Национальная стратегия безопасности киберпространства

Формирование стратегического подхода США к кибербезопасности стало ответом на изменения в информационных и компьютерных технологиях, произошедшие с конца 1980-х годов. Эти технологии стали активно использоваться в политических, экономических и военных целях, что потребовало адекватного государственного реагирования. Осознание государственными органами управления необходимости разработки защитных технологий, лежат в эпохе «компьютерных революций», когда первые сетевые атаки и случаи кибер-шпионажа продемонстрировали уязвимость государственных и корпоративных систем^[3].

В Конгрессе США развернулись активные дискуссии о необходимости реализации мероприятий кибер-безопасности. Инициаторами выступали как эксперты, так и представители силовых структур, предупреждавшие о рисках масштабных кибер-конфликтов. На законодательном уровне предпринимались попытки урегулировать вопросы защиты информации, однако системный подход отсутствовал. События, такие как хищение с сайта Министерства обороны США данных о новом истребителе пятого поколения Joint Strike Fighter и хакерские атаки против компаний Facebook, Twitter и Apple, подстегнули государственных делителей к действиям по защите такой информации^[5].

2001 год — в рамках «Четырёхлетней программы развития обороны США» кибер-операции были выделены в самостоятельный вид военной деятельности, а кибер-пространство официально признано новой сферой противоборства^[5].

2002 год — принята Стратегия национальной безопасности США, отразившая возросшую значимость информационной безопасности на фоне массового внедрения компьютерных сетей в системы управления.

2003 год — опубликована «Национальная стратегия защиты киберпространства», документ подготовленный Министерством внутренней безопасности после терактов 11 сентября 2001 года. Основной акцент был направлен на защиту критической инфраструктуры (энергетика, финансы, транспорт) от кибер-атак, рассматриваемых как часть террористической угрозы. Стратегия делала акцент на добровольном партнёрстве с бизнесом, отражая взгляды того времени на роль государства в регулировании. Ключевые цели документа 2003 года включали^[4]:

• защиту критической инфраструктуры США от кибер-атак;
• снижение уровня уязвимости национальных систем;
• минимизацию ущерба и времени восстановления после кибер-атак;
• предотвращение кибер-инцидентов, которые могли бы нанести ущерб национальной безопасности.

2008 год — на основании директив Президента США (NSPD-54/HSPD-23) была разработана Комплексная национальная инициатива по кибербезопасности (Comprehensive National Cybersecurity Initiative, CNCI). Эта инициатива была направлена на обеспечение превосходства США в киберпространстве. Её основными направлениями стали^[6]:

• развёртывание национальной системы обнаружения вторжений (Einstein);
• реализация плана кибернетической контрразведки на уровне правительства;
• повышение безопасности сетей, работающих с секретными данными;
• развёртывание образовательных программ по компьютерной безопасности;
• разработка новых технологий в области кибер-безопасности.

2010 год — сформировано Киберкомандование США (USCYBERCOM)^[7].

2011 год — опубликована «Международная стратегия киберпространства». Киберпространство стало рассматриваться, как сфера национальных интересов, равнозначная традиционным доменам (средам). Акцент сместился на выработку международных норм поведения, защиту свободы интернета и создание механизмов коллективного реагирования на угрозы^[8].

2015 год — подписаны соглашения с Китаем по борьбе с кибер-шпионажем в коммерческих целях.

2018 год — опубликована «Стратегия национальной кибербезопасности США», в которой был прописан переход к более жёсткой и наступательной позиции, отражавшей общую риторику администрации. Ключевыми моментами стали^[9]:

• запуск новой международной инициативы по кибер-сдерживанию;
• ориентация на укрепление и продвижение интересов США;
• кибероперации в нормативных документах Министерства обороны США, стали рассматриваться, как элемент многодоменных (многосферных) операций (Multi-Domain Operations);
• повышение роли частного сектора, при одновременной критике чрезмерного государственного регулирования.

2023 год — утверждена «Стратегия национальной кибербезопасности», в её основе два фундаментальных изменений в подходах США и пять ключевых основ.

Фундаментальные изменения^[2]:

• Перераспределение ответственности за защиту кибер-пространства — основной акцент ответственности за кибер-безопасность ложится на конечных пользователей, коммерческие компании, владельцев и операторов критических систем, поставщиков технологий (особенно крупных облачных провайдеров и софтверных компаний). Роль государства определяется как защита собственных систем, обеспечение защиты критической инфраструктуры частным сектором через регулирование и выполнение суверенных функций (разведка, правоприменение, дипломатия, наступательные операции). Это означает переход от исключительно добровольных к обязательным стандартам кибер-безопасности для всех секторов экономики и силовых структур.
• Переориентация в пользу долгосрочных инвестиций в безопасность — рыночные ресурсы и государственные программы должны поощрять безопасность и устойчивость «на этапе проектирования», а не только реагировать на инциденты. Стратегия предлагает использовать такие рычаги, как законодательно закрепить ответственность производителей софта за уязвимости, повысить требования к безопасной разработке (Secure by Design), внедрить программы маркировки уровня безопасности IT-устройств при федеральных закупках.

Ключевые основы стратегии кибербезопасности^[2]:

• Защита критической инфраструктуры — установление обязательных требований кибер-безопасности для ключевых секторов, масштабирование государственно-частного сотрудничества через Центры обмена информацией (ISACs) и Совместный центр киберобороны (JCDC), модернизация федеральных систем на основе архитектуры нулевого доверия (Zero Trust).
• Предупреждение угроз — использование всех инструментов национальной мощи (дипломатических, разведывательных, военных, финансовых, правоохранительных) для предупреждения попыток конкурентов нанести ущерб, борьба с программами-вымогателями через международную Инициативу по борьбе с вымогателями (CRI), предотвращение злоупотребления облачной инфраструктурой США злоумышленниками.
• Формирование рыночных условий для повышения безопасности и устойчивости — возложение ответственности на производителей программного обеспечения и хранителей данных, стимулирование разработки безопасных устройств Интернета вещей (IoT), использование федеральных закупок и грантов, как рычага влияния, изучение возможности создания федерального резерва кибер-страхования.
• Инвестиции в устойчивое будущее — защита технической основы интернета (DNS, BGP, внедрение IPv6), ускорение перехода на постквантовую криптографию, развитие экосистемы, защищающей приватность цифровой идентичности, формирование национальной стратегии для укрепления и диверсификации кибер-кадров.
• Создание международных партнёрств — формирование коалиций (на основе Декларации о будущем Интернета, DFI) для продвижения общих норм, наращивание потенциала союзников, привлечение к ответственности государств за дестабилизирующее поведение в киберпространстве, обеспечение безопасности и диверсификации глобальных цепочек поставок.
• Стратегия носит межведомственный и общегосударственный характер, подчёркивая необходимость скоординированных действий всех федеральных агентств, тесного партнёрства с частным сектором, властями штатов и местными органами власти, а также с международными союзниками. В её основе лежит принцип «коллективной обороны» (collective defense), где успех зависит от совместных усилий всех участников цифровой экосистемы.

Уровни киберпространства^[3][2]:

• Физический уровень — материальные технические средства и географически распределённая инфраструктура. Сюда входят серверы, компьютеры, кабели, центры обработки данных, устройства IoT, а также их физическое расположение. Контроль или повреждение этого уровня напрямую влияет на работоспособность сетей.
• Логический (сетевой) уровень — абстрактная среда программ и данных. Это программно-алгоритмическое обеспечение, операционные системы, протоколы связи (TCP/IP, BGP), приложения и сами данные, которые циркулируют по физической инфраструктуре. Большинство киберопераций происходит именно на этом уровне.
• Пользовательский (персональный) уровень — люди («киберличности») или автоматизированные системы, взаимодействующие с киберпространством. Определяется через идентификаторы: IP-адреса, учётные записи, профили в социальных сетях, MAC-адреса. На этом уровне реализуются цели влияния, дезинформации и социальной инженерии.

США определяют кибероперации, как совокупность согласованных по цели, месту и времени мероприятий в киберпространстве или с его использованием, направленных на обеспечение свободы собственных действий и/или оказание воздействия на противника. Ключевая особенность — цель операций может выходить за пределы киберпространства: воздействие на физические объекты (например, отключение энергосистемы), влияние на процессы принятия решений, изменение поведения людей или подрыв доверия к институтам. Задачи варьируются от разведки и подготовки информационной среды до нанесения кинетического ущерба^[2].

Управление и организационная структура^[9]:

• Киберкомандование США — создано в 2010 году, обладает статусом единого боевого командования. Является центральным органом оперативно-стратегического управления кибер-силами. Оно отвечает за планирование, координацию и проведение кибер-операций, защиту сетей Министерства обороны США (DoDIN), интеграцию кибер-возможностей в общевойсковые операции и координацию с другими федеральными агентствами (ФБР, АНБ, CISA).
• Оперативные группы (Cyber Mission Forces, CMF) — в оперативном подчинении Киберкомандования США находятся 133 оперативные группы (Cyber Mission Forces)^[1], распределённые по специализации и задачам.
• Группы стратегических киберопераций (Cyber National Mission Teams, CNMT) — специальные подразделения, нацеленные на противодействие наиболее опасным стратегическим угрозам национального уровня (государственные хакеры, APT-группы). Также они занимаются разведкой и операциями за пределами сетей МО.
• Группы оперативно-стратегических киберопераций (Cyber Combat Mission Teams, CCMT) — придаются региональным и функциональным боевым командованиям (например, CENTCOM, INDOPACOM) для поддержки их операционных планов на театрах военных действий.
• Группы киберзащиты (Cyber Protection Teams, CPT) — обеспечивают прямую защиту конкретных сетей, систем и инфраструктуры МО США, проводят оценки уязвимостей и реагируют на инциденты.
• Сервисные компоненты — каждый вид вооружённых сил (СВ, ВМФ, ВВС, КМП, Космические силы) имеет свои киберкомандования, которые готовят кадры, развивают возможности и предоставляют рабочие группы в распоряжение Киберкомандования США.

Стратегия нулевого доверия МО США (2022 года) — Министерство обороны США приняло собственную детализированную стратегию, основанную на парадигме «нулевого доверия» (Zero Trust). Эта модель предполагает, что угроза может существовать как внутри, так и вне сетевого периметра, и поэтому доступ к ресурсам не должен предоставляться по умолчанию. Её основные принципы^[10]:

• обязательная проверка — все пользователи, устройства и потоки данных должны аутентифицироваться и авторизовываться, независимо от их местоположения (внутри или вне периметра сети);
• ограниченный доступ — предоставление пользователям ограниченного уровня доступа, необходимого только для выполнения поставленной задачи (принцип least privilege);
• постоянный мониторинг — работа выполняется в режиме постоянного мониторинга состояния и проверки целостности всех систем;
• сегментация системы — разделение сетей на отдельные изолированные сегменты для ограничения горизонтального перемещения злоумышленников;
• защита данных — шифрование данных как при передаче, так и при хранении, строгий контроль доступа к данным;
• непрерывный мониторинг и аналитика — автоматизированный сбор и анализ телеметрии для выявления аномалий и угроз в реальном времени.

Киберкомандование США планирует и осуществляет несколько основных типов операций, что закреплено в нормативных документах Министерства обороны США^[11][12]:

• Операции в информационных сетях Министерства обороны (DoDIN Operations) — рутинные, плановые мероприятия по обеспечению безопасности, управлению, обслуживанию, поддержанию работоспособности и расширению сетей МО США. Это основа для обеспечения повседневной деятельности вооружённых сил.
• Оборонительные кибероперации (Defensive Cyberspace Operations, DCO) — синхронизированные действия по защите, мониторингу, анализу, обнаружению и реагированию на кибер-угрозы.
• Внутрисетевые (DCO-IDM — Internal Defensive Measures) — пассивные и активные меры защиты внутри собственной информационной инфраструктуры Министерства обороны и других назначенных критических систем.
• Внешнесетевые (DCO-RA — Response Actions) — активные действия за пределами защищаемых сетей для противодействия. Формально классифицируются, как оборонительные, но по своей сути являются наступательными (например, нейтрализация командного сервера ботнета противника, проведение операции на его территории). Это отражает доктрину «активной обороны» и «защиты вперёд» (defend forward).
• Наступательные кибероперации (Offensive Cyberspace Operations, OCO) — проекция силы в киберпространстве. Проводятся с целью завоевания и удержания инициативы, воспрещения использования киберпространства противником и нанесения контролируемого ущерба его системам. Включают в себя действия по подготовке среды (разведка, создание точек доступа) и непосредственное воздействие на системы вооружения, командования и управления, объекты критической инфраструктуры противника. Проведение таких операций требует санкции на самом высоком государственном уровне.

Для поддержания технологического превосходства, подготовки высококвалифицированных кадров и отработки операций в условиях, приближённых к реальным, США создали разветвлённую и высокотехнологичную инфраструктуру^[5][3][2]:

• кибер-полигоны и испытательные центры;
• научно-исследовательские организации;
• исследовательские центры.

Кибер-полигоны и испытательные центры^[5][3][2]:

• Полигон систем управления, контроля, связи, компьютеров, разведки и наблюдения (C4ISR) — находится в ведении Агентства по перспективным оборонным исследовательским проектам (DARPA) и МО. Используется для анализа возможностей, разработки новых технологий и тестирования совместимости систем вооружений.
• Полигон МО США по отработке мероприятий в области кибербезопасности — основная площадка для оценки и тестирования Глобальной информационной сети МО (DoDIN). На нём моделируются атаки, анализируются уязвимости, проводятся командно-штабные учения (кибер-учения Cyber Flag, Cyber Guard).
• Полигон совместных информационных операций — представляет собой постоянно действующую, изолированную сетевую инфраструктуру для подготовки рядового и командного состава всех видов ВС по планированию и проведению комплексных информационных и киберопераций.
• Национальный киберполигон США — управляется Министерством энергетики. Специализируется на моделировании кибератак на объекты критической инфраструктуры (энергосистемы, трубопроводы), что позволяет испытывать системы защиты в условиях, максимально приближённых к реальным.

Научно-исследовательские организации^[5][3][2]:

• инженерный научно-исследовательский институт кибербезопасности (CERI);
• национальные лаборатории Министерства энергетики (например, Сандийские национальные лаборатории, Айдахоская национальная лаборатория).

Исследовательские центры^[5][3][2]:

• Агентства национальной безопасности (АНБ);
• Управления перспективных исследовательских проектов в области разведки (DARPA);
• Сетевые центры сотрудничества (Centers of Academic Excellence) в университетах, финансируемые АНБ и Министерством внутренней безопасности.

Эта инфраструктура обеспечивает цикл «исследования-разработка-испытания-внедрение-подготовка», что позволяет США быстро адаптироваться к изменяющимся угрозам и сохранять лидерство в кибертехнологиях.

Существующая стратегия США исходит из анализа сложной и динамичной среды, характеризующейся взаимосвязанностью технологических, геополитических и социальных факторов^[5][3][2].

Возникающие технологические тенденции, создающие новые риски:

• усложнение программного обеспечения и систем — растущая сложность и взаимозависимость цифровых систем, включая программное обеспечение с открытым исходным кодом (как продемонстрировала уязвимость Log4j), увеличивает площадь атаки и затрудняет обеспечение безопасности;
• конвергенция IT и OT — интеграция информационных технологий с операционными технологиями на промышленных объектах (энергетика, водоснабжение, транспорт) выводит кибер-атаки из виртуальной плоскости в физическую, делая их последствия более разрушительными;
• распространение Интернета вещей (IoT) и граничных вычислений (Edge Computing) — миллионы новых подключённых устройств с часто слабой защитой расширяют периметр атаки и создают плацдармы для крупномасштабных атак (ботнеты типа Mirai);
• развитие искусственного интеллекта (ИИ) — двойственное использование ИИ, с одной стороны, для усиления киберзащиты (анализ угроз, автоматизация ответа), с другой для создания более изощрённых атак (генерирование фишинга, автоматический поиск уязвимостей);
• квантовые вычисления — будущая угроза криптографическим фундаментам современного интернета, требующая заблаговременного перехода на постквантовые алгоритмы шифрования.

В Стратегии представлены не вполне объективные обвинения к государствам, конкурирующим с США, в рамках которых^[5][3][2]:

• Китай — определяется как «самая широкая, активная и постоянная угроза», обладающая намерением и потенциалом изменить международный порядок. Акцент делается не только на кибер-шпионаже и краже интеллектуальной собственности, но и на долгосрочной стратегии по продвижению модели «цифрового авторитаризма», экспорте технологий контроля и создании зависимых технологических экосистем (например, через инициативу «Пояс и путь»). КНР обвиняется в систематических операциях по компрометации глобальных цепочек поставок софта и аппаратного обеспечения.
• Россия — рассматривается как постоянная и безответственная угроза, использующая кибервозможности для достижения тактических и стратегических целей (неподтверждённые обвинения о вмешательстве в выборах).
• Иран — обвиняется в использовании кибератак для геополитического давления (на финансовый сектор, объекты инфраструктуры в регионе Ближнего Востока).
• КНДР — использует киберпреступность (вымогатели, кража криптовалюты, тайные ИТ-работники), как основной источник финансирования режима и его ядерно-ракетных программ.
• Транснациональные преступные синдикаты — представляют собой непосредственную угрозу национальной и экономической безопасности. Атаки с использованием программ-вымогателей (ransomware) парализовали работу больниц, школ, органов власти и компаний по всему миру (Colonial Pipeline, JBS Foods). Эти группы часто действуют из стран-убежищ и имеют квазигосударственные связи, что затрудняет борьбу с ними.

Стратегия США делает значительный акцент на построение широких международных партнёрств, понимая, что изолированно решить глобальные кибер-угрозы невозможно. Это борьба не только за безопасность, но и за ценности и архитектуру будущего цифрового мира^[5][3][2]:

Декларация о будущем Интернета (Declaration for the Future of the Internet, DFI) — опубликована в апреле 2022 года и стала краеугольным камнем усилий по объединению единомышленников (более 60 стран) вокруг общей демократической цифровой повестки, основанной на принципах открытости, свободы, глобальности, интероперабельности, надёжности и безопасности.

Коалиционная атрибуция и применение последствий — США намерены совместно с партнёрами публично атрибутировать кибер-атаки и координированно применять последствия к государствам-нарушителям. Инструментарий включает санкции, дипломатическую изоляцию, судебные преследования (как в случае с хакерами, обвинёнными DOJ), правоохранительные меры и контр-кибероперации. Цель — повысить цену безответственного поведения.

Международные форматы общения^[5][3][2]:

• квадрилатеральный диалог по безопасности (Quad) — США, Япония, Индия, Австралия координируют усилия по обеспечению безопасности цепочек поставок, развитию безопасных телекоммуникаций (5G/6G) и наращиванию потенциала в Индо-Тихоокеанском регионе;
• совет по торговле и технологиям США-Европейский союз (Trade and Technology Council, TTC) — основная площадка для гармонизации подходов к регулированию ИИ, кибербезопасности, экспортному контролю критических технологий и защите прав человека в цифровой среде;
• AUKUS (Австралия, Великобритания, США) — помимо ядерных подлодок, включает сотрудничество в области передовых кибервозможностей, искусственного интеллекта, квантовых технологий и подводных систем;
• инициатива по борьбе с программами-вымогателями (Counter Ransomware Initiative, CRI) — объединяет более 40 стран для совместного противодействия финансовым потокам вымогателей, обмена разведданными и проведения операций по подрыву преступных сетей.

Продвижение принципов безопасности, прозрачности и надёжности в глобальных цепочках поставок телекоммуникационного оборудования (5G/6G, Open RAN), полупроводников и других критических технологий. Цель — снизить стратегическую зависимость от недружественных или ненадёжных поставщиков (таких как китайские Huawei и ZTE). Эта работа ведётся через поддержку альтернатив, финансирование исследований и дипломатическое давление на партнёров^[5][3][2].

Реализация стратегии сталкивается с проблемами^[5][3][2]:

• внутренними бюрократическими и бюджетными барьерами;
• необходимостью баланса между безопасностью государства, приватностью граждан и инновациями;
• сложностью поддержания единства подходов между различными государствами;
• растущие технологические возможности противников.

Эволюция документа отражает постоянный поиск ответа на главный вопрос цифровой эпохи, как обеспечить безопасность открытого общества, не жертвуя его фундаментальными свободами и способностью к инновациям.

Изменения стратегий национальной кибербезопасности США демонстрирует новые подходы:

• интегрирует кибер-пространство во все аспекты государственной политики от обороны и разведки до экономики, дипломатии и защиты прав человека;
• производит фундаментальное перераспределение ответственности с конечных пользователей и малого бизнеса на крупнейшие технологические компании, операторов критической инфраструктуры и само государство;
• активно и открыто использует весь спектр инструментов национальной мощи для подрыва, сдерживания и наказания противников в киберпространстве, стирая грань между мирным временем и войной.
• делает стратегическую ставку на долгосрочные инвестиции в безопасность «на этапе проектирования», развитие диверсифицированных кадровых ресурсов и фундаментальные исследования (постквантовая криптография, безопасный ИИ, устойчивые архитектуры);
• ведёт глобальную борьбу за нормативное и технологическое лидерство, строя широкие коалиции для продвижения своей модели поведения в киберпространстве.

Модернизация киберсил Министерства обороны является частью более широкой программы трансформации вооружённых сил (Joint All-Domain Command and Control, JADC2), в рамках которой планируется^[5][3][2]:

• глубокая модернизация сетей вооружённых сил с внедрением архитектуры нулевого доверия на всех уровнях;
• интеграция технологий искусственного интеллекта и машинного обучения для автоматического обнаружения угроз, анализа поведения и принятия решений на скорости, превышающей человеческие возможности;
• наращивание наступательных возможностей для гарантированного сдерживания и ответа на агрессию в киберпространстве;
• развитие «киберэлектронной борьбы» (Cyber-Electromagnetic Activities, CEMA), где кибер-операции тесно переплетаются с радиоэлектронной борьбой и использованием электромагнитного спектра;
• усиление подготовки кадров и создание устойчивого потока квалифицированных специалистов через программы сотрудничества с университетами и частным сектором.