американской жизни. И когда наступил COVID-19, 90% американцев заявили, что Интернет стал необходимым или важным средством для преодоления беспрецедентных потрясений, вызванных глобальной пандемией.

Однако цифровая связь помогает не только людям справиться с COVID-19. Технологии также помогают правительствам, ученым и компаниям управлять пандемией и, в конечном итоге, остановить ее. Начиная с 2020 года, историческая глобальная мобилизация биомедицинских исследований изменила науку в цифровом веке. Исследователи COVID-19 опробовали новые методы быстрого обмена данными и результатами – частое размещение так называемых статей-препринтов для распространения жизненно важных открытий при сохранении безопасности и целостности данных. Например, когда в январе 2020 года ученые впервые секвенировали раннюю версию генома вируса SARS-CoV-2, исследователи из биотехнологической компании Moderna и Национального института аллергии и инфекционных заболеваний США просто загрузили геном, заменили один вирусный белок на другой и через шесть недель начали тестировать вакцину.

Важно, что эта вновь обретенная скорость не повлекла за собой снижение качества. Наоборот, цифровое подключение помогло укрепить этические, доктринальные и процедурные основы медицинской науки, позволяя ей работать на более высоких скоростях без ущерба для общественной безопасности. Защита и контроль, которые исследователи встроили в каждый уровень своей работы – то, как они разрабатывают свои эксперименты, собирают и обрабатывают данные, выбирают и эксплуатируют инструменты и материалы, – создали уровни снижения рисков, которые позволили создать более быструю и высокопроизводительную отрасль. Хотя международное сообщество все еще сталкивается с политическими препятствиями на пути вакцинации наиболее уязвимых групп населения, общественность теперь понимает, что действительно возможно.

Однако, помимо таких вопросов, как COVID-19, Соединенные Штаты едва ли могут себе представить, чего может достичь подобная высокопроизводительная, высоконадежная структура, в которую встроены значительные гарантии, в других областях. Как и в случае биомедицинских исследований, политика, процессы и технологии, необходимые для стабильного и безопасного Интернета, не только не снижают скорость, но и позволяют новаторам быстрее и увереннее реализовывать свои инициативы. Поэтому Соединенные Штаты должны разрабатывать свои киберстратегии, меры политики и партнерские отношения, не зацикливаясь только на самых непосредственных угрозах, а помня о перспективах, которые ждут нас впереди. Если более четко сформулировать мир с цифровыми технологиями, в котором хотят жить американцы, путь к успеху станет все более достижимым.

СВЕТЛОЕ БУДУЩЕЕ

Невозможно предсказать, как может выглядеть идеальное цифровое и коллективное будущее, но его широкие преимущества становятся все более очевидными. Некоторые элементы, которые несомненно перспективны в сочетании с новой безопасной и долговечной цифровой экосистемой, уже существуют. Другие являются более спекулятивными. Однако во всех случаях мир, в котором ученые, инноваторы, правительства и отдельные люди уверены в том, что могут быстрее двигаться в киберпространстве, – это мир, в котором нас ждет светлое будущее.

Одна из наиболее перспективных и неотложных возможностей связана с переходом на возобновляемые источники энергии. Хотя принятый администрацией Байдена закон об инвестициях в инфраструктуру и рабочих местах ускорит это движение, перспективы возобновляемой энергии – это не только замедление изменения климата. Зеленая энергия, в конечном итоге, может обеспечить более амбициозное и привлекательное будущее, чем когда-либо могло обеспечить ископаемое топливо. Потребление энергии на душу населения в США быстро росло по мере индустриализации страны, но после 1970-х годов достигло плато, поскольку растущие цены на нефть и загрязнение окружающей среды заставили промышленность делать больше при меньших затратах. Между тем, стоимость солнечных панелей быстро снизилась – более чем на 80 % с 2010 года. В сочетании с практически нулевыми предельными затратами на преобразование солнечного света в электричество, энергия вскоре может стать слишком дешевой. Аналитики еще только начинают представлять, чего может достичь экономика США, освобожденная от дефицита энергии и загрязнения окружающей среды.

Согласование рыночных стимулов для реализации этого низкоуглеродного будущего требует внимания и творческого подхода. То же самое относится и к безопасной и устойчивой цифровой основе, которую, в конечном итоге, будет использовать такая система. Солнечная энергия, например, уникально масштабируема – от крыш индивидуальных домов до солнечных ферм коммунального масштаба. При правильном проектировании цифровая инфраструктура, лежащая в основе этой гипотетической энергетической сети, может генерировать, хранить и перераспределять электроэнергию на уровне, с которым современное ископаемое топливо просто не может сравниться. При обеспечении надежной защиты данных операторы могли бы доверить автоматизированному программному обеспечению распределение электроэнергии с беспрецедентным уровнем сложности. Южное солнце может поддержать жителей Айовы в зимние шторма, а морские ветры в штате Мэн могут заряжать электромобили вдоль и поперек Восточного побережья.

Также перспективной и столь же актуальной является быстро развивающаяся экономика космического базирования. Как и возобновляемые источники энергии, этот новый сектор будет зависеть от кибербезопасности и технологической безопасности. Стоимость орбитальных запусков снижается, а спутниковые технологии становятся все более доступными, открывая новые возможности как для коммерческой, так и для геополитической конкуренции. Хотя космические телекоммуникационные системы уже существуют, предприятиям, правительствам, некоммерческим организациям и исследователям необходима уверенность в безопасности и устойчивости орбитальных инвестиций и данных, которые предоставляют эти системы. Точные модели изменения климата, судьбоносные данные о сельском хозяйстве, измерения макроэкономических тенденций в реальном времени и всемирное подключение к Интернету могут быть не за горами, но только если аппаратное и программное обеспечение, обеспечивающее эти услуги, остается надежным, устойчивым и работоспособным. Это произойдет только тогда, когда Соединенные Штаты достигнут совершенно иного уровня уверенности в своих основах кибербезопасности. Как известно любому поклоннику автоспорта, водители могут проходить повороты быстрее, если они уверены в надежности своих тормозов.

Автономные транспортные средства могут стать одной из таких технологий. Перспективы автономности транспортных средств очевидны: более безопасная и легкая транспортировка людей и грузов, снижение усталости водителя, гораздо более эффективное использование пассажирских и грузовых сетей, а также улучшение свободы передвижения для инвалидов или перемещенных лиц. Однако угрозы, исходящие от небезопасной кибер-экосистемы, также очевидны: автономные автопарки неизбежно будут зависеть от плотно объединенных в сеть систем и программного обеспечения, которые в настоящее время уязвимы для злонамеренных атак. Уникальное использование искусственного интеллекта в режиме реального времени и с высокой степенью риска, которое потребуют по-настоящему автономные транспортные средства, обуславливает необходимость изменения парадигмы киберзащиты. После реализации эти разработки могут привести к самым глубоким и позитивным изменениям в современном мире за последние десятилетия. 

Такое светлое будущее распространяется и на геополитику. Подобно тому, как аналитики часто зацикливаются на киберугрозах в ущерб кибервыгодам, последствия будущего, в котором США одерживают верх над современными геополитическими угрозами, также недостаточно изучены. Например, мир, в котором сети США и союзников устойчивы к хакерским атакам, финансируемым государствами, был бы совершенно иным. Если бы у Китая или России было меньше правдоподобных возможностей для подрыва цифровой инфраструктуры, которая лежит в основе обычных инструментов сдерживания Соединенных Штатов, расчеты стратегической конкуренции, вероятно, значительно изменились бы в пользу США. Соединенные Штаты также выиграют, если Китай и Россия лишатся возможности заранее размещать вредоносные программы в критически важных объектах американской инфраструктуры, что снизит способность Пекина и Москвы использовать асимметричное оружие в кризисной ситуации.

И хотя американская общественность широко осведомлена о китайском шпионаже и краже интеллектуальной собственности, аналитики сравнительно меньше знают о растущей способности Пекина использовать в качестве оружия индивидуальные данные американцев. По словам Уильяма Эванины, бывшего директора Национального центра контрразведки и безопасности, Китай "заполучил личные данные большей части американского населения, включая данные о нашем здоровье, финансах, путешествиях и другую конфиденциальную информацию". Китай почти наверняка использует эти огромные массивы данных для разработки моделей в самых разных неблаговидных целях, включая выявление агентов разведки, препятствование американской дипломатии, отслеживание влиятельных лидеров, целенаправленные кампании Пекина по шпионажу и даже влияние на избирателей. Личные данные людей – это не только жизненная сила цифровой экономики, но и оружие, которое используется против этой экономики. Долговечная и безопасная цифровая экосистема, напротив, будет препятствовать такой вредоносной деятельности.

Наконец, мир, где данные более безопасны, – это мир, где конфиденциальность данных становится более осуществимой. Американцы все больше испытывают недоумение и тревогу из-за отсутствия контроля над своей личной информацией, а регулярный барабанный бой о массовых взломах мало успокаивает их нервы. В отличие от этого, абсолютно безопасный цифровой мир – это мир, в котором всеобъемлющий режим конфиденциальности становится более практичным. При большей уверенности в том, в каком направлении будет развиваться система безопасности и конфиденциальности данных в США, американским компаниям будет легче работать с режимами защиты данных партнеров-единомышленников. Такое сотрудничество обеспечит более глубокое взаимодействие и коммерческий обмен с такими странами, как Япония или страны Европейского союза, которые уже начали закладывать основы законодательства о данных XXI века. Американские дипломаты также смогут убедительно использовать эти ценности в качестве инструментов внешней политики для укрепления отношений с союзниками и партнерами по всему миру. Возникшие международные связи помогут сдержать распространение технологий слежения и цифрового авторитаризма Пекина и Москвы. 

Эти перспективы могут быть радужными, но они не являются неправдоподобными. Сосредоточив внимание Вашингтона на реализации предпочтительного цифрового будущего, Соединенные Штаты смогут не только выявить злонамеренных субъектов, стремящихся помешать успеху США, но и сформировать более действенное понимание того, что нужно американцам друг от друга. Многие отрасли, управляемые цифровыми технологиями, стали жертвами собственного успеха. За последние несколько десятилетий ряд небольших инновационных фирм стали хранителями жизненно важного нового уклада. Редко бывает четкий переломный момент, когда миссия стартапа переходит от созидательного разрушения к поддержанию общества. Но при наличии общего и позитивного видения государственный и частный секторы могут создать новый социальный контракт, который облегчит этот переход, не подрывая целостности и жизнеспособности, необходимых для инновационной экономики.

Определив цифровое будущее, которое хотят создать Соединенные Штаты, и социальный контракт, который может его поддержать, американцы смогут укрепить свою устойчивость и установить вознаграждение за хорошее и наказание за плохое поведение. Несогласованные стимулы и злонамеренные действия не сравнятся с четким пониманием того, куда стремятся Соединенные Штаты.

Крис Инглис, Гарри Крейса