В кібербезпеці є багато міфів, але один із найстійкіших – це віра в те, що нападники завжди мають перевагу. Вони швидші, розумніші, краще оснащені, їх не спинити. Цей міф живе у звітах, презентаціях і навіть у нашій щоденній мові. Ми говоримо про виявлення загроз, реагування на інциденти та зниження ризиків, тобто мислимо так, ніби кібератака – це завжди чийсь перший хід. Настав час змінити це мислення.

Kill Chain і її пастка

Класична модель Cyber Kill Chain пояснює кібератаку як послідовність етапів: розвідка, експлуатація, персистентність, рух по мережі, ексфільтрація. Вона допомогла сформувати сучасну захисну аналітику, але водночас створила ілюзію детермінізму – ніби кібероперації відбуваються по чіткому плану, а наша робота полягає в тому, щоб десь на цьому ланцюгу спрацювати швидше за нападника.

Проблема в тому, що реальні кібероперації відбуваються в стохастичному середовищі. В APT задіяні десятки людей, сотні систем, бюрократія, звітність, міскомунікації, помилки, вигорання, неузгодженість дій. Вони не всемогутні. Вони просто звичайні організації, в яких незвичайні цілі. І саме тому ми можемо їх перемагати.

APT як бюрократичний організм

Державні та великі кримінальні угруповання працюють не як фрілансери з даркнету чи групи волонтерів. Вони більше нагадують корпорації: у них є напрями діяльності, такі як аналітика, навчання, дослідження, розробка, інфраструктура, підтримка, і власне операції. Вони мають бюджети, KPI, процедури і дедлайни. А отже, мають і вразливості, які притаманні будь-якій великій організації: інерцію, фрагментованість, страх помилки, залежність від людського фактору.

Саме ці властивості можна експлуатувати. Коли ми перестаємо мислити категоріями «атака-захист» і починаємо мислити категоріями саботажу, ми отримуємо стратегічну перевагу.

Саботаж як стратегія кібероборони

Американський дослідник Джошуа Ровнер визначив саботаж як перетворення тертя на зброю. Тобто, не знищення противника, а створення йому проблем. Кожен додатковий бар’єр, кожна зміна у вашому середовищі, кожна невизначеність змушує нападника витрачати більше часу, нервів і ресурсів. Кібероперації успішні лише тоді, коли вони передбачувані та ритмічні. Збийте ворогу операціний темп – і ви виграли.

Offence Death Cycle

Замість того, щоб чекати, коли чергове виявлення кібератаки зʼявиться на вашому SIEM, пропоную іншу логіку.

В планах нападників по закріпленню в вашій мережі скоріш за все значно більше точок персистентного доступу, ніж вам вдасться виявити, розслідуючи інцидент від “нульового пацієнта” до локалізації та видалення імплантів. Просунуті нападники, якими вважаються APT, використовують численні, різні та незалежні методи імплантації доступу, конструюють паралельні початкові проникнення в мережі та підкладають розслідувачам хибні ознаки компрометації. Тому замість ортодоксального реагування на інцидент, яке виявить один факт первинного доступу та кілька однакових імплантів, спробуйте діяти по-новому.

1. Вивчайте противника. Розберіться, як він мислить і діє, які в нього стандартні операційні процедури (SOP), переваги та вразливості. Діяльність APT добре досліджена та описана в літературі, в тому числі від першої особи.
2. Створюйте тертя. Змінюйте середовище так, щоб нападникам доводилось адаптуватися, рухатися, нервуватися. “Працює – не чіпай” – улюблений принцип нападників, тому що так вони контролюватимуть вашу мережу вічно.
3. Підштовхуйте до помилок. Кожна зміна – це шанс, що противник себе викриє, адже йому доведеться здійснювати незвичні для нього дії, імпровізувати, бажано під тиском часу.
4. Перехоплюйте ініціативу. Змушуйте нападника реагувати на ваші дії, а не навпаки. Шанс на перемогу в кіберконфлікті дає не право першого ходу або початкова ініціатива, а вміння цю ініціативу перехопити і утримувати. 

Це і є Offence Death Cycle – цикл, у якому наступальна операція повільно помирає, виснажена невизначеністю, втратою операційного темпу та помилками операторів. Не тому, що ви її зупинили, а тому, що ви змусили її витратитися саму на себе.

Як це виглядає на практиці

Замість традиційного реагування по плану «ізолювати, проаналізувати, видалити, звітувати» команда може перейти до активної оборони. Не треба сидіти і чекати спрацювання інструментів виявлення ворожої присутності. Натомість, треба створювати нападнику операційне тертя: неочікувані обставини – сюрпризи, проти яких не було контролів в плані операції. Розглянемо приклади.

• Simulate Red-on-Red. Запустіть у мережу вправну червону команду, щоб нападник вирішив, що в нього з’явився конкурент. Ризики втрати доступу в його голові змусить його діяти імпульсивно та намагатися позбавляти доступу нову команду. Ці “хакерські війнушки” у вашій мережі буде складно не помітити. Це – саботаж на етапі первинного доступу.
• Trigger Overwatch. Імітуйте наближення змін – наприклад, пілот нової SIEM або MSSP-контракт. Overwatch-команда нападників, яка слідкує за листуванням ключових осіб організації-цілі, виявить це та сповістить операторів. Які почнуть панікувати, рухатися мережею, перевстановлювати імпланти й, можливо, самі себе викриють. Це – саботаж на етапі персистентного доступу.
• Sudden Change Management. Внесіть неочікувані структурні зміни у мережу – сегментацію, оновлення, апгрейди, міграції. Кожна зміна порушує налагоджені схеми вивантаження даних та змушує нападника перебудовувати маршрути, протоколи та код автоматизації. Це – саботаж на етапі ексфільтрації.
• Bad Luck. Просто вимкніть щось. Сервер, роутер, VPN-тунель або акаунт ключового користувача. Імітуйте операційний інцидент. Нехай нападник повірить, що втратив доступ і почне рухатись, створюючи шум. Це – саботаж на всіх етапах операції.

Це не магія і не кібер-психологія, це методичний саботаж. Ви не ловите ворога – ви провокуєте його робити помилки.

Чому це працює

Кібероперації залежать від передбачуваності. APT планують, готуються, автоматизують, тестують. Вони не можуть вічно імпровізувати. Захисник, який періодично змінює середовище, позбавляє їх головного ресурсу – часу. Із кожною ітерацією Death Cycle противник витрачає все більше часу на адаптацію і зрештою починає відставати.

Крім того, а ось тут вже кібер-психологія на грані магії, така стратегія відновлює у команди SOC відчуття контролю та мотивацію. Зазвичай перевагу в мотивації мають нападники, адже вони лише виграють у разі успіху і майже нічого не втрачають у випадку поразки. Захисники ж багато втрачають у випадку поразки і нічого не отримують у разі успіху.

У Offence Death Cycle персонал SOC перестає бути аналітиками реакції – вони стають операторами середовища. Їхня мета не знайти всі погано приховані імпланти, а зробити так, щоб жоден із способів доступу нападника не зміг тривати достатньо довго для успіху кібероперації.

Домашня гра

Ключова ідея тут максимально проста: захисники грають вдома. Вони знають свою мережу, контролюють інфраструктуру, можуть будь-коли вносити зміни. Це неймовірна перевага, якою більшість з них не користується. Ворог не бачить ваших рішень, не знає, які саме системи і коли ви оновите, які дані справжні, а які підроблені, що у вашому листуванні правда, а що дезінформація. Використайте цей туман кібервійни.

Висновок

Offence Death Cycle – це не модель і не методика. Це мислення про кібероборону як про неперервний процес саботажу кібернаступу. У цій грі не потрібно вигравати кожну партію. Достатньо утримувати ініціативу, щоб супротивник виснажував себе, намагаючись вас наздогнати.

Так, нападники грають білими. Так, у шахах, нічию для чорних вважають успіхом. Проте лише якщо білі жодного разу не помилилися.

Google анонсував нові правила для Android-розробників: тепер для публікації застосунків у Play Store треба буде проходити суворішу перевірку особи, а встановлення буде дозволене лише на «сертифіковані смартфони». Це гарна ініціатива для захисту споживачів від шахрайства й шкідливих програм. Але чи справді такі кроки обмежать здатність росії зловживати Android для військових цілей? У цій статті поясню, чому відповідь — радше ні.

Як насправді поширюються військові апки

Російські військові додатки майже не поширюються через Google Play. Вони передаються напряму: через Telegram, флешки, приватні сервери чи навіть під час навчань у військових підрозділах. Сайдлоадінг, тобто ручне встановлення APK-файлів, завжди був простою опцією Android і залишається таким. Тому будь-які бар’єри в Google Play взагалі не стосуються військових користувачів.

«Сертифіковані смартфони» і російська армія

Ще один аспект — вимога до «сертифікованих смартфонів». Російська армія масово користується дешевими китайськими телефонами (Redmi, Xiaomi, Realme, Techno, та іншими “хуавеями”), які часто не проходять жодної сертифікації Google. Але це не проблема: для військових завдань телефон повинен лише запускати APK та мати доступ до мобільного інтернету чи радіомереж. Сертифікація важлива для доступу до комерційних сервісів, як-от Google Pay, але зовсім не потрібна для артилерійських калькуляторів чи додатків для управління БПЛА.

Ключове — бекенд, а не магазин застосунків

Головна сила російських військових аплікацій — у бекенд-інфраструктурі. Моє дослідження показало, що понад 70% серверів і сервісів, які підтримують роботу цих застосунків, розташовані у США. Вони активно використовують Amazon Web Services, Google Cloud, Cloudflare, OpenStreetMap, Mapbox, Firebase, тощо. І всі ці сервіси доступні без перевірених акаунтів розробників чи «сертифікації» смартфонів. Це і є справжня залежність, яка дозволяє російським військовим цифровим інструментам працювати ефективно.

Що потрібно робити насправді

Щоб реально обмежити російські військові застосунки, потрібні інші кроки:

• Обмеження доступу до хмарних сервісів, API й SDK для користувачів із країн-агресорів.
• Геофенсинг і моніторинг підозрілих запитів у хмарах — так само, як це робиться для боротьби з дитячою експлуатацією чи тероризмом.
• Запровадження політики прозорості: кожен великий провайдер має звітувати, як його сервіси використовуються у зонах конфлікту.
• Підтримка відкритих розслідувань і незалежних досліджень, що викривають конкретні випадки військового використання інфраструктури.

Висновок

Перевірка паспортів у Google Play — це радше косметичний крок, корисний для звичайних користувачів, але не для обмеження військових загроз. Російська військова Android-екосистема існує незалежно від «цивільного» світу Play Store і продовжуватиме працювати доти, доки не будуть введені реальні обмеження на використання глобальних хмарних сервісів. Саме це — ключ до зменшення можливостей агресора у цифровій війні.

Війна Росії проти України ведеться не лише за допомогою зброї, а й завдяки децентралізованій екосистемі військових Android-застосунків, створених російськими розробниками. Ці інструменти широко використовують західні хмарні сервіси – часто в країнах, що одночасно накладають санкції на Росію. Аналіз відповідних APK-файлів (формат Android-застосунків) показує, що вони залежать від інфраструктури в США та ЄС, відкритих картографічних платформ, джерел метеорологічних даних та гнучкості Android щодо поширення додатків поза офіційними маркетплейсами. Це демонструє небезпечну прогалину в регулюванні відкритої технічної інфраструктури в умовах війни.

Прихований фундамент російських воєнних застосунків

У дослідженні “Хмара війни”, яке я представив на CyCon 2025, я проаналізував 62 військові застосунки Росії, призначені для аеророзвідки, артилерії, логістики та інших операційних та стратегічних елементів бойових дій. Усі вони розповсюджуються не через офіційні маркетплейси, а через Telegram-канали, пов’язані з війною. Саме можливість такого “сайдлоадінгу” – одна з головних відмінностей екосистеми застосунків під Android – забезпечує децентралізовану, приховану модель поширення, яку майже неможливо контролювати з боку Google.

Ці застосунки не є ізольованими. Вони активно звертаються до бекенд-сервісів для зберігання даних, побудови карт, передачі телеметрії, зв’язку — і особливо для отримання метео- та геопросторової інформації, яку Росія просто не може згенерувати самостійно. Серед таких залежностей російського «народного ВПК» я ідентифікував 323 домени та 387 IP-адрес, понад 70% з яких розміщені у США. Серед постачальників – через їхні масштаби та контекст явища – виділяються Amazon Web Services, Google Cloud, Cloudflare. Присутні й китайські Alibaba та Huawei, але на маргінальному рівні. Отже, поки уряди Заходу запроваджують санкції, їхня хмарна інфраструктура активно експлуатується розробниками російського військового ПЗ.

Відкриті карти — відкрита ціль

Окрему загрозу становлять геопросторові сервіси, які Росія активно використовує для операційного планування та ситуаційної обізнаності. Більшість застосунків звертаються до відкритих або комерційних картографічних платформ — OpenStreetMap, Mapbox, Thunderforest, OpenTopoMap тощо. Хоча вони створені для цивільного використання, росіяни успішно адаптували їх до бойових задач.

Окремо варто згадати застосунки подвійного призначення, як-от AlpineQuest. Цей застосунок не потрапив у вибірку, але активно використовується військовими для кешування карт, нанесення маршрутів і створення шарів з тактичними об’єктами.

Android-платформа вкупі з відкритими мапами дозволила Росії побудувати складну цифрову бойову екосистему з мінімальними витратами – але з використанням інфраструктури країн, що підтримують Україну.

Етична та стратегічна дилема

Парадокс очевидний: компанії, які зміцнюють кіберстійкість України, несвідомо стають технічною основою для військових інструментів агресора. Це не наслідок змови чи недбалості – це системна вразливість, відкрита для експлуатації ворогом. Росія користується нейтральністю та відкритістю хмар, свободою сайдлоадінгу, відкритими даними – технологічними надбаннями вільного світу – з такою ж цинічною ефективністю, як і нормами міжнародного права.

Чи можна вважати хмарну інфраструктуру «нейтральною» в умовах війни? Чи може технологічна компанія одночасно допомагати країні-жертві агресії й залишати інфраструктуру доступною для країни-агресора?

Якщо нічого не робити

Ігнорування цієї проблеми несе реальні ризики:

1. Ускладнює виявлення військової інфраструктури ворога, прихованої в хмарах союзників.
2. Нормалізує експлуатацію відкритих цивільних платформ у війнах, незалежно від їх походження чи призначення.
3. Підриває довіру до санкцій – особливо у сфері технологій.
   

Це створює прецедент для інших авторитарних держав, які можуть так само озброїтися відкритими цифровими інструментами.

Що з цим робити

Потрібна політика, яка буде водночас технічною, правовою та етичною. Зокрема:

• Аналіз та блокування шаблонів використання хмар для виявлення військової активності.
• Геофенсінг та обмеження чутливих API для розробників з країн-агресорів.
• Моніторинг поза-маркетової дистрибуції та виявлення військових застосунків.
• Переосмислення політики «нейтральності» хмар та технологій Open Source у воєнний час.

Обмеження доступу до глобальної інфраструктури не знищить повністю військові застосунки, але зробить їх менш ефективними, змусивши росіян перейти на менш якісні та менш захищені локальні ресурси, які легше виявити й нейтралізувати в межах норм міжнародного права.

Висновок та заклик: потрібно закрити цифрову шпарину

Російська воєнна машина – не лише кінетична. Вона цифрова, розподілена і, що іронічно, побудована на відкритих технологіях демократичного світу.

Якщо демократії хочуть захистити не лише свої цінності, а й інфраструктуру, яка їх втілює, – потрібно діяти зараз. Відкритість без відповідальності стає вразливістю. І без змін західна інфраструктура залишатиметься невидимим донором цієї війни.

Нам час припинити неусвідомлено підтримувати війну, яку ми прагнемо зупинити.

У сучасному цифровому середовищі існують користувачі, для яких базових заходів кібербезпеки недостатньо. Якщо ви активіст, журналіст, військовий, держслужбовець, волонтер, або займаєтеся іншою чутливою діяльністю, ви можете стати мішенню професійних хакерів. Цей текст — не загальні поради, а практичні інструкції, як вижити у кіберпросторі, де за вами можуть полювати ворожі спецслужби.

Зауважу, що раніше я публікував поради з вибору безпечного та приватного месенджера та його правильного налаштування.

1. Ввімкніть Lockdown Mode в iOS та macOS. Це режим, який значно ускладнює експлуатацію вразливостей. iOS з Lockdown Mode — одна з найскладніших цілей для атаки.
2. Перезавантажуйте смартфон щодня. Більшість сучасних атак потребують збереження постійного доступу. Спосіб доступу, якій переживає ребут дорожче і складніше.
3. Увімкніть автоматичне видалення повідомлень у чатах. Якщо месенджер цього не підтримує — змініть месенджер. Тривалість життя повідомлень залежить від чутливості інформації.
4. Вимкніть iMessage, якщо ним не користуєтесь. Це популярний та дієвий вектор атаки.
5. Не використовуйте резервне копіювання повідомлень у месенджерах. Ефемерність — основа приватності. Зберігайте повідомлення вручну, лише якщо справді потрібно.
6. Щоб перевірити, чи скомпрометовано ваш смартфон, регулярно створюйте резервну копію та скануйте її за допомогою MVT (Mobile Verification Toolkit). Інструкція тут.
7. Після сканування обов’язково видаляйте резервну копію.
8. Придбайте два апаратних ключі (наприклад, Yubikey) і додайте їх до всіх важливих акаунтів. До решти теж додайте, або хоча б налаштуйте вхід по PassKey.
9. Ніколи не використовуйте SMS для автентифікації. Це вразливість, а не захист.
10. Регулярно перевіряйте список пристроїв, які мають доступ до ваших акаунтів, особливо Google, Apple, Microsoft, соцмереж і месенджерів.
11. Користуйтеся менеджером паролів. Всі паролі повинні бути складними та унікальними. Запам’ятовувати їх не потрібно, тому генеруйте рандомні. Памʼятайте паролі від пристроїв та парольного сейфа–і змінюйте їх хоча б щороку.
12. Перевіряйте, чи не потрапили ваші облікові дані у витоки. Менеджери паролів можуть робити це автоматично. Або скористайтесь сервісом Have I Been Pwned.
13. Регулярно створюйте резервні копії комп’ютерів. Зберігайте їх у важкодоступних місцях і завжди шифруйте.
14. Не відкладайте оновлення програм. Краще ввімкніть автоматичні оновлення.
15. Не діліться розташуванням без крайньої потреби. Геолокацію можете вимкнути, проте це незручно якщо ви часто “губите” пристрої.
16. Не встановлюйте десткопні версії месенджерів. Або хоча б того з них, в якому ви ведете найсекретніші розмови.
17. Не користуйтеся Telegram. Все, що ви передаєте через цей месенджер, потенційно доступне російським спецслужбам.
18. Особливо небезпечна десктопна версія Telegram. Якщо дуже потрібно — використовуйте веб-версію.
19. Встановіть локальний фаєрвол для моніторингу вихідних з’єднань. Це дозволяє виявляти нетипову активність, наприклад коли раптом Excel з’єднується з російським сервером.
20. Видаляйте стару електронну пошту. Якщо листу більше двох років — він вам не потрібен. Зберігайте лише критично важливе, і бажано локально.
21. Усі локальні носії з конфіденційними даними повинні бути зашифровані. Це стосується комп’ютерів, флешок, зовнішніх дисків.
22. Уникайте відеокамер під час введення паролів. Навіть недорогі камери можуть зчитати ваші дії на екрані та клавіатурі.
23. Складні фізичні атаки на ключі двохфакторної автентифікації — рідкість. У реальності зловмисники просто підміняють ваш пристрій аналогічним. Тому зберігайте контроль над важливими гаджетами.
24. Увімкніть блокування пристрою після кількох невдалих спроб входу. Якщо можливо — налаштуйте автоматичне видалення даних.
25. Під час поїздок у небезпечні місця відключіть біометричне розблокування. Вас простіше змусити доторкнутись до сенсора, ніж ввести пароль.
26. Перед ризикованими поїздками стирайте дані з пристроїв. Після повернення — відновлюйте з резервної копії.
27. Іноді наявність крінжового, але правдоподібного контенту на телефоні може зменшити інтерес перевіряльників. Врахуйте це, можливо так краще ніж видаляти всі дані.
28. Не обговорюйте нічого важливого через звичайний мобільний або стаціонарний зв’язок. Краще користуватися Signal, Threema, WhatsApp або FaceTime.
29. Не зберігайте контакти колег у вигляді “Ім’я Прізвище Посада”. Злити цю інформацію може будь-хто з додатків, якім ви випадково надали доступ до адресної книги.
30. Signal — наразі де-факто стандарт для захищеного листування в Україні.
31. Користуйтеся VPN 24х7. Обирайте той, що не зберігає логи й дозволяє каскадне з’єднання. Рекомендації тут.
32. Про 24х7 я цілком серйозно. Захищатися від провайдера потрібно не тому, що він ворог, а тому що він — легка ціль для ворога.
33. Приватні вкладки браузера — мінімальний але важливий захист. Користуйтеся ними завжди коли треба мінімізувати трекинг на сервері та слід відвідування на пристрої.
34. Для роботи, розваг і приватного використання краще мати різні браузери.
35. Не зберігайте паролі у браузері. Використовуйте лише менеджери паролів.
36. Встановіть Tor Browser — не для анонімності, а для доступу до небезпечних сайтів. Наприклад, російських.
37. Вимикайте збереження історії місцезнаходжень у всіх сервісах.
38. Не замовляйте доставку до чутливих адрес. Краще пройти пішки пару кварталів.
39. Захищайте додатки біометрією навіть якщо у вас уже є код або біометрія на розблокування смартфона.
40. Онлайн-сервіси з LLM (ChatGPT тощо) не підходять для конфіденційних даних.
41. Якщо ви користувач Apple M-серії, встановіть локально Ollama та Open WebUI з open-source моделями.
42. Застарілі IoT-пристрої та роутери — ідеальні точки тривалого доступу для хакерів. Регулярно оновлюйте. Якщо оновлень більше немає – замінюйте їх на нові.
43. Мінімізуйте доступи встановлених додатків. Уважно перевіряйте доступ до геолокації, мікрофона, камери, диску, контактів і пошуку.
44. Якщо не маєте корпоративного захисту на базі osquery — встановіть Pareto Security і дотримуйтесь його рекомендацій.
45. Ознайомтесь із утилітами Objective-See для контролю macOS.
46. Якщо ви часто відкриваєте неперевірені файли — користуйтеся віртуальними машинами.
47. Для повної ізоляції використовуйте окремі пристрої для різних ролей — робота, приватне, чутливе.
48. Перевіряйте наявність сторонніх профілів MDM, VPN, проксі у налаштуваннях пристрою.
49. Щоб видалити метадані з файлів — використовуйте exiftool або mat2. Або просто надсилайте у форматі TXT/CSV.
50. Уникайте роботи з правами адміністратора. Якщо програма просить права без потреби — це підозріло.
51. Не користуйтеся рутованими смартфонами. Це серйозна вразливість, яка нівелює весь інший захист.

Згоден: червоною ниткою через текст проходить порада використовувати техніку Apple. Але це не реклама – насправді, історична замкненість та контрольованість зробили цю екосистему значно більш захищеною. Проте більшість порад універсальні. Бережіться.

В продовження піднятої нещодавно теми приватних месенджерів, цей пост про те, як їх правильно налаштувати. Радитиму на прикладі Сигнала та Тріми. В них є кілька мінусів, які не перетинаються, тому вважаю їх оптимальним тандемом.

0. Прагніть ефемерності в спілкуванні

Перша і найважливіша порада: якщо вам справді треба поспілкуватися про щось надзвичайно секретне, знайдіть час та змогу зустрітися та обговорити це особисто. Це єдиний спосіб залишити спілкування ефемерним, хоча і тут є нюанси. Лише якщо тет-а-тет неможливо – тоді месенджери.

1. Не встановлюйте десктопні версії

Ви користуєтесь приватним месенджером на захищеній мобільній платформі (iOS, Android) тому, що це суттєво звужує вашу поверхню атаки. Отримати віддалений доступ до вашого смартфона в десятки разів складніше та дорожче, ніж до вашого лептопа.

2. Жодних хмарних бекапів

Те, що ви залишаєте в хмарі, автоматично доступне низці агентів загроз, від розвідслужб до правоохоронних органів, яких від ваших даних відділяє успішна операція чи ордер суду. Шифрування бекапів це добре, але не настільки, щоб обнулити ці ризики.

3. Автовидалення повідомлень за замовчуванням

В Трімі цього немає (але є 5/), та в Сигналі є. Слідкуйте за тим, щоб створені не вами чати теж мали це налаштування, бо про нього часто забувають. Пам’ятайте: видалення повідомлень “для всіх” – це ілюзія безпеки.

Що натомість є в Трімі так це видалення застарілих даних. Неординарний підхід, проте це їхнє свідоме рішення, його треба поважати.

4. Зустрічайтесь для встановлення контакту

Найкращий спосіб “познайомитися” в месенджері – це відсканувати QR-код один одного в реальному світі.

5. Блокуйте додаток всередині смартфона

Пін-кодом (краще) або біометрією (гірше).

6. В Сигналі ввімкніть Registration Lock

Це ускладнить угон акаунта через викрадення або клонування телефонного номера.

7. Видаляйте застарілі групи

В Сигналі немає одноразових групових дзвінків, тому для цього треба постійно створювати нові групи. Регулярно видаляйте ті, що ви створили, та видаляйтеся з інших.

8. Не синхронізуйте контакти з операційною системою

В обох месенджерах є внутрішні бази даних контактів.

9. Екстра поради для параноїків

Якщо хочете приховати свої цикли активності, вимкніть відправку квитанцій про прочитання повідомлень. Це ще більш екзотичний ризик, ніж все до цього, проте багато для кого він актуальний.

І останнім часом стало дуже актуально таке: вимкніть доступ Siri & Search до месенджерів.

10. Загальна стратегія

Памʼятайте – головне в приватному спілкуванні це ефемерність, тобто недовготривалість життя повідомлень. А в безпеці від загроз – звуження поверхні атаки: менше пристроїв, менше груп, менше місць зберігання контактів та повідомлень тощо.

Звісно, що всі рекомендації з захисту смартфонів при цьому залишаються в силі: Lockdown Mode, блокування екрану пін-кодом, щоденний перезапуск ОС і все таке інше. Бережіться.

Найбільше непорозумінь та онлайн-баталій стосовно приватності та кібербезпеки викликає найпростіша та найбільш досліджена тема: програми обміну миттєвими повідомленнями, або месенджери. Сьогодні про це пост.

Якщо вам ліньки читати до кінця, моя вам порада: ідіть на ось цей вебсайт та обирайте що вам більш пасує. Це насправді найповніший та найглибший ресурс на цю тему, який за час існування став місцем відображення консенсусу експертів з приватності та кібербезпеки.

Якщо ж вам цікаво розібратися в темі, то ходімо далі. Почнемо з головної проблеми – в головах. Люди, які далекі від теми кібера, постійно перемішують три концепції: приватність, анонімність та безпеку. Це загалом не взаємозамінні речі, але знають про це не всі.

Приватність це секретність даних особи чи організації. Це включає ідентифікаційні дані (ПІБ, ІПН, адреси тощо), комунікації (листування, розмови, контакти тощо) та будь-які інші дані, які можуть допомогти нападнику в “прицілюванні” або таргентингу.

(Щоб не занурювати вас в тему планування кібератак, просто скажу, що в таргетингу важливо дізнатися про ціль якомога більше. Проте найбільше уваги буде звісно до логінів, імейлів, телефонів, заліза, софта та інших речей, до яких можна шукати вразливості та отримувати доступ.)

Анонімність це секретність особи, тобто її приховування. Анонімності не існує, особливо в інтернеті, проте багато хто в неї вірить, а шахраї та самозванці від кібера цим користуються. Найяскравіший певно приклад: Телеграм безпечніший за Сигнал бо там не треба номер телефону ,)

Що існує, так це псевдонімність (коли замість вашого приватного ідентифікатора система демонструє іншим користувачам інший–публічний) та К-анонімність (коли К користувачів перемішують свої особи та дії ускладнюючи їхній аналіз).

Псевдонімність можлива в усіх приватних месенджерах і в поєднанні з підсиленими налаштуваннями приватності самого месенджера та виконанням певних правил користування ним її називають “операційним” режимом. Наприклад, операційний Сигнал, операційний Телеграм (і таке бува) тощо.

К-анонімність в месенджерах загалом не використовується, але вона лежить в основі принципів роботи таких систем як приватні віртуальні мережі (VPN) та мережі TOR. У першому випадку все зводиться до вашої довіри до VPN-провайдера, а в другому все ще складніше, тому проїхали

Безпека це захищеність від загроз. Всім завжди з певною ймовірністю щось загрожує. Рівень безпеки визначається ймовірністю та наслідками реалізації цих загроз. Разом ймовірність та наслідки називаються ризиками. Ризики є завжди, просто деколи ми можемо їх знизити.

Якщо ваш пароль це ваш логін чи рядок “P@ssw0rd”–ви в більшій небезпеці, ніж якщо він рандомний та зберігається в парольному менеджері. В першому випадку вас скоріш за все вже зламали. В другому це непроста задача, яка вимагає ресурсів, інструментів, планування та досвіду.

Сподіваюся, з поняттями розібралися, а вони, як той казав, це початок мудрості. Тепер до суті. Анонімності немає. Ваша безпека занадто складна задача, щоб її розв’язати вибором месенджера. Все, що вам може дати месенджер та його розробники – це приватність.

(Ще раз, бо з цим, повторюся, у багатьох складності. Немає анонімних месенджерів. Месенджери для того, щоб в них спілкуватися. Для спілкування треба себе ідентифікувати. Щойно ви написали комусь “привіт, це Вася”, про яку може йтися анонімність? Все, закрили тему.)

Що вам треба від приватного месенджера? Менше даних доступних третім сторонам, включно з його розробниками, провайдерами інфраструктури, правоохоронними органами, розвідками недружніх (та дружніх) країн, та звичайно ж – вашими рідними та близькими.

Для цього месенджер повинен… тут можна розмістити перелік якихось критеріїв по типу країни походження, належності до рекламної корпорації або реєстрації в певній юрисдикції. Проте найпростішим буде таке правило вибору: ідете на вище згаданий вебсайт і обираєте найзеленіший.

Можливо колись дійдуть руки написати щось по правильному налаштуванню приватних месенджерів, проте Телеграми та Вацапа там не буде. Бережіться.

У світі кібербезпеки ми створили вражаючий фундамент. Завдяки глобальному ринку комплексних рішень та керованих послуг, що пропонують готовий кіберзахист, існує базовий рівень кібербезпеки для бізнесу, урядів та об’єктів критичної інфраструктури. Але цього базового рівня вже недостатньо.

Коли справа доходить до наступальних кібероперацій – особливо тих, що проводяться національними державами – час визнати сувору правду: конвенційне мислення в галузі кібербезпеки є неадекватним, а підходи, які воно породжує, – недостатніми.

Обмеження конвенційної кібербезпеки

Загальноприйнятий підхід до кібербезпеки часто спирається на модель «ланцюга ураження» (Kill Chain), розбиваючи атаку на окремі етапи з припущенням, що руйнування однієї або декількох ланок нейтралізує загрозу. Хоча це допомагає пояснити звичайні загрози, такий підхід не спрацьовує проти добре забезпечених, підготовлених та наполегливих супротивників.

Кібероперації – особливо ті, що проводяться державними суб’єктами – не лише стійкі, вони розроблені так, щоб бути стабільними та довготривалими. Ці операції передбачають багаторівневе планування, всебічний аналіз і підготовку цілей, незалежні резервні інструменти, надлишкові методи доступу і ексфільтрації даних, а також глибоку операційну безпеку. Зловмисники не імпровізують – вони готуються, планують на випадок непередбачуваних обставин, вживають заходів безпеки і діють з військовою дисципліною. Через це їх важко зупинити звичайними методами. Тому що більше немає ланцюга ураження – є кольчуга ураження.

Кібербезпека — це нацбезпека, чи ні?

Давайте усвідомимо: захист від кібероперацій на рівні національних держав – це завдання не лише для приватного сектору. Якщо ми погоджуємося з тим, що такий вид кібербезпеки є питанням національної безпеки, тоді ми також повинні погодитися з тим, що національна безпека є відповідальністю уряду.

Звичайно, не всі загрози піднімаються до цього рівня. Захист від хактивістів та кіберзлочинців – в межах можливостей окремих організацій. Але коли противники демонструють операційний досвід і стратегічні наміри, організації не можна залишати напризволяще. Приватна крамниця може захиститися від дрібних крадіжок, але збройне пограбування вимагає втручання поліції. А перехоплення керованих боєприпасів взагалі є військовим завданням.

Уряди повинні прийняти операційний підхід до кіберзахисту – вийти за рамки вимагання дотримання нормативних вимог і перейти до активної оборони. Інструменти і методології вже існують. Такі концепції, як операції з захисту комп’ютерних мереж (Computer Network Defense Operations, CNDO) і захист на випередження (Defend Forward), були розроблені, випробувані і кодифіковані в стратегічній літературі та військових доктринах. Виклик полягає в їх прийнятті на озброєння.

Операційна кібероборона в дії

Давайте подивимось, чим оперативний захист відрізняється від звичайної кібербезпеки, розглянувши реальний сценарій: DDoS-атаку на фінансовий сектор з використанням ботнету.

Концепція операції проста: створити або орендувати ботнет, подібний до Mirai, зі скомпрометованих пристроїв і використовувати їх для перевантаження фінансових сервісів шкідливим трафіком, змушуючи їх відмовляти в обслуговуванні легітимним користувачам.

Традиційні заходи кібербезпеки зосереджуються на пом’якшенні наслідків:

• Розгортання пристроїв або сервісів для захисту від DDoS-атак.
• Блокування шкідливого трафіку зі скомпрометованих IP-адрес.

(Ці IP-адреси, ймовірно, належать маршрутизаторам побутового рівня, можливо, навіть використовуються законними клієнтами банків).

Операційна кібероборона включає в себе все вищезазначене, але йде далі, позбавляючи зловмисника можливості продовжувати операцію:

• Складає карту інфраструктури ботнету та ідентифікує заражені пристрої.
• Ізолює, вимикає або знезаражує виявлені мережеві пристрої.
• Знаходить і виводить з ладу інфраструктуру командування і управління операції.

Контраст разючий. Традиційний захист змушує зловмисників працювати важче, масштабуючи доступні засоби. Операційна кібероборона позбавляє їх можливості продовжувати без значних змін у засобах. Звичайні заходи збільшують вартість атаки. Оборонна кібероперація змушує нападника інвестувати капітал, час і таланти в розробку нової інфраструктури.

Поза межами кіберстійкості: стратегічні оборонні операції

Коли стикаєшся з комп’ютерними мережевими атаками (Computer Network Attack, CNA) або комп’ютерною мережевою експлуатацією (Computer Network Exploitation, CNE), звичайних засобів захисту недостатньо. Ми повинні ініціювати операції з захисту комп’ютерних мереж (CNDO) для досягнення стратегічних цілей:

• Зберігати докази до початку відновлення постраждалої мережі і витягти з них розвідувальні дані щодо агентів загроз та їхніх методів та інфраструктур.
• Розгортати команди «полювання на випередження» (Hunt Forward) для проактивного усунення ворожої присутності у важливих мережах.
• Розширити масштаби реагування, застосовуючи отриманий досвід у різних мережах і секторах.
• Руйнувати операційний контроль противника, усуваючи його доступ до сторонньої інфраструктури та ліквідуючи його вузли керування (C2).

Саме в цьому модель Defend Forward досягає успіху. Кіберкомандування США продемонструвало її ефективність: розгортання команд експертів у скомпрометованому середовищі, виявлення присутності супротивника та його витіснення. Досвід України у протидії російській агресії в кіберпросторі ще раз доводить, що операційна кібероборона не лише можлива, а й необхідна та масштабована.

Час діяти зараз

Це не наукова фантастика. Оперативна кібероборона є реальною, дієвою і критично важливою. Уряди вже мають правові повноваження, інституційну спроможність і розвідувальні можливості для того, щоб взяти на себе ініціативу. Єдине, чого не вистачає – це бажання діяти.

Багато книг намагаються пояснити природу кіберзагроз, але мало хто робить це так ефективно, як Network Attacks and Exploitation Меттью Монте. Якщо Hacker and the State Бена Б’юкенана допомагає керівникам та політикам зрозуміти стратегічний вплив кіберпростору, то книга Монте є практичним посібником для тих, хто безпосередньо стикається з кіберзагрозами — як захисник або нападник.

Навіщо операційний підхід?

Монте розглядає активні заходи в кіберпросторі через операційну призму, зосереджуючись на тому, як державні агенти та організовані кіберзлочинці здійснюють вторгнення в мережі та кібератаки. Замість абстрактних найкращих практик він детально розкриває, як відбуваються кібероперації та як захисники можуть ефективно протидіяти їм. Цей підхід змінює кібербезпеку з пасивного управління ризиками на адаптивну, динамічну боротьбу, де захисники повинні передбачати дії противника, а не просто реагувати на події після їх виникнення.

Чому операційний підхід сприяє кібербезпеці?

Операційна рамка Монте зараз критично важлива, оскільки вона протистоїть викривленій перспективі, яку часто нав’язує ринок кібербезпеки. Індустрія перебільшує значення гучних кіберінцидентів та ідеалізує так звані “магічні” тактики, техніки та процедури (TTPs), такі як експлойти нульового дня. Це призводить до реактивних і неефективних стратегій кібербезпеки, які зосереджуються на окремих подіях, вразливостях та контролях, а не на загальному операційному ландшафті. Підхід Монте, навпаки, базується на реальних кіберопераціях, спираючись як на захисні джерела (звіти про загрози та реагування на інциденти), так і на наступальний досвід – його досвід – який є свідченням глибокого розуміння кібероперацій.

Структура операційного підходу до кіберзахисту

Методологія Монте, що базується на фундаментальних принципах, ключових концепціях та операційних темах, випереджала свій час на момент виходу книги. Вона ідеально відповідає викликам сучасних кіберконфліктів, у яких противники постійно адаптуються, щоб зберегти доступ і виконати свою місію. Його аналіз ініціативи, мотивації та фокусування особливо вражає, оскільки він ідеально вписується в теорію кіберперсистентності, що набула популярності в останні роки. Крім того, його думки щодо балансу між атаками, збором інформації та некенетичним впливом залишаються надзвичайно актуальними, демонструючи стратегічне мислення, яке випереджало тренди на майже десятиліття.

Чому традиційні методи кібербезпеки не працюють?

Монте критикує традиційні стратегії безпеки, наголошуючи, що найкращі практики та стандарти відповідності часто виявляються неефективними перед складними загрозами. Статичні політики та контрольні списки не можуть конкурувати з противниками, які працюють у середовищі постійних змін. Він закликає до адаптивних стратегій захисту, заснованих на операційній обізнаності, обмані та безперервному аналізі загроз. Його точка зору знаходить відгук у досвідчених професіоналів, які на власному досвіді переконалися, що відповідність стандартам не дорівнює реальній безпеці.

Висновки

Якби я прочитав цю книгу раніше, це б заощадило мені роки проб і помилок. Структурований, прагматичний підхід Монте робить Network Attacks and Exploitation обов’язковим читанням для всіх, хто серйозно ставиться до кібербезпеки. У світі, де загрози постійно еволюціонують, розуміння мислення противника — це не просто перевага, а єдиний спосіб залишатися попереду.

Нещодавній блог-пост Ліни Лау, Внутрішній погляд на TTP NSA з китайської точки зору, викликав жваві обговорення в кіберспільноті. Її матеріал, який перекладає та узагальнює китайські звіти з реагування на інциденти, проливає світло на ймовірні кібероперації NSA проти Північно-Західного політехнічного університету Китаю. Звіти, опубліковані компаніями Qihoo 360 та CBIRC, стверджують, що NSA підтримувало доступ до мережі університету протягом понад десяти років. Хоча ці висновки не є відкриттями про діяльність західної кібер розвідки, аналіз Лау створює рідкісне, можливо унікальне, враження про методи кібер операторів країн Five Eyes з не-західної точки зору.

Головні спостереження

1. Методи атрибуції: Китайські кібербезпекові компанії використовують інший підхід до атрибуції у порівнянні із західними. Замість висновків без зайвої прозорості, ці звіти містять детальні описи розслідувань, які пов’язують активність із конкретним агентом загроз .
2. Довготривалий доступ: Звіти припускають, що групи, пов’язані з NSA, знаходились у мережі університету щонайменше десять років, з’являючись знову навіть після вживання заходів реагування на інциденти. Це вказує на використання глибоких методів збереження доступу, експлуатацію пристроїв на периметрі й викрадення облікових даних.
3. Три пов’язані з США агенти загроз: Китайські аналітики приписують активність трьом різним групам—APT C40 (пов’язана з NSA TAO), іншій групі, пов’язаній з ЦРУ, та третій невизначеній структурі.
4. Несподівано “звичайні” тактики: Багато хто очікував, що операції NSA включатимуть передові експлойти, проте описані TTP—викрадення облікових даних, бічний рух мережею та фішинг—відповідають типовим методам APT-груп. Це свідчить про те, що навіть елітні розвідувальні агентства покладаються на перевірені часом підходи, а не на чарівну кіберзброю.
5. Використання витоків Shadow Brokers для атрибуції: Деякі висновки китайських аналітиків базуються на витоках інструментів NSA, опублікованих Shadow Brokers у 2016 році. Вочевидь, в противника США дуже довга пам’ять, вони беруть до уваги в аналізі історичні дані і використовують цю інформацію для зміцнення власного кіберзахисту.
6. Баланс роботи та особистого життя: Один із цікавих моментів—операції припинялися у святкові дні США та тривали за графіком 9:00-16:00. Це свідчить про те, що кібер оператори державного рівня дотримуються структурованого робочого графіку, що дає підказки аналітикам кібер загроз.
7. Дезінформація та прикриття: Авторка зазначає, що активність із використанням фішинга могла бути маскуванням, що приховувало більш витончені методи початкового доступу. Якщо так, то це може бути стандартною контррозвідувальною практикою, спрямованою на введення в оману аналітиків загроз.

Наслідки та висновки

Аналіз Лау підкреслює, що розвідувальні агентства діють подібно до APT-груп, незалежно від країни. NSA, хоч і має значні ресурси, не демонструє значної переваги над іншими державними кібер операторами у плані методів роботи. Натомість упор робиться на довготривалий доступ, використання відомих вразливостей, викрадення облікових даних і стратегічні точки проникнення.

Крім того, цей матеріал висвітлює еволюцію кіберпростору як середовища міжнародних відносин. Наразі розвідувальні агентства повинні розуміти, що їхні операції будуть аналізуватися та розкриватися. Так само, як західні компанії відстежують APT-групи з Китаю та Росії, китайські компанії тепер роблять це щодо NSA та ЦРУ. Різниця невелика і полягає головним чином у способі подання та поширення цієї інформації.

Висновки з китайських звітів про реагування на інциденти, перекладені та проаналізовані Ліною Лау, дають унікальну змогу поглянути на те, як КНР сприймає розвідувальні кібероперації західних країн. Хоча значна частина інформації підтверджує вже відомі підозри, рівень деталізації та методологія атрибуції заслуговують на увагу. Для захисників це цінна можливість вивчити методи противника та вдосконалити засоби виявлення загроз.

«У кібер битві перемагає не той, хто може більше придбати експлойтів, а той, хто створив майстерню експлойтів.»

– Сунь Цзи

Розпочнемо з основ: усі програми мають вразливості. Кіберпростір є повністю людським витвором, з усіма наслідками, які випливають. Отже, кіберпростір надзвичайно вразливий, що є однією з його фундаментальних характеристик. Інші його характеристики включають відсутність відстані між точками – шлях між ними або миттєвий, або його немає зовсім, а також виняткову структурну складність – прості явища та об’єкти в кіберпросторі дуже швидко еволюціонують у надскладні процеси та мережі.

Вразливість кіберпростору є не теоретичною чи гіпотетичною, а реальною та експлуатованою. Вона дозволяє нападникам отримувати негласний доступ до систем. Негласний доступ означає, що власник системи не знає про його існування. Власник створює систему, її політику та заходи безпеки, але вразливості, про які він не знає, відкривають шлях для атак. Таким чином, поряд із санкціонованим доступом легітимних користувачів та адміністраторів з’являється несанкціонований, негласний доступ третіх сторін.

Чому виникають вразливості

Вразливості виникають через складність кіберпростору та недостатню увагу до безпеки. Це не завжди пряма вина розробників, оскільки в деяких випадках вони можуть не мати достатніх знань або часу на захист через вимоги ринку. Нагадую, сучасне програмне та апаратне забезпечення є дуже складним, що робить уникнення вразливостей практично неможливим.

Якщо кіберпростір має вразливості, які дозволяють отримання контролю над системами, то наступним питанням є “що ж тоді бекдори”?

Що таке бекдори

Бекдор (англ. backdoor) – це функціональність, створена розробниками або третіми сторонами з різними цілями. Легальні бекдори можуть бути необхідні для тестування або адміністрування. Наприклад, адміністративний інтерфейс є бекдором, який дає можливість виправляти помилки у системі.

Існують також приховані бекдори, які інтегровані в продукт без відома користувачів і навіть розробників. Деякі з них додаються свідомо третіми сторонами для отримання доступу до системи. Найбільш витончені бекдори використовують вразливості – недоліки коду, про які не знають розробники, і які залишаються невиправленими впродовж довгого часу.

Як держави використовують вразливості

Вразливості це корисні копалини кіберпростору. Знання про вразливості є цінним ресурсом, а експлойти – інструменти експлуатації вразливостей – складовою арсеналу для проведення кібер операцій. Вразливості дають змогу кібер операторам за допомогою експлойтів отримати негласний доступ до систем противника.

Проте є один нюанс: якщо вразливості справді потужні, вони не лише обіцяють державі доступ до чужих систем, але й несуть загрозу її власній кібербезпеці. Отже виникає дилема: тримати вразливості в секреті та акуратно використовувати їх в кібер операціях, чи повідомляти вразливості розробникам систем, щоб ті могли випустити виправлення та оновлення?

У США, наприклад, діє програма Vulnerability Equity Process (VEP), що регулює баланс між накопиченням та розкриттям вразливостей. Відомо, що у 2023 році США повідомили розробників про 39 вразливостей. Але чи були ці вразливості розкриті без заміни на нові? Малоймовірно.

Якщо вразливість відома лише одній державі, вона може використовувати її ексклюзивно для власної вигоди. Однак у разі розсекречування цієї інформації в кіберпросторі змінюється баланс сил. Відтак, держави інколи розкривають вразливості з метою захисту власної інфраструктури або позбавлення сторони противника доступу до таких вразливостей.

Контроль та наслідки

Іноді державні кіберрозвідки можуть втрачати контроль над своїми експлойтами. У 2017 році група під назвою Shadow Brokers, під якою маскувалися росіяни, викрила інструменти АНБ США. Потужні вразливості на кшталт EternalBlue стали доступними для інших угруповань. Це призвело до кількох масових атак, і 2017 рік став відомим як «рік великих мережевих хробаків».

Зокрема, кібератака NotPetya, виконана ГРУ рф, вийшла з-під контролю нападників, спричинила каскадні побічні ефекти та завдала значних збитків. Не захистили жертв по всьому світі й оновлення цієї вразливості, випущені компанією Microsoft після сповіщення від АНБ про витік, що відбувся. Адже вразливості нульового дня це лише частина усіх вразливостей, а вразливості це лише частина усіх інструментів кібер операторів. Виправлені в оновленнях вразливості (N-ного дня) можуть бути ефективні проти систем, які довго не оновлювалися, а слабкості та помилки налаштування можуть відкрити доступ до повністю оновлених систем.

Отже, ми знаємо, що США мають розвинену систему управління вразливостями. Але чи тільки вони? Швидше за все, ні. Китай, Росія, Іран, Північна Корея та інші держави також працюють у цьому напрямку. Проте рівень їхньої прозорості набагато нижчий.

Порівнюючи успіхи різних країн у кіберопераціях, можна зробити висновок, що всі вони діють за схожими принципами: накопичують, досліджують та використовують вразливості. Важливо наскільки ефективно країни контролюють свої арсенали вразливостей, і якщо ці арсенали опиняться в чужих руках – наслідки можуть бути суттєвими.

Вразливості як бекдори

Тепер про найцікавіше: використання вразливостей в якості бекдорів. Цей інструмент не є вигаданим: історія повна випадків успішної інтеграції бекдорів в код програмних продуктів та криптосистем, які на перший (другий, третій та всі наступні) погляд виглядали як вразливості, проте грали роль бекдорів та надавали зацікавленій третій стороні доступ до систем потайки від їхніх власників та розробників.

Один такий випадок це епопея з бекдором в Juniper ScreenOS, про яку пише в книзі «Хакери та держави» американський дослідник кіберпростору Бен Бюкенен. Щоб уникнути спойлерів, скажу лише, що в цю серію продуктів в різний час вбудовували свої бекдори американські, китайські та якісь ще невідомі спецслужби. І виглядали вони як справжнісінькі вразливості, яких цілком ймовірно могли припуститися програмісти.

Бекдори через вразливості це безпрограшна ситуація для розробників та нападників і ось чому. Нападники отримують секретний доступ до тисяч і тисяч вразливих пристроїв і цей доступ залишається ексклюзивним поки вразливість залишається в таємниці. А розробники в свою чергу отримують змогу правдоподібно заперечувати наявність бекдорів в їхніх продуктах.

Відчуваєте вишуканість та красу цього рішення? Спецслужби отримують доступ до потрібних джерел даних, розробники уникають звинувачень в співпраці з спецслужбами, отже всі у виграші. Звісно, окрім власників та користувачів систем.

«Природні» явища в кіберпросторі

Я припускаю, що бекдори через вразливості це природне явище, точніше усталена операційна концепція в усіх країнах, на території яких ведеться розробка програмного забезпечення. США використовує її в прозорий та зважений спосіб, притаманний ліберальним демократіям. Проте щодо інших країн відкритої інформації немає, лише здогади.

Наприклад, згідно з чутками від інсайдерів індустрії, ізраїльський виробник шпигунського програмного забезпечення Paragon, заснований колишнім командирам елітного загону ізраїльської кіберрозвідки та колишнім прем’єр-міністром Ізраїлю, використовує в своєму програмному продукті Graphite в тому числі й вразливості протоколів приватних месенджерів WhatsApp, Signal та Telegram. Тобто дозволяє своїм клієнтам перехоплювати повідомлення цілі без встановлення шкідливого програмного забезпечення на її смартфон.

Чутки та інсинуації, скажуть скептики. Гаразд, ось ще приклад: в пакеті встановлення системі віртуалізації Parallels, яка зараз юридично розташована в США, проте походить з російської федерації, з серпня 2020 р. до лютого 2025 р. існувала вразливість нульового дня, яка дозволяла нападнику підвищити привілеї в macOS. Щоправда, вона була виправлена в листопаді 2023 р., але у спосіб, що дозволяв обійти це виправлення. Так, вектор атаки тут нетривіальний та вимагає трохи соціальної інженерії, проте з цим у кваліфікованих кібер операторів проблем немає.

Ну і вишенькою на торті: на початку 2025 р. було виправлено вразливість нульового дня в 7-Zip, яку російські кібер оператори використовували для атак на українські організації. Попередню вразливість виконання довільного коду в 7-Zip було виправлено у 2023 році. До того була ще одна вразливість у 2018 році. Нагадаю, що 7-Zip – це популярний файловий архіватор, розроблений російським програмістом Ігорем Павловим у 1999 році.

Послідовність таких прикладів можна продовжувати, проте чи є в цьому сенс? Кількістю гіпотетичних та недоведених випадків переконати скептиків дуже важко. Тому доведеться чекати, адже всі таємниці колись стають історичними фактами.

Стратегічні висновки

З огляду на мої спостереження, я наполегливо рекомендую українським громадянам, українським організаціям та українській державі повністю відмовитися від використання програмних продуктів російського походження. Це стосується всіх розробок без виключення, адже правовий режим та розвідувальні традиції держави-агресора не дають змоги сумніватися в її здатності вдаватися до рішучих заходів з метою отримання доступу до чутливої інформації та здійснення руйнівних ефектів.

Я переконаний, що в більшості, якщо не в усіх, програмних продуктах російського походження існує можливість негласного доступу через буцімто невідомі розробнику вразливості. Це дає рф змогу досягати стратегічних цілей в кіберпросторі, а розробникам – правдоподібно заперечувати причетність до дій російських спецслужб. Деколи для того, щоб в шпигунів все вдавалося, охоронцям треба просто дивитися в інший бік.

Щодо зустрічного питання: як протидіяти агресору на його полі? Маю й гарні новини: стан захищеності російського вітчизняного програмного забезпечення далекій від ідеалу, він навіть далекий від середнього рівня західних розробників. Тому в цьому сенсі в усіх противників росії «шалений потенціал. Якщо не припинимо – все буде. Треба розкрутити тільки.»

Дякую за увагу, підписуйтесь де прочитали, і бережіться.

Joshua Rovner у своїй книзі Strategy and Grand Strategy пояснює, чому стратегія допомагає виграти війну, а велика стратегія — не допустити нової. Це критично важливе розрізнення, яке має бути в центрі уваги української безпекової спільноти.

Чому це важливо?

Невміння розрізняти стратегію та велику стратегію призводить до національних катастроф. Стратегія — це захист від загроз тут і зараз. Велика стратегія — це формування умов, у яких захист не знадобиться.

• Стратегія — це армія, флот, зброя.
• Велика стратегія — це міжнародні альянси, економічна інтеграція, культурна експансія.

Блискуча стратегія може принести перемогу, але якщо велика стратегія хибна — перемога буде пірровою.

Уроки з історії

Франція у війні за незалежність США — чудовий приклад розриву між стратегією та великою стратегією. Французька армія і флот забезпечили поразку Британії, але виснажили власну економіку та фінансову систему. Результат? Революція та крах монархії.

Британія після війни — навпаки, змогла адаптувати свою велику стратегію. Втрата колоній призвела до переосмислення безпеки: ставка на глобальне домінування через флот замість сухопутного контролю. У підсумку — два століття світового лідерства.

(Шокуючі для мене особисто цифри: десять років після війни Британія інвестувала в розвиток королівського флоту 40 (сорок!!) % державного бюджету).

Висновки для України

Щоб не опинитися в пастці короткострокового мислення, потрібно чітко розуміти:

• які джерела політичної сили ми можемо перетворити на гарантії безпеки
• які міжнародні механізми забезпечать стабільність після перемоги
• як уникнути конфлікту між стратегічними цілями та довгостроковими інтересами держави

Без глибокої великої стратегії навіть найкраща оборонна стратегія не гарантує майбутнього. Україна має перемогти у війні — і виграти мир.

Дуже вдячний видавництву «Наш формат» за переклад і видання цієї книги Бена Б’юкенена, і що зробили це саме зараз. Це маст-рід з таких причин.

Книга пояснює, що взагалі відбувається: які бувають кібероперації, які в них цілі, чому і наскільки це складно. Робить це в рамках стандартної вже рамки «Шпигуй, Ламай, Бреши», даючи розуміння таксономії кібероперацій.

Окремо варто відзначити увагу до стратегій і культур держав, які проводять кібероперації. Автор не обмежується описом кількох відомих операцій «великої сімки» (США, КНР, Великобританії, Росії, Ірану, Ізраїлю та КНДР), а приділяє увагу буквально всім.

Також книга підкреслює важливість постійного збереження ініціативи в кіберопераціях. Автор просуває ідеї кіберперсистентності, пояснює тонкощі балансу між ефективністю, швидкістю і тривалістю операцій. Він не вдається в академічні дебрі, але дає повне уявлення про суть цих концепцій.

Ще один плюс: книга не витрачає час на «кібервійну», вигадану маркетологами, і не зачіпає «кіберстримування», якого просто не існує. Ця аналітична зрілість — одна з сильних сторін автора.

Написано доступною і захопливою мовою, тому приємно і цікаво читати. Описані операції не лише аналізуються, а й подаються через призму їхнього контексту і наслідків.

Якщо вас цікавить, хто є хто в сучасному кіберпросторі, як вони працюють і чому це важливо, обов’язково читайте цю книгу. Це найкраще серед того, що мені траплялося.

Прочитав законопроєкт про кібер резерв. Він називається «Про Кіберсили», але 50-60% тексту в ньому присвячено саме кібер резерву. Загальне враження неоднозначне, як про будь-який законопроєкт. Звісно, можна було набагато краще. Але з іншого боку, можна було набагато гірше.

В цьому дописі спробую обʼєктивно проаналізувати текст крізь призму фреймворка PETIO, в якому Макс Шмітз узагальнив основні компоненти національних кіберсил. Тобто зважувати законопроєкт будемо по таких параметрах:

• Персонал
• Експлойти
• Технології
• Інфраструктура
• Організація

Очевидно, перший пункт P:People, в законопроєкті викладений досить докладно. Це з одного боку плюс, адже саме персонал є ключовим ресурсом кібер сил. З іншого боку, в законопроєкт закладений явний перекос в бік питання генерації сил, а саме шляхом створення так званого кібер резерву.

Хоч в резерві як явищі нічого негативного немає, в законопроєкті йдеться не про резерв в звичайному розумінні. Тут йдеться про те, що людей без жодного досвіду після випробування та навчання зараховуватимуть одразу в резерв. З якого їх потім можуть висмикувати для виконання завдань. Робити це будуть військові частини напряму, керуючись власними потребами.

Навіть якщо брати до уваги очевидні ризики такого підходу, мушу зазначити, що в дійсності так воно не працює. Планка кібер резервіста, встановлена в законопрєкі, це айтівець після певного курсу навчання. В реальності між людиною, яка заробляла інтелектуальною працею повʼязаною з компʼютерами, і кібер оператором лежить не курс навчання, а місяці (бажано роки) участі в кібер операціях певної інтенсивності. Більше того, дистанціювання від такої діяльності бодай на пів року створює потребу додаткового навчання та реінтеграції в процес. Це добре описані в академічній та доктринальній літературі проблеми, розвʼязок яких в законопроєкті не закладений.

Отже, попри значну увагу приділену ключовій задачі кібер сил – генерації та підтримці кадрового ресурсу – ця задача не вирішена, а неявно поставлена командирам частин та майбутньому керівництву кібер сил. Скажу відверто: не заздрю та навіть співчуваю.

Йдемо далі. В наступних трьох частинах фреймворку, а саме E:Exploits, T:Tools, I:Infrastructure, законопроєкт торкається лише шляхів фінансування. Така низька увага до фундаментальних компонентів кібер сил дивує, але пояснень цьому може бути занадто багато, тому коментувати важко.

Решта тексту присвячена O:Organization. Широкими мазками визначена структура та підпорядкування кібер сил, а їм самим присуджена роль головного органу управління в усьому що стосується кібер операцій. Додатково визначено право на власну розвідку та здатність все це утаємничити.

Особливу увагу звернув на те, що в законопроєкті повторено помилку всіх кібер сил (точніше спроб їх створити) країн ЄС: поряд з наступальними та розвідувальними функціями прописано захисні. Тому не виключаю німецький сценарій: 10,000 кібер воїнів які крутять сієми та антивіруси.

Окремо доктринальну розсинхронізованість тексту з сучасним станом мислення про предмет підкреслюють згадування міфічного стримування та фантомних кібер операцій в електромагнітному спектрі.

Тепер поділюся думками про деталі, в яких диявол. В тексті є епізод, який я вважаю занадто ризикованим, щоб його оминали увагою профільні експерти, тому спробую цю увагу звернути. Він стосується компенсації військовослужбовців, в тому числі резервістів, призваних з резерву для виконання оперативних завдань. Щоб всі були в контексті, процитую фрагмент повністю.

4. Кожному військовослужбовцю та службовцю структури Кіберсил Збройних Сил України, які брали участь у плануванні та проведенні успішної кібероперації (кіберкампаній, кібердій), виплачується одноразова додаткова винагорода у таких пропорційних розмірах відповідно до розміру прожиткового мінімуму для працездатних осіб, визначеного законом про Державний бюджет України на відповідний рік:

1) за рішенням Президента України для кібероперації стратегічного рівня, задумом якої було запобігання збройної агресії проти України – 400;

2) за рішенням Головнокомандувача Збройних Сил України для кібероперації стратегічного та оперативного рівнів по військовим цілям противника (потенційного противника) та підтримку держав – союзників України під час особливого періоду – 100;

3) за рішенням начальника (командира) Кіберсил Збройних Сил України – 25.

Щоб спростити розрахунки, нагадаю, що в 2024 році 25 прожиткових мінімумів для працездатних осіб це 75,700 грн і в перспективі зменшуватися ця сума скоріш за все не буде. Тобто фіксуємо для себе, що мотиваційна частина кібер воїна складається з окладу і премій, а також ось цієї (хочу написати “одноразової”, але це в законопроєкті ніде не вказано) винагороди. Є там і більші суми, але давайте бути реалістами – система мінімізуватиме бюрократію та витрати.

Тут я мушу зазначити, що найбільш важливими та ефективними в кіберпросторі є операції кіберзбору, які забезпечують унікальними та ексклюзивними розвідданими як розвідоргани та сили оборони, так і вище військово-політичне керівництво країни. Тобто, легко здогадатися, що таким чином справді успішні кібероперації не закінчуються ніколи. Зафіксуйте собі цю думку, а я поки продовжу.

Далі, мушу відмітити, що така мотиваційна схема максимізуватиме стратегічно менш важливі кібероперації, тобто ті, які можна швидко провести і гарно відзвітувати. Це зазвичай руйнівні операції кібервпливу, які в стратегічній перспективі лише шкодять вам і виробляють імунну відповідь в противника, постійно ускладнюючи вам цілі. Два відомі способи виправдати операції кібер впливу – це досягти кумулятивного ефекту на важливі процеси ворога (логістика, бюрократія, зв’язок, виробництво, фінанси тощо) або сформувати наратив у публічному дискурсі країни ворога та спробувати розхитати громадянське суспільство. Через те, що публічного дискурсу та громадянського суспільства на болотах немає, лишаються кумулятивні ефекти в критичних галузях, які, вибачте за мій скепсис, не кожному по кібер силах.

Отже, напрошується висновок, що запропонована в законопроєкті схема компенсації військовослужбовців або
а) мотивує їх займатися операціями трохи складнішими за дудос, проте за які можна прозвітувати про успіх; або
б) зазначена винагорода не одноразова і виплачуватиметься, скажімо, щомісяця протягом тривалості справді важливої та успішної кібер операції.

Додаткові важливі деталі стосуються особливостей кібер операцій як явища. Наприклад, як бути з тим фактом, що кібер оператори та кібер аналітики, не кажучи вже про їхніх командирів, одночасно братимуть участь та плануватимуть значно більше, ніж одну операцію? Або з тим, що кожна кібер операція завдячує успіхом набагато більшому колу осіб – розробникам, системним адміністраторам, організаційним експертам тощо і тощо, – аніж тим, хто «брали участь у плануванні та проведенні успішної кібероперації»? Корисно знати, що в авторів законопроєкту є бажання гідно винагородити справді цінних фахівців, проте схема виглядає непродумано.

Гадаю, що справді дієвою була б компенсаційна схема, в якій держава в особі кібер сил могла б конкурувати з приватним сектором на ринку праці принаймні в сегменті молодих спеціалістів, а командирів різних ланок утримувала кар’єрними перспективами, стабільним майбутнім та іншими характерними для держслужби смаколиками. Проте хто я такий, щоб мене слухати?

Загальне враження від цієї законодавчої ініціативи: створити нарешті щось і далі це еволюційно покращувати. Якщо так, то ставлення до законопроєкту може бути лише і виключно компромісним. Краще хоч так, аніж ніяк.

Росія оновила свою ядерну доктрину, і тепер ядерний удар може бути відповіддю на… кібератаку. Я не жартую. Тепер умовний підліток із ноутбуком і вільним вечором може, теоретично, “випадково” стати тригером для початку ядерної війни. Давайте розберемось, чому цей абсурд свідчить про чергову спробу Росії розіграти ядерний блеф.

Ядерний домен: стратегічна гра з високими ставками

Ядерний домен – це стратегічний домен. Ядерна зброя – це стратегічна зброя. Держави вкладають величезні ресурси в ядерне стримування, яке базується на одній простій ідеї: “Якщо ти на мене нападеш – тобі кінець”. У цьому домені правила чіткі, а гравцями виступають лише держави. Тут не йдеться про операції з застосуванням зброї – взагалі. Це шахова партія, в якій усі гравці бояться зробити перший хід.

Кібердомен: тут грають усі

Кібероперації – це зовсім інша справа. Кіберпростір – це поле бою, яке ніколи не затихає. Тут кожен день – нова гра: держави шпигують одна за одною, корпорації захищаються від хакерів, а підлітки підбирають пароль для Wi-Fi сусіда. Стати гравцем в цьому домені надзвичайно легко: вам потрібен комп’ютер, трохи часу на перегляд освітніх відео на YouTube та певний об’єм терпіння.

І от тепер уявіть: Росія оголошує, що кібератака на їхню систему управління ядерними силами може бути достатньою причиною для запуску ядерних ракет. Виходить, що “поріг входження” в ядерний конфлікт тепер залежить не від стратегічних рішень держав, а від когось, хто, можливо, просто вирішив випробувати свої навички у зламі комп’ютерних систем.

Чому це блеф?

1. Диспропорційність відповіді: Застосування ядерної зброї – це кінець гри, глобальна катастрофа. Заява про готовність реагувати так на кібератаку, навіть серйозну, виглядає як демонстрація сили, а не реальний намір.

2. Невизначеність джерела атаки: У кіберпросторі важко швидко і точно визначити, хто стоїть за атакою. Студент з України? Розвідувальна служба з іншого континенту? І як підтвердити, що це був цілеспрямований напад саме на Росію?

3. Нестабільність у глобальній системі: Якщо інші держави приймуть подібну логіку, то кожна велика кібератака (а їх десятки тисяч щодня) потенційно може призвести до ядерного конфлікту. Це скринька Пандори, яку навіть Кремль навряд чи готовий відкрити.

Чого хоче Кремль?

Це сигнал. Росія намагається залякати опонентів, нагадуючи: “Не грайте з вогнем, бо ми непередбачувані”. Але насправді це чергова спроба підняти ставки в грі, де вони вже відчувають слабкість. А ще – це страх. У кібердомені, де майже немає правил, Росія програє, бо її технологічний потенціал і вразливість не витримують конкуренції.

І що тепер?

Якщо ви хакер-початківець і читаєте це, не переживайте. Ви навряд чи станете причиною апокаліпсису. Але цей крок Росії вкотре демонструє, як вона намагається використовувати страх, щоб створити ілюзію контролю в світі, де вона його давно втратила.

Кіберпростір – це місце постійної гри. А ядерний домен – місце, де грати не хоче ніхто. Російська спроба поєднати ці два світи – це радше бородатий анекдот, ніж реальна стратегія.

І підписуйтесь на блог. Як би іронічно це не звучало, далі буде.

Перед тим як ставити питання «Якою повинна бути кіберстратегія України» треба спочатку відповісти на питання «Якою могла би бути кіберстратегія України». А для цього потрібно розібратися, які є можливі опції.

В продовження попереднього допису, спробую підсумувати сучасний стан розуміння кіберпростору як середовища міжнародного конфлікту з огляду на дослідження та операційний досвід основних гравців: РФ, КНР, США, Ірану, КНДР та Ізраїлю.

Спочатку варто вкотре пройтися по варіантах, які наразі неможливі в принципі. Були в кібері кілька хибних шкіл мислення, які з часом та досвідом були відкинуті через їхню відверту фентезійність.

Стратегія кібер стримування

Отже, кібер зомбі номер один: стратегія кібер стримування.

Більшість стратегічних мислителів початку інформаційної ери були вихідцями з холодної війни, а для клевців усе є цвяхи. Тому перша й найтриваліша стратегія провідних держав у кіберпросторі полягала у стримуванні. Частково тупо по аналогії. Частково через фантастичні уявлення про кібер як про надзвичайно потужний засіб впливу, на рівні з ядерною зброєю.

Час йшов і всі навкруги в кого були для цього ресурси та засоби (тобто люди і гроші) активно проводили кібероперації, а колективний захід займався стримуванням. За виключенням кількох випадків застосування, кінець ХХ століття майже не бачив якоїсь операційної активності країн вільного світу. Проте нова вісь зла взялася до цієї справи дуже жваво і завзято отримувала досвід успішного використання кіберспроможностей, намацувала межі їх застосування та ефективності, а також, що теж дуже важливо, пропрацьовувала сценарії реагування на виявлення та випердолення їхнього доступу з інфраструктур стратегічних противників.

Ось в такому режимі стримування, нікого крім себе не стримуючи, захід дожив до кінця першої декади ХХІ століття. Як виявилося, стримування було незастосовною в кіберпросторі стратегією, адже якщо воно працює, то звідки тоді всі ці кібероперації противників? Деякий час штучним виправданням цьому була теза, що страшний та жахливий кібер-Перл-харбор не настав саме через дієве стримування. Пороте згодом стало очевидно, що нищівний кіберармагедон штука вигадана і на даному етапі розвитку технологій просто неможлива.

“П’ятий домен”

Таким чином, похорон за похороном, стратегія кібер стримування потроху відійшла на задній план та поступилася місцем новій химері: мілітаризації кіберпростору. Країни одна за одною почали створювати кібер-командування, а кіберпростір визнавати “ще одним доменом” ведення бойових дій поряд з класичними кінетичними (або фізичними) доменами: суходолом, морем, повітрям та віднедавна космосом.

Концепція “п’ятого домену” була вже менш фантастичною, але все одно створювалася воєнними стратегами простим мисленням за аналогією, яке не дало очікуваних плодів. Замість створити нове доктринальне мислення про нове середовище конфлікту, яке радикально відрізняється від усіх попередніх операційних доменів, вояки спробували натягнути на кібер старі напрацювання. Звісно, що така екстраполяція не вдалася через унікальні структурні особливості кіберпростору в порівнянні з класичними доменами ведення бойових дій.

Відмінностей між справжніми воєнними доменами та кібером занадто багато, щоб втиснути в блог, тому підсвічу найяскравішу. Воєнні дії в класичних доменах характеризуються дуалізмом нападу та захисту: без одного немає іншого і навпаки. Нападник атакує, захисник захищає, і це називається боєм або битвою.

В кіберпросторі поняття напад та захист втрачають оригінальний сенс, адже такий дуалізм в кібері кудись раптом зникає. Дії “захисників” незалежні від окремих кібератак, адже загалом їхня задача – це кібербезпека, тобто ускладнення задачі “нападників” різними шляхами від виправлення вразливостей, які дозволяють їх атакувати, до побудови систем раннього виявлення та реагування на кібератаки. Інакше кажучи, якби в класичних доменах воювали як в кібері, то дії захисту обмежувалися б побудовою укріплень та встановленням сигналізації. А коли напад буде виявлено, то захисники зможуть все швидко виправити, відновивши уражені ділянки з бекапів та заблокувавши нові методи нападу новими методами захисту.

Дії ж “нападників” полягають в проникненні та контролі за інфраструктурою цілі з метою використання її собі на користь або противники на шкоду. Головною вимогою здійсненності таких дій є їхня секретність, адже, як сказано раніше, після виявлення присутності і до повного скасування доступу проходить порівняно небагато часу. Тому кібератаки відбуваються незалежно та у таємниці від кіберзахисту, так щоб ціль дізналася про це якомога пізніше, бажано коли вже запізно. Очевидно, що за таких умов поняття “бою” чи протистояння в кіберпросторі годі й уявити, а кіберконфлікт з серії кібербитв перетворюється на серію незалежних дій, які впродовж більшості часу ніяк не пов’язані.

Попри цю та багато інших перешкод на шляху мілітаризації кіберпростору багато країн роблять вигляд що так треба і сворюють кіберкомандування та кіберсили, накопичують кіберспроможності, проводять кібернавчання та перебувають в кіберготовності. Що це означає в реальності? Нічого. Усі зазначені країни за виключенням вузького кола яскравих виключень вперто та наполегливо займаються фантастичним нічим. Дослідженню цього феномену присвячені наукові статті, тому я не буду продовжувати. Зазначу лише, що якщо ви десь раптом чуєте що хтось визнав кіберпростір доменом воєнних дій, створив кіберкомандування, та готується до створення кіберсил – знайте, що мова йде про легалістичну та політичну еквілібристику, а не про реальне застосування кіберпростору для досягнення безпекових чи політичних цілей.

Викорінення концепції “п’ятого домену” все ще в процесі: час все йде, нищівні кіберефекти які можна порівняти з ушкодженнями від конвенційного озброєння все не настають, проте адепти мілітаризації кіберпростору все ще не здаються, мабуть що на щось чекають. Ніколи не можна закривати майбутнє від гарних речей, тому звісно що зберігається гіпотетична можливість застосування кіберпростору для створення ефектів, які можна порівняти з, скажімо, прильотом “Кинджала” або навіть стратегічним ядерним ударом. Зберігається десь в майбутньому, адже емпіричних доказів цьому немає. Поки що всі кібератаки, навіть “найнищівніший” неПетя та міфічний Stuxnet не перетнули навіть порогу застосування сили в міжнародному праві, тому про збройний напад та воєнну агресію годі й казати.

Нові підходи

З старовірами розібралися, давайте тепер про сучасні стратегії, з яких має сенс обирати. Наразі найбільш жвава дискусія точиться щодо трьох підходів. Два із них знов ж таки пропонують екстраполяцію наявних концепцій на нове середовище, проте не по аналогії, а як логічне продовження з застосуванням нових технологій. Третя йде трохи далі та вибудовує підхід відштовхуючись виключно від структурних особливостей кіберпростору.

1. Кібероперації це продовження розвідувальної діяльності (ISR) в кіберпросторі. Операції кіберзбору це аналог класичного шпіонажу, а операції кібервпливу це аналог “активних заходів” (active measures), які історично є прерогативою розвідувальних органів.

2. Кібероперації це продовження підривної діяльності (subversion) в кіберпросторі. Класична підривна діяльність працює по соціальних системах, компрометуючи людей та організації через їхні вроджені та структурні вразливості. Кібероперації працюють по соціотехнічних системах, компрометуючи людей, організації та програмне забезпечення через їхні вроджені та структурні вразливості. Одразу скажу, що цей підхід здається мені найраціональнішим.

3. Кібероперації це принципово новий феномен, який використовує надзвичайну складність, взаємнопов’язаність та інші структурні особливості кіберпростору як унікального домену міжнародних відносин для досягнення безпекових цілей. Важливим критерієм досяжності цих цілей, тобто ефективності кібероперацій, є їхня персистентність (persistence initiative). Відповідна теорія називається Cyber Persistence Theory, і вона вже знайшла відображення у офіційній кіберстратегії США та загальному баченні підходів до кібероперацій у Великобританії.

Далі проговоримо кожен з цих підходів докладніше. Аналіз буде такий: я описуватиму основні ідеї підходу, потім підсвічуватиму чи є він ефективним у загальному випадку і щонайважливіше – у випадку України.

Підкреслюю, це наукова дисципліна, тут працюють науковці-дослідники, вони переважно розумніші за мене. Я не висловлюю свою думку, а транслюю хиткий консенсус який все ще формулюється. І цей стан нестабільності – це скоріше добре, адже догматичне (само)стримування та «пʼятий домен» нічого хорошого не принесли. Лише загальмували прогрес вільного світу поки вісь зла експериментувала і намацувала вигідні їй стратегії.

Розширення розвідувальної діяльності

Ідея перша: кібер як розширення розвідки. Цілком логічна історія, якщо ви знаєтесь на розвідці. Є одна проблема: на розвідці знається дуже мало людей, це вкрай недовивчена область знань, а більшість літератури на цю тему – художня.

Але спробуємо оцінити наскільки цей підхід взагалі дієвий, тобто чи є універсально ефективним мислення про кібероперації як про розвідку, що поширилася в кіберпростір та підсилилася інформаційними технологіями. Знов ж таки, про це томи написані, посилання будуть в бібліографії, а всі аргументи тут не вмістяться. Але по найяскравішим пунктам пройдемось.

З одного боку, розвідку та кібероперації обʼєднує критичний фактор успішності: секретність. Виявлений актив вважається скомпрометованим. Виявлений доступ відділяє від втрати лише халатність цілі. Отже, вимоги до операційної безпеки це спільна риса, на цьому засновують свої позиції прихильники такого підходу.

З іншого боку, секретність неможливо сумістити зі створенням ефектів: не можна зруйнувати інфраструктуру мобільного оператора та забезпечити до нього тривалий доступ після таких дій. Доведеться або ефекти обмежувати, або доступ відновлювати, і обидві ці задачі нетривіальні.

Розвʼязують цю дилему зазвичай люди, для яких вона не має значення, тобто вище керівництво. В деяких ситуаціях ефекти, вбудовані в масштабну воєнну операцію, справді можуть мати потенціал. Щоправда реалізація такого потенціалу в історії траплялася буквально кілька разів і в усіх випадках метою доступу були саме ефекти.

Отже, попри деяку спорідненість розвідки та кібероперацій, між ними існує вроджений конфлікт інтересів. Обʼєднання розвідки та підривної діяльності в одному субʼєкті проблему не розвʼязує, а лише переносить конфлікт під єдине керівництво, що ситуації геть не на користь.

Також, треба зазначити, що розвідка взагалі справа цілком цивільна, а ефекти вважаються чи не актом війни (дякувати «пʼятому домену»), тому створювати їх дозволено військовим. В противному випадку на операторів не поширюються статус комбатанта, женевська конвенція тощо. Дрібниця, але важлива, а з точки зору відповідальності по закону ще й принципова.

Ще одне важливе зауваження: вимоги до персоналу в класичній розвідці та в кібері, мʼяко кажучи, відрізняються. Тому організаційне обʼєднання відповідних напрямів роботи теж своєрідна дилема, адже доведеться обирати між вимогами до операційної безпеки та креативності й творчості, якщо ви розумієте про що я.

Ці та інші фактори роблять доктринальне обʼєднання розвідки та кібеороперацій універсально неефективним. Вихід: розвідувальні кібероперації віддати розвідці, а наступальні – військовим, конфлікт інтересів розвʼязувати на вищому рівні. Виглядає гарно, проте вгадайте, хто розконфліктовує операції, наприклад, у США? Директор національної розвідки. Думаю тут всім все зрозуміло.

Звісно, що такий варіант не єдиний можливий. Проте дилему розвідка vs ефекти розвʼязати організаційно навряд чи вийде, її доведеться вирішувати щоразу, або ж встановлювати політику, яка на деякий час надаватиме перевагу одному з варіантів, як у прикладі США.

Яка конфігурація такого підходу може бути корисна Україні сказати важко, адже наразі існує потреба в обох напрямах кібеороперацій. З одного боку, для ефективного застосування сил безпеки і оборони потрібні якісні розвіддані, а операції кіберзбору дозволяють отримувати їх з місць недоступних класичній розвідці. З іншого боку, для підтримки вигідного політичного консенсусу серед союзників, Україні потрібно неперервно генерувати переможний сигнал в інфопросторі, а операції кіберефекту – чи не найпростіший для цього спосіб.

Отже, в мисленні про кібер як продовження розвідки є свої зручні та проблемні сторони. Організаційне розташування кібероперацій як функції в рамках розвід діяльності має вроджений конфлікт інтересів та створює низку політичних та юридичних складностей. Щоправда, з огляду на новини, мандат української розвідки зараз дещо ширший, ніж в мирний час, якщо ви розумієте про що я.

Теорія кіберперсистентності на практиці

Зміню трохи порядок, тому ідея третя: Persistent Engagement.

Теорія кібер персистентності робить спробу впорядкувати мотиви та засоби учасників міжнародних відносин в кіберпросторі, не покладаючись на аналогії з іншими середовищами. Замість цього, CPT (Cyber Persistence Theory) аналізує особливості структури кіберпростору як власне середовища, порівнює його з іншими середовищами, та робить з цього висновки. CPT елегантна та витончена, і на мою думку в ідеальному світі це найкраща стратегія в кіберпросторі. Саме тому на її основі збудували свою стратегію США. А може через те, що співавторка теорії має неабиякий вплив на цю стратегію… Менше з тим, повернімося від політики до суті.

CPT робить припущення, що кіберпростір є повноцінним доменом стратегічного суперництва або інакше кажучи, що кібероперації можуть мати стратегічні ефекти, тобто зсувати баланс сил між державами. Критерієм успішності таких кібеороперацій теорія визначає саме персистентність, тобто постійне та неперервне збереження ініціативи у пошуку та використанні вразливостей для конфігурації обставин безпеки на користь собі та на шкоду ворогу. Я знаю, це занадто для одного разу, але насправді все дуже просто, по пунктах:

• кіберпростір створили люди,
• кіберпростір складний,
• кіберпростір взаємоповʼязаний,

тому як наслідок,

• кіберпростір вразливий.

Вразливості є як у нашому кіберпросторі, так і в кіберпросторі противника. Вразливості треба шукати та використовувати. Свої – виправляти, противника – експлуатувати. Таким чином наша безпека покращуватиметься, а противника – погіршуватиметься. Так обставини безпеки змінюватимуться на нашу користь.

Все просто, до геніальності, але є одна деталь, яка робить теорію кіберперсистентності важкою в застосуванні в умовах так би мовити обмеженого бюджету. Інакше кажучи на застосування CPT на практиці потрібно дуже багато ресурсів і це можуть собі дозволити лише добре фінансовані організації та держави. Чому так? Тому що як показують емпіричні докази, окремі кібероперації практично ніколи не мають стратегічних ефектів. Натомість, стратегічні ефекти мають серії кібероперацій, які називаються кампаніями. Кампанії складаються з десятків або сотень повʼязаних спільною стратегічною метою кібероперацій, і вони можуть досягати кумулятивних стратегічних ефектів. Принаймні так стверджує теорія і таке ми спостерігали на практиці.

Отже, CPT це дуже круто, але вона працює лише за умови збереження ініціативи, тобто наполегливої та цілеспрямованої боротьби за перевагу в кіберпросторі. Стабільна перевага штука недешева тому її можуть собі дозволити лише дуже багаті країни. Також CPT слабо сумісна з міжнародним правом. Все це робить її потенційним інструментом наддержав, які мають відповідні ресурси, розуміють свої стратегічні безпекові пріоритети та готові йти на дипломатичні ризики. Тому CPT немає у доктринах організаційно стриманих держав, слабких держав, бідних держав та безпекових альянсів, зокрема НАТО.

Я пропущу параграф про те, чому Cyber Persistence Theory та доктрина Persistent Engagement не підходять Україні. Думаю, тут все очевидно.

Підривна діяльність в кіберпросторі

Нарешті, ідея друга: кібероперації як підривна діяльність в кіберпросторі.

Концепція, яка в ретроспективі виглядає максимально простою та природною, але до якої дослідники кіберпростору йшла досить довго – через вже згадану інертність досліджень про безпеку й міжнародні відносини та спадок помилкових ідей.

Аналіз літератури про класичний Subversion наштовхує на аналогії в основних критеріях успішності (секретність, кваліфікація персоналу) та операційних обмеженнях (Subversive Trilemma). Структурно, кібероперації є прямим відображенням підривної діяльності в кіберпросторі: обидва феномени експлуатують системи об’єктів. В одному випадку це роблять шпигуни та спецпідрозділи, в іншому – кібероператори та сили підтримки. В одному випадку йдеться про системи з людей та організацій, а в іншому – про системи з людей, організацій, комп’ютерів, програм, мереж та інфраструктур. Іншими словами, в кіберпросторі все стає значно складніше, а отже жвавіше.

Одне з явищ, що характеризує підривну діяльність та ідеально переноситься на кібероперації, це субверсивна трилема: негативна кореляція між швидкістю, контролем та інтенсивністю ефектів. Я вже писав про цей “залізний трикутник”, але повторимо. Планувальники кібероперацій можуть оптимізувати лише два з цих параметрів за рахунок деградації третього, або максимізувати один за рахунок зниження двох інших. При цьому необхідною умовою успішності операцій залишається їхня секретність, яка додатково їх сповільнює.

Разом з тим, в кібероперацій є реальний шанс, коли це вдається, долати обмеження трилеми за рахунок факторів підсилення. Одним з таких факторів є надзвичайна вразливість цілі, приклади: інфраструктура українських Мінфіну та Казначейства в грудні 2016 року або система поширення оновлень M.E.Doc в 2017 році. В обох випадках операції тривали порівняно недовго, проте були досить інтенсивними та досягли поставленої мети – саме через надзвичайну вразливість цілей. Другий такий фактор – фізичний доступ до інфраструктури цілі, приклади: атака на Укртелеком після початку повномасштабного вторгнення та (вибачте) Stuxnet. В обох випадках в кібероператорів був доступ до елементів інфраструктури: через захоплення територій та через інсайдера відповідно. Проте у другому випадку можна сперечатися, чи був взагалі Stuxnet кібератакою, адже з огляду на опубліковані протягом минулого року подробиці, він все більше нагадує класичну підривну операцію.

Я переконаний, що використання Subversion-подібності кібероперацій спрощує та оптимізує мислення про можливі стратегії побудови та застосування відповідних спроможностей. В першу чергу, підривна діяльність більш пасує слабшій та динамічнішій стороні конфлікту. Також, такий підхід дозволяє чітко розмежувати розвідувальні та підривні заходи з застосуванням кіберспроможностей, щоправда розконфліктовувати їх доведеться в кожному конкретному випадку, що підвищує вимоги до координації кібероперацій. З іншого боку, застосовуючи в плануванні кібероперацій напрацювання теорії та практики класичної підривної діяльності, можна суттєво спростити такі важливі вправи як таргентинг, аналіз, розрахунок побічних втрат, підтвердження ефектів тощо.

А що найцікавіше, можна спростити аналіз оптимальної стратегії України в кіберпросторі до розгляду того, які з стратегій підривної діяльності (маніпуляція, ерозія та повалення) найвдаліше переносяться в кіберпростір. Проте, робити це треба в синхронізації з дискусією про перспективну загальну воєнну стратегію, а також велику стратегію України на наступні кілька років, і це тема наступного допису.

Що почитати:

1. Michael P. Fischerkeller and Richard J. Harknett, ‘Deterrence Is Not a Credible Strategy for Cyberspace’, Orbis 61/3 (1 Jan. 2017), 381–93. doi:10.1016/j.orbis.2017.05.003
2. Brad D. Williams, ‘Nakasone: Cold War-Style Deterrence “Does Not Comport to Cyberspace”’, Breaking Defense (blog), 4 Nov. 2021. https://breakingdefense.sites.breakingmedia.com/2021/11/nakasone-cold-war-style-deterrence-does-not-comport-to-cyberspace
3. Thomas Rid, ‘Cyber War Will Not Take Place’, Journal of Strategic Studies 35/1 (Feb. 2012), 5–32. doi:10.1080/01402390.2011.608939
4. Erik Gartzke, ‘The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth’, International Security 38/2 (2013), 41–73.
5. Joshua Rovner, ‘Cyber War as an Intelligence Contest’, War on the Rocks, 16 Sept. 2019. https://warontherocks.com/2019/09/cyber-war-as-an-intelligence-contest/
6. Michael Fischerkeller and Richard J. Harknett, ‘Cyber Persistence Theory, Intelligence Contests and Strategic Competition’, Institute for Defense Analysis (June 2020), https://apps.dtic.mil/sti/pdfs/AD1118679.pdf
7. Lennart Maschmeyer, ‘The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations’, International Security 46/2 (25 Oct. 2021), 51–90. doi:10.1162/isec_a_00418
8. Lennart Maschmeyer, ‘A new and better quiet option? Strategies of subversion and cyber conflict’, Journal of Strategic Studies, 2023, Vol. 46, No. 3, 570-594, https://doi.org/10.1080/01402390.2022.2104253

Існують три категорії людей, які не дуже розбираються в кіберопераціях. Перша група вважає, що кіберпростір – це якесь казкове місце, де можна досягати неймовірних успіхів, не витрачаючи багато зусиль та ресурсів. Другі вважають, що кіберпростір є повноцінною ареною бойових дій, де можна досягти перемоги або навіть змусити ворога капітулювати без бою завдяки виваженим маніпуляціям з інформацією. Треті вважають, що кіберпростір є виключно джерелом отримання розвідувальної інформації з місць і часів, до яких немає доступу через традиційні засоби розвідки.

Загалом, жодна з цих точок зору не є правильною, хоча в крайніх випадках і за специфічних умов можливі всі перераховані варіанти. Справжня важливість та цінність кіберпростору розташована десь посередині між цими хибними поглядами, недосяжна для людини без певних знань, схожа на класичну проблему трьох тіл у фізиці.

Якщо додати до дискусії людей, які трохи розбираються в кіберопераціях, то з’явиться ще кілька таборів з різними поглядами на їхню роль в міжнародних відносинах. Йтиметься про стратегічну значимість кібероперацій: тобто про здатність держав зміщувати «баланс сил» на власну користь шляхом застосування кіберспроможностей. І тут думки розтечуться по спектру від «кібероперації можуть мати вирішальний стратегічний ефект» до «кібероперації жодного стратегічного ефекту мати не можуть».

Десь між крайніми точками знайдуться прихильники теорії кіберперсистентності (Cyber Persistence Theory), які стверджуватимуть, що хоча окремі кібероперації майже ніколи не мають стратегічних наслідків, то тривалі кампанії з кількох (десятків) кібероперацій можуть бути стратегічно значимими. Образно це можна уявити як певну ерозію соціально-економічних засад держави-цілі, яку держава-оператор викликає через довготривале та наполегливе застосування кібероперацій. До речі, саме на цій теорії засновані сучасні кіберстратегії США та Великобританії, які по-модному називаються Persistent Engagement.

Ще у два табори зберуться прихильники ідей, що або

а) кібер є виключно продовженням розвідувальної діяльності в кіберпросторі, хоч і з очевидним потенціалом щодо «активних заходів», які тим не менш скрізь у світі є прерогативою розвідувальних органів; або

б) кібер – це вигадана категорія міжнародних конфліктів, яка ще ніколи не показала своєї стратегічної важливості, не йде в жодне порівняння зі стратегічними ефектами від застосування кінетичної сили, а отже є стратегічно незначущою похибкою, яку можна легко знехтувати.

Цікавим та інноваційним є підхід до кібероперацій як до розширення підривної діяльності (subversion) у кіберпросторі. Аналогія між підривною діяльністю та кібератаками практично повна: справжні шпигуни та оператори спеціальних сил та засобів експлуатують вразливості в системах об’єктів в реальному просторі, підриваючи зв’язки та довіру між ними. Планувальники та виконавці кібероперацій експлуатують вразливості в програмних вузлах комп’ютерних систем та мереж, а також їхніх користувачів та адміністраторів, з аналогічною метою. Підривна діяльність та кібероперації можуть бути успішними лише якщо відбуваються в секреті: знання про операцію дає цілі змогу швидко припинити її та значно підвищити рівень захисту. Також, обидва види діяльності створюють ефекти, що лежать глибоко внизу “ескалаційних сходів” та десь поміж втручанням в суверенітет та застосуванням сили за міжнародним правом.

Звичайно, є й суттєві відмінності. Наприклад, підривна діяльність в кіберпросторі має значно скромніший обсяг можливих ефектів. Цей обсяг обмежений фізичними законами. Іншими словами, якщо об‘єкт не задуманий вибухати, то підірвати (вибачте за тавтологію) його в кінетичному просторі все одно можливо, розмістивши вибухівку в правильно спланованих місцях. Підрив же чогось, що в принципі не горить, через кіберпростір – вкрай складно уявити, бодай здійснити.

‪З іншого боку, це обмеження в обсязі ефектів трохи компенсується їхніми потенційними масштабами. Взаємозв’язаність та надзвичайна складність кіберпростору створює обставини, в яких теоретично можливо масштабувати ефекти до рівня, який недоступний класичній підривній діяльності. Хакер може проникнути туди, куди шпигун не зможе, і все завдяки фізичним законам кіберпростору, в якому відсутні відстані та природні перешкоди.‬

Проте, з масштабами застосування приходить складність контролю за наслідками. Погане планування кібероперацій може призвести до небажаних та неконтрольованих ефектів, які можуть нашкодити третім сторонам або навіть самому нападнику. Це неодноразово продемонструвала нам росія протягом останніх 10 років, і найяскравішим прикладом поки що залишається черв‘як неПетя, що вийшов з-під контролю операторів та спричинив ефекти поза Україною: як у країнах Європи, так і у найбільших корпораціях росії.

Які закони діють в кіберпросторі, коли діло доходить до спроб використати його на користь однієї держави або на шкоду іншій та зсунути таким чином той омріяний стратегічний баланс сил? Багато хто з вас знайомий з концепцією «залізного трикутника», коли три параметри жорстко зв’язані та негативно корелюють один з одним. Це звучить складно, проте на прикладі буде простіше: пам’ятаєте це «Швидко, дешево, якісно: оберіть будь-які два»? Цей залізний трикутник дуже полюбляють постачальники сервісів, навіть якщо вони в принципі не здатні надавати їх якісно. Але без жартів, в кіберпросторі, точніше в кіберопераціях є свій залізний трикутник.

Він називається Subversive Trilemma і я навіть не буду намагатися це перекласти. Але суть в наступному: поряд з такими характеристиками кібероперацій, як їхня секретність, амбіції та апетит до ризику їх планувальників, рівень вразливості їх цільових систем та кваліфікація, досвід і, що найважливіше, везіння їх виконавців, існують три, що перебувають у строгій негативній кореляції: швидкість, інтенсивність та контроль. Негатив тут у тому, що виконавці кібероперацій можуть оптимізувати два параметри за рахунок зниження третього, або ж максимізувати один параметр за рахунок двох інших. Наприклад, тривала операція (низька швидкість), що зосереджена на максимальному приховуванні дій (високий контроль), може генерувати порівняно невисоку інтенсивність ефектів. З іншого боку, порівняно швидка операція, що має на меті максимальні можливі ефекти, неминуче призведе до втрати контролю (можливо, навіть до моменту настання омріяних ефектів). І так далі, і тому подібне: приклади, коли трилема спрацьовувала ви можете легко пригадати самі.

Subversive Trilemma транслюється на кіберпростір з класичної підривної діяльності та спеціальних операцій. Проте на відміну від класики, в кібері вона деколи не спрацьовує, що створює для кібероператорів сприятливі умови. Приклади найпотужніших сприятливих факторів, що надають кібероператорам змогу переступити обмеження трилеми: надзвичайна вразливість цілі, фізичний доступ до мережі, та інсайдер з високим рівнем повноважень. Ці фактори здатні «розсунути» обмеження трилеми та попри високу швидкість операції підвищити інтенсивність ефектів шляхом збереження достатньо тривалого контролю над інфраструктурою цілі.

Є й інші закони кіберпростору, які не такі гнучкі, як Subversive Trilemma. Наприклад, незмінною є висока відновлюваність після настання кіберефектів, які не йдуть в жодне порівняння з ефектами кінетичними. Іншими словами, підрив складу ракетних боєприпасів створює незворотні наслідки, через які противник втратить особовий склад та буде змушений створити нові снаряди та місця їхнього зберігання. В той час коли кібератака на цей слад в найкращому для нападників випадку змусить противника перевстановити ПЗ на комп‘ютерах. Навіть у сценарії з повним переоснащенням складу новою комп‘ютерною технікою кіберефекти явно програють кінетичним.

З іншого боку, кіберефекти мають схильність до зниження ескалації, адже транслюють намір нападника утриматися від застосування сили. До того ж, попри низький рівень гарантії успіху кібероперацій та неодмінний ризик втрати контролю та створення каскадних побічних ефектів, низька вимогливість до ресурсів та відносна анонімність робить кібероперації популярним інструментом можновладців у боротьбі за стратегічну перевагу. Інакше кажучи, низька результативність компенсується низькими ризиками, тому кібер все ще цікавий як засіб досягнення політичних цілей, і як альтернатива застосуванню сили або збройній агресії.

Тепер до найголовнішого: за яких умов кіберефекти найпотужніші, а кібероперації – найефективніші? Це питання турбує усіх дослідників наступального кіберу і консенсусу поки що немає. Проте аналіз відомих успішних та провальних кібероперацій демонструє чітку закономірність: кібероперації мають локальні стратегічні ефекти (тобто ефекти, які не виходять за межі кіберпростору), коли кібероператорам вдається подолати обмеження Subversive Trilemma та використати підсилюючі фактори: фізичний доступ, інсайдера або високу вразливість цілі. Іншими словами, операторам все вдасться, якщо їм допоможуть зсередини або якщо їм пощастить. Звісно, що розраховувати на такі початкові умови наївно. Які ж альтернативи?

Інша риса, яка об‘єднує успішні кібероперації з відчутними стратегічними наслідками, це їхня комплементарність до кінетичних операцій – класичної таємної підривної діяльності або відкритих бойових дій. При цьому слід зауважити, що кібероперації рідко є критичними в загальному командному задумі, адже покладатися на таке волатильне явище (невідомо, спрацює чи ні) не стане жоден досвідчений воєначальник. Проте у разі успішності, кіберефекти можуть значно підсилити інші сили та/або суттєво знизити ризик втрат. Тепер приклади.

1. Операція Glowing Symphony знищила спроможності ISIS транслювати своє бачення подій «на землі», унеможливила рекрутинг нових екстремістів онлайн та надала союзникам купу розвідувальної інформації для створення вторинних ефектів в ході контртерористичної діяльності. Немає вебсайтів та каналів в соцмедіа – неможна дурити людство пропагандою та підбурювати соціально активні верстви населення до антивоєнних протестів.

2. Операція Outside the Box засліпила системи ППО на короткий проміжок часу, протягом якого ізраїльські ВПС здійснили блискавичне бомбардування сирійського ядерного реактора. Досі вважається унікальним прикладом застосування кіберспроможностей в чіткій координації з іншими силами та засобами, який поки що не вдалося відтворити жодній іншій країні.

3. Зупинка росіянами супутникового зв‘язку KA-SAT в перші години повномасштабного вторгнення. Попри сумнівну операційно-тактичну ефективність через наявність альтернативних каналів комунікацій, може вважатися прикладом успішної кібероперації. Від світового визнання її відділяє лише провал загального задуму про «Київ за три дні».

Сподіваюся ці результати сучасних досліджень кіберпростору та конфліктів у ньому підштовхнуть розібратися в тонкощах теми всіх, кому це потрібно або просто цікаво. Правильне застосування обмежених ресурсів та порівняно скромного кадрового потенціалу для досягнення безпекових цілей в кіберпросторі для України це не просто виклик, а жорстока необхідність. І лише розуміючи закони кіберпростору можна вибудувати в ньому дієву стратегію, не викривлену мріями про фантастичну кібермагію та не затиснуту в рамки «ще одного домену». Адже памʼятаймо: стратегія – це мистецтво можливого.

—

Що почитати:

1. Buchanan, Ben. The Cybersecurity Dilemma Hacking, Trust and Fear between Nations. Oxford: Oxford University Press, 2017.
2. Fischerkeller, Michael P., Emily O. Goldman, and Richard J. Harknett. Cyber Persistence Theory: Redefining National Security in Cyberspace, Bridging the Gap. New York: Oxford University Press, 2022.
3. Harknett, Richard J., and Max Smeets. “Cyber Campaigns and Strategic Outcomes.” Journal of Strategic Studies 45, no. 4 (March 2020): 534–567.
4. Maschmeyer, Lennart. “The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations.” International Security 46, no. 2 (October 2021): 51–90.
5. Maschmeyer, Lennart. “A new and better quiet option? Strategies of subversion and cyber conflict.”
6. Office of Strategic Services. “Simple Sabotage Field Manual.” 17 January 1944, Washington D.C.
7. Rid, Thomas. Active Measures: The Secret History of Disinformation and Political Warfare. New York: Farrar, Straus and Giroux, 2020.
8. Rovner, Joshua. “Cyber War as an Intelligence Contest.” War on the Rocks, September 2019.
9. Smeets, Max. “The Strategic Promise of Offensive Cyber Operations.” Strategic Studies Quarterly 12, no. 3 (2018): 90–113.
10. US CYBERCOM. “Achieve and Maintain Cyberspace Superiority—Command Vision for US Cyber Command.” April 2018.

Маю намір поділитися роздумами про нещодавню кібератаку агресора на Київстар. Мій аналіз буде зосереджений на відсутності стратегічної мети цієї акції. Спробую обґрунтувати, що атака на КС не містить у собі глибинного значення чи прихованого наміру. Хочу зазначити, що я уникатиму обговорення передісторії атаки, її деталей та наслідків розслідування.

Коли я почув про кібератаку на КС, моєю першою реакцією було здивування. Для чого це було зроблено? Важко переоцінити значення кібероперації з отримання даних з систем найбільшого мобільного оператора в державі. Чому ж тоді було прийнято рішення відмовитися від потенційно довгострокової присутності на користь недовготривалої зупинки сервісів? Загальновідомо, що незалежно від масштабів кібератаки, процес відновлення займе не більше кількох днів або навіть годин.

Існує кілька теорій, що можуть пояснити це рішення. Одна з версій говорить про те, що атака могла мати ширші цілі, зокрема виведення з ладу всього мобільного зв’язку, проте на рівні інших операторів виникли непередбачені перешкоди. Є думка, що для агресора кібератака була безболісною, оскільки він зміг зберегти або швидко відновити доступ до мережі КС. Дехто навіть серйозно розглядає можливість, що кібератака була лише диверсією, спрямованою на відволікання уваги від реальних цілей агресора. Важливо, що всі ці гіпотези мають під собою певну логіку, і я сподіваюсь, що вони вже враховані у ході розслідування та на рівні керівництва компанії.

Проте ключове питання “Чому це було зроблено?” так і не отримало обґрунтованої відповіді. Одне з очевидних припущень — це обмежене розуміння кібервпливу на вищих щаблях командної ієрархії. Можна уявити ситуацію, де високопоставлений офіцер, почувши про можливість вивести з ладу КС, вирішив цим скористатися, тоді як його підлеглі або не змогли донести до нього абсурдність такого кроку, або, що більш вірогідно, не наважилися на це.

Іронія полягає в тому, що зважаючи на специфіку стратегічної культури агресора, це, на перший погляд, наївне тлумачення швидше за все є вірним.

Для глибшого розуміння логіки, якою керується агресор при ухваленні подібних рішень, слід враховувати кілька ключових аспектів його месіансько-параноїдальної стратегічної культури:

1. Агресор переконаний, що міжнародні відносини є грою з нульовою сумою, де перемога одного означає поразку іншого.

2. Агресор вважає, що в міжнародних змаганнях будь-які активні дії кращі за пасивність.

3. Виходячи з попередніх двох пунктів, агресор вірить, що атаки, включно з кібератаками, проти цивільного населення та інфраструктури, можуть слугувати інструментом політичного тиску.

Всі три зазначені вірування є помилковими й були спростовані академічними дослідженнями в теорії та історичним досвідом на практиці. Проте, агресор продовжує дотримуватися цих аксіом, ігноруючи не лише відсутність доказів на їхню підтримку, але й наявність доказів, які їх спростовують. Розглянемо кожен пункт окремо.

1. Агресор вірить, що міжнародні змагання це гра з нульовою сумою

Іншими словами, будь-яка вигода для однієї сторони неминуче призводить до втрат для іншої. Однак це уявлення далеке від реальності, особливо в умовах сучасної глобалізації з її взаємозалежними ринками та ланцюжками постачання, де наслідки будь-якої дії складно передбачити. Як результат, економічна ізоляція та відсутність доступу до необхідних товарів, як-от яйця чи мікрочипи, можуть викликати сумніви щодо обраної стратегії, але такі сумніви заглушуються гаслами про необхідність імпортозаміщення.

2. Агресор вірить, що напориста дія краще, ніж бездіяльність

Культ активних дій і неприйняття пасивності є фундаментальним для стратегічного мислення агресора. Відмінно від китайської доктрини стратегічної терплячості, агресор зосереджується на короткотермінових періодах і прагне нав’язати свої умови супротивникам. При цьому будь-який перехід до оборонної або реактивної стадії в конфлікті розцінюється як слабкість і втрата стратегічної ініціативи. Таким чином, аби уникнути становища легкої цілі, агресор вдається до невпинного випуску серій ударів, незалежно від їхньої ефективності.

3. Агресор вірить, що атаки на цивільних змусять їх тиснути на політичне керівництво

Ця заблудла думка, що атаки на цивільні об’єкти можуть зламати волю народу, була спростована багатьма націями, включаючи українців. Насправді такі дії ведуть до зворотного ефекту: замість того, щоб спонукати населення тиснути на свою владу з метою припинити опір, вони об’єднують людей навколо своїх лідерів, підвищуючи їхній авторитет та легітимність. Історичні приклади, як-от масовані бомбардування міст у Великобританії та нацистській Німеччині, показують, що такі дії не призводили до бунтів або повстань, а навпаки, сприяли згуртуванню населення. Що ж до кібератак, їхній вплив ще менший, наслідки швидко ліквідуються, а сприйняття громадськістю за останні десять років змінилося від одноденної сенсації до тимчасового роздратування.

Ці особливості мислення агресора пояснюють мені все. На цьому я припиняю шукати прихований сенс у мотивах атаки на КС та схиляюся до версії, що десь комусь треба було терміново продемонструвати потужну кіберміць. Ця демонстрація, скоріше за все, нанесла більше шкоди розвідувальним інтересам самого агресора, ніж стратегічних втрат Україні. До того ж кібератака стимулювала зміцнення кіберзахисту КС та його конкурентів, а також спричинила найбільший ріст обізнаності українців у сфері кібербезпеки з часів неПеті.

Я переконаний, що агресор не відмовиться від своєї стратегії, тому нас і надалі очікують численні невдалі спроби кібер-Перл-Харбора. Для України критично важливо усвідомити абсурдність таких дій з боку агресора та не брати з нього приклад.

Це без сумніву найдивовижніше, що я бачив у міжнародних стратегічних змаганнях в кіберпросторі. Північна Корея застосовує своїх IT-експертів як віддалених співробітників американських фірм, а кошти, отримані з цього, направляє на свої військові проєкти. За даною схемою під вигаданими іменами працюють тисячі осіб, які, знаходячись на території КНР та росії, отримують кошти на розвиток балістичних ракет Північної Кореї. ФБР, яке займається розслідуванням цієї ситуації, стверджує: якщо ваш бізнес в США наймає фрілансерів, шанси, що ви є частиною цієї великої маніпуляції, досить великі. На цей час агентство конфіскувало 1,5 мільйони доларів і 17 доменів, пов’язаних з цією активністю. Розслідування триває.

Стратегічна ціль Північної Кореї в кібері — масштабна крадіжка коштів для фінансування ядерної програми. Але кіберпростір є вразливим не тільки з точки зору технічних та фізичних аспектів. Є ще персональний рівень, де існують конкретні користувачі та їхні аккаунти, котрі мають свої організаційні та психологічні слабкості. Використовуючи ці вади, кмітливий актор може маніпулювати процесами, інфраструктурою та корпоративною культурою суперника.

Справжньо важливий аспект цього відкриття полягає ось в чому. Потенціал держав для експлуатації кіберпростору суперників залежить від наявних та відомих вразливостей в програмному та апаратному забезпеченні. Однак, цей бар’єр можна подолати, якщо відмовитись від стандартного мислення і дозволити собі більш творчий підхід.

Кібербезпека вже давно перестала бути новим напрямком. Феномен кіберпростору та його вплив на бізнес, суспільство та міжнародні відносини, включаючи глобальні конфлікти, активно вивчається науковцями. Академічні роботи з цього питання регулярно публікуються, а знання накопичуються з разючою швидкістю. Проте, на практиці, люди досі схиляються до особистих переконань та відчуття “здорового глузду”, які без належної підготовки вже не справляються з викликами цієї області.

Наприклад, більшість людей досі займається “моральною оцінкою” атаки та захисту, розділяючи учасників кіберконфлікту на (відповідно) “поганих” та “гарних” хлопців. Дарма, що присвоєння моральних характеристик особам на основі їх завдань виглядає абсурдно. Наприклад, чи вважаєте ви адміністраторів безпеки серверів ISIS, Hamas чи ФСБ “гарними”?

Як і всі нормальні люди, захисники міркують відповідно до своїх переконань, але, на жаль, більшість з цих переконань виявляються помилковими. Потреба в способі мислення, який би враховував взаємодію між нападниками та захисниками систем та мереж в кіберпросторі, відчувалася давно. Для адекватного розуміння динаміки кіберконфлікту необхідна теорія, підкріплена історичними даними, яка пояснює їх, а також, що найважливіше, передбачає майбутні події та пропонує ефективні стратегії безпеки в кіберпросторі.

На щастя, існує кандидат на роль такої теорії, про який йтиметься далі. Я впевнений, що більшість із вас не читає академічні книжки по наступальному кіберу, тому я зробив це для вас. Отже, зустрічайте: Cyber Persistence Theory або (у моєму вільному перекладі бігуна) теорія кібервитривалості.

Формулювання теорії

Теорія кібервитривалості (Cyber Persistence Theory) розглядає стратегічну поведінку в кіберпросторі, стверджуючи, що основна мета полягає в експлуатації, а не примусі суперників. Теорія окреслює стратегічну парадигму, в рамках якої сторони неперервно прагнуть захопити та утримати ініціативи, що сприяють їхнім умовам безпеки, тим самим впливаючи на баланс сил. Ця теорія ставить під сумнів застосування конвенційних примусових стратегій в кіберпросторі, виступаючи за глибше розуміння кіберпростору як окремого середовища стратегічного конфлікту. Ефективність у цій теорії полягає у здатності передбачати та пом’якшувати майбутні кіберзагрози, наголошуючи на потребі в проактивній, а не реактивній стратегії в кіберпросторі.

Інакше кажучи, теорія кібервитривалості стверджує, що ключем до успіху в кіберконфлікті є захоплення та утримання ініціативи. Якщо ви зберігаєте ініціативу, адже саме ви дієте, а ваш противник лише реагує на ваші дії, ви слідуєте виграшній стратегії. Це принцип, який однаково застосовується до нападу та захисту, оскільки ці поняття в кіберпросторі стають менш відмінними та втрачають свою первинну суть. Тепер мають значення лише дія та протидія, акція та реакція.

Суть теорії в нападі та захисті

В контексті атаки, теорія кібервитривалості описується простіше, адже активність нападу інтуїтивно прийнятна для всіх. Ініціативний нападник аналізує кіберпростір противника, виявляє вразливості, експлуатує їх, отримуючи перевагу: чи то шляхом здобуття та використання даних, чи то шляхом створення негативного впливу на системи та мережі противника. Безперечно, зазвичай дії нападника є проявом ініціативи, а дії захисника — лише реакцією на дії нападника. Чим наполегливішим та витривалішим є нападник, тим довше він утримує ініціативу, і тим складніше захисникові її перехопити.

У контексті захисту ситуація трохи нестандартна, але при детальному розгляді все стає вельми простим. Ініціатива захисника виявляється в активному очікуванні дій нападника. Що означає “активне” очікування? Захисник не просто ускладнює завдання нападника, налаштовуючи параметри безпеки своєї інфраструктури відповідно до стандартів та “гарних практик”, оскільки такий підхід був би надто пасивним. Замість цього, захисник неперервно шукає нападника у своїй інфраструктурі. Як саме він це робить? За допомогою даних розвідки про загрози, отриманих від інших захисників та спеціалізованих команд, які експертно відстежують тактики та техніки нападників. (Дієвим методом активізації захисту є припущення, що інфраструктура вже може бути скомпрометована, тоді й працюється жвавіше.)

Практична реалізація в передових країнах

Застосування теорії кібервитривалості поки що не отримало офіційного доктринального визнання у провідних країнах, але вже зараз можна спостерігати ознаки її впровадження та застосування. Наприклад, коли американці або британці вживають терміни з уточненням “forward” (вперед, на випередження), це, швидше за все, вказує на прояв ініціативи відповідно до принципів CPT.

Наприклад, операції Hunt Forward (“полювання на випередження”, йдеться про threat hunting), під час яких кіберсили США або Великої Британії “висаджуються” у мережах своїх союзників для полювання на спільних противників, націлені не лише на захист союзників, а більшою мірою на збільшення та покращення розвідувальних даних щодо наступальних можливостей противників.

Коли зазначені вище кіберсили вживають термін Defend Forward, це вказує на застосування кіберсил у мережах противника, що, по суті, є наступальною або розвідувальною операцією в кіберпросторі. Цікаве питання, чому не називати речі своїми іменами? Це може бути гарною темою для окремого допису в майбутньому. На даному етапі лише зазначу, що серед союзників досі немає консенсусу щодо концепцій на кшталт “відповідальна поведінка в кіберпросторі” або “доцільність та пропорційність кібердій”.

Застосування в Україні

Стратегія України в кіберпросторі, яка до повномасштабного вторгнення була переважно реактивною, кардинально змінилась на початку 2022 року. Вже у середині січня неминучість нападу стала підсвідомо прийнятим консенсусом серед експертів з кібербезпеки, особливо після того, як відбулося “повномасштабне кібервторгнення”, точніше “кібер-СВО” (бо масштабність та ефективність цієї низки заходів досі сумнівна).

Термін Hunt Forward став відомий багатьом саме тоді: коли американська операція такого типу тривалістю в понад місяць відбулася в мережах України. Інформація про її успішність обмежена, але багато хто вважає, що саме ця операція сприяла відносній готовності українських мереж до повномасштабного вторгнення 24 лютого. Адже катастрофічні кіберефекти не відбулися ні тоді, ні пізніше, бо згодом росіяни, здається, зрозуміли, що війна буде довготривалою, та перемкнути свою увагу на операції кіберзбору та інформаційного впливу.

Іншим очевидним проявом мислення згідно з теорією кібервитривалості була міграція ключових українських інформаційних систем у хмарні інфраструктури за кордоном. Такий крок позбавив нападників можливості використати попередній успіх: засоби віддаленого доступу та потенційного втручання, розміщені на рівні інфраструктури (тобто в прошивках обладнання, операційних системах та іншому системному ПЗ). Враховуючи обставини, структурну складність кіберпростору та технологічні особливості кібероперацій, це можна розглядати як ризиковане перехоплення ініціативи, яке виявилося досить успішним.

Хоча і може здатися, що поведінка України в кіберпросторі відображає принципи теорії кібервитривалості, насправді це не зовсім так. Застосування CPT в Україні є нерівномірним і трапляється радше там, де є симбіоз приватного та державного секторів у кіберзахисті інфраструктури країни, або де відбувається залучення міжнародних партнерів.

Рекомендації

Перефразовуючи філософа Гейлена Стросона, теорія кібервитривалості виглядає божевільно, але скоріш за все є правдою. (В оригіналі йдеться про панпсихізм: гіпотезу, що все матеріальне, наскільки б мале воно не було, має елемент індивідуальної свідомості. Оце – справжнє божевілля.)

Використання перевірених теорій є ключем до успіху в осмисленні всесвіту та нашої ролі в ньому. Теорія кібервитривалості досі є предметом жвавого обговорення в науковій спільноті, але кількість її прихильників зростає з кожним днем. На практиці ця теорія надає інструменти для розуміння умов безпеки в кіберпросторі та навчає мислити про них у продуктивний спосіб.

Правильне розуміння та застосування CPT може допомогти державам та організаціям безпечно здійснювати навігацію кіберпростором, знижуючи загрози – відомі та невідомі. Адже неважливо, чи знаєте ви нападника в обличчя, головне, що ви утримуєте ініціативу.

Звісно, в теорії кібервитривалості є ризиковані аспекти, адже надмірна ініціативність теоретично може призвести до неконтрольованої ескалації. Проте приклади країн, які ні в чому себе не обмежують, таких як Північна Корея, Іран та росія, ілюструють низьку ймовірність цих ризиків. Тому чим швидше кібербезпекова спільнота, бізнес-лідери, політики та чиновники приймуть теорію кібервитривалості, тим краще буде для всіх.

Джерела

Microsoft стверджує, що базові принципи кібергігієни є ефективними проти майже усіх кіберзагроз. Це як правило Парето, але на новому рівні, і це не дивує досвідчених фахівців у сфері кібербезпеки. Однак більшість організацій нехтують цим підходом, віддаючи перевагу техно-солюціонізму при виборі стратегій кібербезпеки. Іншими словами, замість того, щоб дотримуватися базових принципів кібергігієни, вони воліють вкладати величезні кошти у вундервафлі нового покоління з використанням штучного інтелекту.

Головні елементи базової кібергігієни на думку MIcrosoft є наступні.

1. Вимагайте багатофакторну аутентифікацію, стійку до фішингу:
   • Увімкніть MFA для запобігання 99,9% атак.
   • Обирайте зручні механізми MFA, такі як біометрія чи FIDO2-сумісні ключі.
   • Використовуйте умовні політики доступу та SSO для зручності користування.
2. Застосуйте принципи Zero Trust:
   • Верифікуйте кожну транзакцію, обмежуйте доступ мінімальним допустимим рівнем, покладайтесь на розвідку загроз, їхнє своєчасне виявлення та блокування.
3. Використовуйте сучасні антивіруси:
   • Впроваджуйте розширене виявлення та автоматичне блокування атак.
   • Автоматизуйте та оркеструйте безпеку для своєчасного виявлення та реагування на загрози.
4. Тримайте системи оновленими:
   • Регулярно оновлюйте програмне забезпечення, операційні системи та системні прошивки.
5. Захищайте дані:
   • Інвентаризуйте та класифікуйте дані, встановлюйте та здійснюйте контроль доступу.
   • Адресуйте внутрішні ризики за допомогою правильних людей, навчання, процесів та інструментів, враховуючи користувацький контекст.

Як ви можете побачити, протягом останніх десяти років нічого кардинально нового не виникло. Рекомендації Microsoft включають лише перевірені методи корпоративної безпеки. Враховуючи їхній широкий огляд подій та інцидентів в корпоративних мережах, я б рекомендував довіряти їхнім настановам. Детальніше про основні принципи корпоративної кібергігієни можна прочитати за цим посиланням.

Нагадую, що про базові правила персональної кібергігієни ви можете прочитати у розділі Як не стати кібержертвою мого вебсайту.

Image credits: Microsoft.