Командующий Силами киберзащиты: Мы находимся в фазе конфликта, возможно, близкой к фазе войны

• Генерал Кароль Моленда в интервью CIS признал, что в настоящее время основными источниками угроз в киберпространстве являются Россия и Беларусь.
• Силы защиты киберпространства проводят не только оборонительные, но и наступательные операции.
• Кароль Моленда также рассказывает о том, как Польша выстраивает уникальную модель кибербезопасности в рамках НАТО. Она основана на сотрудничестве, обмене информацией и интеграции с частным сектором.
• Кибербезопасность станет одной из главных тем осенней конференции «Промышленность для обороны». 15 октября в Катовице соберутся лидеры промышленности, науки и правительства, чтобы обсудить укрепление устойчивости и оборонного потенциала Польши перед лицом новых геополитических и технологических вызовов.

В рамках операции «Безопасное Подлясье» военные защищают польско-белорусскую границу. Что защищают Силы киберзащиты?

Военная ИКТ-инфраструктура и, косвенно, огромный объём конфиденциальных и ценных данных с точки зрения национальной безопасности. Создание Сил военной обороны (WOC) является ответом на обязательство, принятое в 2016 году. Тогда Североатлантический альянс решил, что киберпространство также является оперативной сферой, в которой могут проводиться военные операции. Это потребовало создания отдельных подразделений, занимающихся кибербезопасностью.

Силы гражданской обороны отвечают в первую очередь за кибероперации, противодействуя атакам на IT-системы и инфраструктуру. Мы отличаемся от других родов войск тем, что не только обучаем, но и проводим операции здесь и сейчас, в мирное время .

Генерал объясняет: «Мы ведём войну в киберпространстве?»

Мы часто слышим от политиков, что у нас идёт «кибервойна». Но, по-вашему, мир?

Согласно международному праву, никто нам войну не объявлял, поэтому, как солдат, я говорю о мирном времени. Однако, на мой взгляд, в киберпространстве скорее следует говорить о состояниях соперничества, конфликта и войны.

Что касается киберопераций, я думаю, мы уже находимся в фазе конфликта, возможно, близкой к фазе войны.

Когда можно сказать, что определенно идет война?

Порог войны чётко не определён. НАТО в целом отходит от определения жёсткой границы, поскольку, если противник знает, где она находится, он всегда будет действовать на границе и проверять, что произойдёт, когда он её пересечёт.

Если бы атака повредила критически важную инфраструктуру, что привело бы к ранениям или гибели людей, было бы сложно утверждать, что мы всё ещё находимся в состоянии конфликта. Этого было бы достаточно, чтобы считать это войной. Сейчас мы отражаем атаки.

Сколько оборонительных и сколько наступательных действий содержится в операциях WOC?

Наши основные усилия направлены на противодействие атакам, но мы также выявляем инфраструктуру и действия наших противников, изучая их тактику, методы и методы, которые они используют против нас или наших партнёров. Одновременно мы также наращиваем наступательный потенциал.

Значение?

У нас есть три подразделения, обеспечивающие компетенции для всего спектра операций. В каждом подразделении есть команды, готовые к проведению активных оборонительных и наступательных операций. Они обладают необходимыми знаниями и инструментами для достижения результатов в цифровом пространстве противника в случае, если наша инфраструктура подвергнется атаке, которая по политическим причинам вынудит нас не только защищаться.

Однако, если кто-то хочет напасть, он должен прежде всего уметь защищаться. Например, в начале полномасштабной войны на Украине россияне стали жертвами таких групп, как «Анонимус» . Оказалось, что, несмотря на их внешнюю активность, они не способны защитить себя от тех инструментов, которые сами же и используют.

Киберпреступники, действующие в Польше, финансируются ГРУ и ФСБ

Кто сегодня представляет для нас наибольшую угрозу в киберпространстве?

В рамках киберопераций наша главная задача — противодействие группам APT (Advanced Persistent Threats) . Это спонсируемые государством группы, которым поручены конкретные задачи по воздействию на инфраструктуру конкретной страны и достижению там результатов.

Являются ли они военными подразделениями или преступниками, финансируемыми государством?

«В разных странах к этому вопросу подходят по-разному. Существует несколько общедоступных отчётов, которые чётко указывают на то, что одна из таких групп действует в ГРУ, российской военной разведке . Эксперты обозначили её как APT28. У ФСБ есть APT29. Сегодня мы, сотрудники Агентства внешней разведки, отслеживаем почти 20 подобных групп».

У группировок APT есть разрешение и защитный зонтик. Если кто-то совершает атаку от имени Российской Федерации, вероятность того, что Российская Федерация его экстрадирует после нашего расследования, равна нулю. Именно поэтому ФБР объявляет в розыск выявленных членов группировок APT — есть вероятность их задержания, например, если они поедут в другие страны .

Что означают эти аббревиатуры?

Эти обозначения присваиваются экспертами на основе образа действий группировок или используемых ими инструментов. Установить принадлежность к ним непросто; это требует многолетнего опыта. Такие группы обычно атакуют под иностранным флагом , захватывая контроль над иностранной инфраструктурой, и только затем проводят наступательные операции, используя её.

Сегодня мы, безусловно, наблюдаем наибольшую активность со стороны России и Беларуси. Практически каждый день предпринимаются попытки каким-либо образом повлиять на военную инфраструктуру или наших партнёров.

Какие методы используют эти группы?

Во многих случаях эти группы используют простые решения, обычно инструменты социальной инженерии, для кражи учётных данных. Эксперты теперь утверждают, что злоумышленники не взламывают систему безопасности, а просто входят в систему. Конечно, если социальная инженерия не срабатывает, а злоумышленник настроен решительно, он применяет более изощрённые тактики, в том числе против наших партнёров. Поскольку злоумышленники используют самые слабые звенья системы, мы должны обеспечить повышение кибербезопасности во всех наших сетях.

Можете ли вы привести пример?

«Мы заметили эту закономерность, например, в системе оказания поддержки Украине. Примерно 90% всей военной помощи проходит через нашу страну, и мы взаимодействуем с нашими партнёрами в сфере логистики и транспорта . Противники это заметили и начали атаковать организации, с которыми мы делимся информацией. Они полагают, что смогут извлечь из этого какие-либо важные данные».

Именно поэтому у нас есть ряд соглашений с партнёрами о военной поддержке. Это беспрецедентная модель: благодаря нашему опыту мы начали разрабатывать польскую точку зрения на кибербезопасность.

Что означает польская точка зрения на кибербезопасность?

Что именно сюда входит?

Военные, особенно кибервойска, не должны сосредотачиваться исключительно на своих системах. Такая философия приводит к ложному чувству безопасности: если наша инфраструктура защищена, мы готовы к операциям.

Между тем, военные также вынуждены использовать инфраструктуру, которая им не принадлежит — топливные потоки, энергетику, транспорт , логистику. Эти секторы недостаточно подготовлены к противодействию группировкам APT с помощью специальных миссий и сложных инструментов. Поэтому, если мы получаем информацию, важную с точки зрения безопасности, мы также делимся ею с нашими партнёрами. Например, если мы узнаём об уязвимости, которую можно использовать для атаки на инфраструктуру, мы сообщаем об этом.

Мы также создаем совершенно новую философию обмена информацией внутри НАТО.

Значение?

Годами господствовал принцип «необходимо знать». Информация была доступна во многих местах, но каждый держал её при себе. Однако мы стремимся продвигать философию «необходимости делиться»: если у вас есть информация, которая может быть полезна вашему партнёру, поделитесь ею.

Приведу пример работы с партнёрами на Украине. Если они обнаруживают атаку APT-группы с использованием скомпрометированной инфраструктуры, они сообщают нам об этом — это позволяет нам защитить наши устройства и гарантировать, что та же инфраструктура не будет использована против нас. Если все будут защищаться от такой атаки, злоумышленнику придётся создавать новую инфраструктуру, что требует много времени и средств.

Считаете ли вы, что преимущество теперь на нашей стороне?

«Защитнику всегда приходится хуже. Думаю, мы определённо добились большого прогресса; мы знаем своих соперников гораздо лучше, чем ещё несколько лет назад».

Когда я смотрю на нашу команду, иногда мне кажется, что мы знаем её лучше, чем она сама. Наши аналитики способны определить, когда злоумышленник создаёт инфраструктуру, которую можно использовать для атаки. Опираясь на их рекомендации, мы можем заранее подготовиться к ней.

Конечно, это не отменяет того факта, что завтра может произойти атака, использующая, например, уязвимость нулевого дня, о которой мы не знали. Мы должны сохранять бдительность, чтобы гарантировать, что даже если противник прорвётся через первый уровень нашей защиты, мы сможем его остановить. Бдительность критически важна; иногда ответственные за безопасность даже не знают, что подверглись нападению или что на борту находятся инопланетяне.

Какова конечная цель этих групп?

«Они получают конкретные приказы и действуют как военные подразделения. Получение информации, безусловно, является одной из главных целей, ведь тот, кто владеет информацией, имеет преимущество».

Однако во многих случаях противник может создать так называемые плацдармы, свое присутствие в инфраструктуре, а затем даже повредить или вывести ее из строя.

Мы придерживаемся проактивного подхода: наши команды активно воздействуют на нашу инфраструктуру, выискивая уязвимости. Они также применяют методы социальной инженерии против наших пользователей. Мы пересматриваем наши процедуры. Мы также проверяем, обнаружили ли наши команды защиты эту активную деятельность. В то же время наши команды ищут злоумышленников в наших сетях и сетях наших партнёров.

Можете ли вы привести пример таких действий?

В рамках нашей киберохоты мы обнаружили случай, когда злоумышленник использовал функцию программного обеспечения Microsoft для сбора информации. Эта функция была включена по умолчанию и не была видна пользователю. После анализа мы уведомили Microsoft , и компания подтвердила наши выводы и выразила благодарность за предоставленную информацию.

Кроме того, мы разработали инструменты и скрипты, позволяющие организациям самостоятельно определять, стали ли они жертвами подобного типа атак, и как защитить себя. Мы сделали эти инструменты общедоступными, и наши выводы впоследствии цитировались в международных отчётах о деятельности иностранных разведывательных служб.

О чём стоит беспокоиться владельцу системы? Каковы признаки того, что среди нас есть «чужак»?

«Больше всего меня беспокоит молчание. Если бы мы ежедневно получали регулярные сообщения о попытках противника повлиять на нашу инфраструктуру, а потом неделю ничего не происходило, это было бы нашей главной проблемой. Вероятность того, что противник сдался, равна нулю, поэтому молчание означает, что он изменил свой метод действий, и мы ничего не видим».

Ожидаете ли вы, что в будущем мы будем иметь дело с разрушением инфраструктуры с использованием захваченных плацдармов?

«Я не думаю, что это невозможный сценарий. Думаю, лучше держать это в уме и постоянно проводить тесты на проникновение, а также повышать осведомлённость».

Киберпространство, как известно, небезопасно, особенно потому, что оно постоянно трансформируется человеком. Чтобы идти в ногу с технологическими изменениями, приходится прилагать немало усилий.

Польский подход к кибербезопасности как модель для НАТО

WOC сотрудничает с частным сектором. Киберлегион — яркий пример. Откуда возникла идея пригласить гражданских программистов для поддержки?

«В Польше есть группа экспертов, которые давно выражают готовность помочь нам, но они не собираются менять работу или постоянно носить форму. Пока что мы приглашали их к сотрудничеству, в том числе в рамках «Замкнутых щитов» — крупнейших учений по киберзащите».

КиберЛЕГИОН — это идея, призванная заручиться их поддержкой, а также дать им ощущение своей миссии. На сегодняшний день мы получили более тысячи заявок, и отклик был невероятным. Среди волонтёров — всемирно известные эксперты, в том числе те, кто смеялся в 2019 году, когда я сказал, что всё ещё буду одевать их в форму.

После летних каникул мы начнем первые встречи с ними, а пока нам предстоит обработать огромное количество заявлений.

Это предполагает сотрудничество с конкретными специалистами. Как ещё WOC сотрудничают с частным сектором?

Мы — одно из немногих учреждений НАТО, которое установило доверительные отношения как с университетами, так и с частным сектором. Мы подписали соглашения со всеми крупнейшими поставщиками технологий, так называемыми «большими технологиями» . Вопреки распространённому мнению, эти соглашения касаются не передачи данных, а обеспечения прямого контакта между нашими экспертами и инженерами поставщиков.

Это критически важно, особенно в кризисных ситуациях: когда наши специалисты обнаруживают уязвимость, нам нужен быстрый контакт с нужными людьми, а не с отделом продаж. У нас были случаи, когда уязвимость активно эксплуатировалась, и благодаря этим связям вендор немедленно начинал работу над её устранением или предоставлял нам рекомендации по временной защите.

Более того, благодаря доверию, которое мы построили, мы теперь узнаём о новых уязвимостях заранее — до того, как о них будет официально объявлено. Это позволяет нам действовать быстрее и эффективнее. Такое двустороннее экспертное сотрудничество — основа безопасности в современном мире.

В ходе этой беседы вы неоднократно подчёркивали, что делаете нечто уникальное по сравнению с НАТО. Считаете ли вы, что спустя шесть лет WOC DK стал уникальным?

«Так и есть. Даже это чувство граничит с уверенностью. Ещё в 2019 году мы поняли, что если хотим создать мощный киберпотенциал, нам нужно воспитывать кадры самим, а не конкурировать за них на рынке. Именно поэтому мы сосредоточились на долгосрочном развитии — от курсов информатики в старших классах школ через программу CYBER.MIL до увеличения числа студентов в военных университетах. Сегодня мы видим ощутимые результаты: более сотни новых младших лейтенантов, выпускников программ, связанных с кибербезопасностью, ежегодно поступают в Вооружённые силы обороны».

В то же время мы понимали, что нам нужен партнёр, который поможет нам ускорить наше развитие. Отсюда и сотрудничество с американской стороной, инициированное соглашением с Европейским командованием ВС США. Это позволило нам использовать опыт, накопленный в США за десятилетие.

Изначально нам также пришлось оптимизировать национальные структуры. Ранее разные подразделения отвечали за безопасность и функциональность системы по отдельности. Это приводило к разногласиям, задержкам и пробелам в защите. Поэтому мы выбрали инновационную модель — объединение компетенций в рамках единой структуры. Это позволяет быстрее реагировать, эффективнее анализировать риски и достигать баланса между функциональностью и безопасностью.

А в НАТО дела обстоят иначе?

Во многих странах НАТО ответственность по-прежнему раздроблена, что приводит к замедлению потока информации и реальной угрозе. Мне известны случаи, когда атаки увенчивались успехом исключительно из-за отсутствия скоординированных действий. Мы же сосредоточились на интеграции.

Более того, мы активно поддерживаем внешних партнёров, включая критически важную инфраструктуру. Пока это не является стандартом, но мы видим, что всё больше стран, включая Великобританию, Германию, США и Францию, признают важность такого подхода и разделяют наши взгляды. Мы — пионеры в этой области, но мы не одиноки на этом пути.

Искусственный интеллект и дроны меняют поле боя. Как реагирует WOC?

Значит, другие уже учатся у Польши?

Мы успешно экспортируем свои знания и опыт. Однако у нас учатся не только другие: мы сами делаем это и хотим делать.

И вот – снова – мы придумали нечто уникальное. Мы слышали, что на многих конференциях все говорили о сотрудничестве и обмене информацией. Тишина наступала только тогда, когда кто-то спрашивал: «Хорошо, а что именно вы сделали в этом случае?», – ведь информация была очень конфиденциальной. Именно поэтому мы каждый год организуем саммит CSIRT в Легионово – площадку для обмена информацией о СЕКРЕТНЫХ материалах НАТО . Однако для участия в саммите есть одно условие: необходимо представить собственное исследование. Только после этого можно будет услышать мнения других. Идею подхватили американцы, поэтому наше мероприятие теперь имеет поистине высокий статус.

Мы постоянно делаем выводы, поэтому наша структура постоянно меняется. Директор Департамента кадровых ресурсов, вероятно, не особенно рад тому, что мы постоянно получаем организационные и кадровые предложения, но это связано с тем, что технологии стремительно меняются. В 2019 году, когда мы формировали структуру Сил киберзащиты, мы не так активно занимались искусственным интеллектом. Сейчас невозможно представить себе ситуацию без внедрения этого элемента, поэтому мы создали Центр внедрения искусственного интеллекта, чтобы учитывать эту новаторскую технологию и её присутствие в нашей инфраструктуре.

Что оно делает?

Искусственный интеллект может оказать реальную поддержку командирам, анализируя огромные массивы данных с датчиков и систем, предлагая решения, которые ранее принимались командованием. Те, кто сможет быстрее обрабатывать эти данные и преобразовывать их в оперативные решения, получат преимущество. Мы хотим внедрять решения, уже доступные на рынке, но также располагаем командой инженеров, которые разбираются в этих технологиях, могут обучать модели на секретных данных и внедрять их в наши системы.

Я убеждён, что наши противники тоже над этим работают. Так что, если бы мы не работали, мы могли бы представить себе ситуацию, в которой столкнулись бы две силы: одна использовала бы алгоритмы ИИ для принятия решений, а другая — нет. Легко представить, у кого было бы преимущество.

Мы также работаем над автономными системами вооружения, роями беспилотников и анализом спутниковых данных — во всех этих областях используется ИИ для повышения эффективности и устойчивости к сбоям.

CISI набирает лучших молодых офицеров — магистров и инженеров, уже получивших опыт в военно-технических вузах. Наша цель — создать команду, которая не только разбирается в технологиях, но и способна безопасно и эффективно их применять, учитывая такие угрозы, как заражение данных. Это инвестиции в возможности, которые будут иметь решающее значение на поле боя будущего.