13.1.17

Какой должна быть атрибуция кибератак?

Завершу неделю, прошедшую под знаком атрибуции киберугроз, еще одной заметкой. Если посмотреть на то, что я написал в среду и свести в таблицу, то мы увидим вот такую картину:


Получается, что одby и тот же набор фактов может трактоваться совершенно по-разному; местами даже диаметрально противоположно. А это означает, что представленные "доказательства" не могут служить для целей атрибуции, как бы того не хотелось американским официальным лицам. Вон уже и украинский след пытаются найти в Гризлигейте...

Поэтому, попробую, дистанцируясь от текущего скандала, сформулировать некие мысли о том, какой должна быть атрибуция киберугроз в современном мире. Что вообще из себя представляет атрибуция; по-крупному? Это обвинение некоего лица в совершении преступления (кибератаки во многих странах мира признаны таковыми). А раз речь идет об обвинении (к счастью, международное право для киберпространства пока вызывает множество вопросов и поэтому не работает, а то бы мы за каждый ping получали повестки в Международный трибунал), то стоит смотреть на атрибуцию именно с точки зрения уголовного права.

Сегодня атрибуция атак отличается от сбора доказательств в уголовном деле, в котором требуется точность. Неверный вывод на основе собранных доказательств и подозреваемый становится обвиняемым и может сесть в тюрьму, а то и лишиться жизни (в тех странах, где смертная казнь не отменена). Следователь, подтасовавший доказательства, может быть наказан за свои действия. В атрибуции киберугроз такого нет - никто не отвечает за свои слова, хотя обвинения звучат достаточно серьезные, а на их основе принимаются серьезные решения, например, санкции в отношении юридических или физических лиц.

О чем же нам говорит уголовное право применительно к понятию "доказательство", на котором и строится обвинение (или защита)? Во-первых, бывают (по УПК) разные виды доказательств, из которых в атрибуции кибератак могли бы найти свое применение следующие:

  • показания подозреваемого, обвиняемого, потерпевшего и свидетелей
  • заключения и показания экспертов и специалистов
  • вещественные доказательства
  • иные документы.

С допустимостью доказательств требованиям процессуального законодательства пока я вижу сложности ввиду отсутствия единства у юристов-международников относительно применения норм права к киберпространству. Да и с такими понятиями как "надлежащий источник", "правомочный субъект", "законность способа получения доказательств" и "соблюдение правил фиксации доказательств" могут быть сложности. Особенно в тех случаях, когда не хочется раскрывать свои источники и методы сбора информации, используемой в качестве доказательств. Разумеется, это все в том случае, если мы говорим о придании некой юридической значимости проведенной атрибуции для, например, дальнейшей передачи материалов в международные суды или проведения дипломатических переговоров. Если такой цели, то вопрос допустимости доказательств, конечно, не снимается, но их можно и не афишировать.

Если посмотреть на представленные в рамках Гризлигейта доказательства, то мы увидим, что с ними в рамках рассматриваемой заметки существует множество проблем. И представленные доказательства слишком относительны и их связь с предметом доказывания неочевидна. С допустимостью доказательств вообще полная беда ввиду отсутствия этих самых доказательств (исключая косвенные). Достоверность доказательств DHS и американской разведки тоже вызывает много вопросов. Прямых доказательств лично я не увидел - только косвенные, но их количество не позволяет перейти им в качество и сделать вывод о виновности России.

Получается, что сегодня никто не может доказать правдивость аналитика, проводящего атрибуцию кибератак, исключая три ситуации:
  1. "Хакера" поймали за руку в момент совершения кибератаки.
  2. "Хакер" сам признался (хотя тут тоже есть свою нюансы, когда кто-то берет на себя всю вину).
  3. Произошла утечка информации (если это не направленная дезинформация).
По сути можно говорить об атрибуции, как о регилигии. Фактов доказательства вины нет - есть только вера в это. Кто-то верит, кто-то нет; каждый выбирает для себя.

К сожалению, это говорит о том, что сегодня нормальную атрибуцию провести очень и очень непросто. Я видел не так уж и много отчетов, в которых проводилась неплохая атрибуция. Среди них анализ Лаборатории Касперского по Equation Group или анализ Airbus по Pitty Tiger Group. Очень достойные отчеты с кучей фактов и доказательств. Но даже там не сказано конкретно, кто стоит за той или иной группой. Дальше идут уже предположения. Например, что Equation Group работает на американское правительство, а Pitty Tiger Group - это не государственная группировка, но базирующая, вероятно, в Азии.

Какой же тогда должна быть атрибуция кибератак? Я бы не мудрствовал, а предложил бы применять к ней те же принципы, что и к сбору доказательств в уголовном процессе с поправкой на киберпространство. Тем более, что лучшие практики в этой области уже стали появляться. Тут можно назвать и недавно выпущенный стандарт Банка России, и материалы CERT/CC, и свободные ресурсы Интернет. Единственное, что я бы отметил особо, так это то, что проведение атрибуции, имеющей международные последствия, должно проводиться государством, а не частными компаниями, а используемые доказательства должны быть поддающимися проверке, а не голословными утверждениями или непонятно откуда взятыми данными. Если доказательства относятся к охраняемой законом тайне, то тут ситуация сложнее, что мы и видим (если рассматривать версию, что американские спецслужбы действительно что-то накопали, но не могут раскрывать своих источников) в Гризлигейте.