Израильская кибервойна. Секреты спецслужб
Современные войны все больше переходят в киберпространство. Самый острый узел киберпротиворечий на сегодняшний день представляет собой Израиль с его инновационными и хорошо финансируемыми технологиями, и активным военно-разведывательным аппаратом. Он является одним из самых передовых игроков в области кибербезопасности и киберзащиты в мире. Геополитическое положение побудило его разработать и использовать свои современные разведывательные и наступательные возможности для поддержки обычных военных операций. Это стремление к безопасности также привело к участию в процессах построения международных норм для киберпространства.
Активное участие Израиля в кибервойнах уже давно не является ни для кого секретом. Не вызывает также сомнений, что именно Израиль стоял за атакой на Иран вирусов Stuxnet, Duku и Flame несколько лет назад. Специалисты в этой области указывают на Израиль или партнерство между Израилем и США.
В крупной кибератаке в мае 2020 г. на иранский порт Бендер-Аббас тоже обвиняли Израиль, который пытался объяснить свои действия якобы использованием Ираном этого порта в военных целях для помощи террористам в других частях Ближнего Востока, включая ХАМАС и «Хизбаллу». Атака привела к обрушению компьютеров, отслеживающих движение судов и грузовиков в порту, расположенном в стратегическом районе Ормузского пролива в Персидском заливе.
Израиль имеет отношение к кибератаке в мае 2020 г. на расположенный в иранском городе Бендер-Аббас (провинция Хормозган) порт Шахид-Раджаи. Такое утверждение содержится в материале, который опубликовала газета The Washington Post, ссылающаяся на источники. Работа порта в тот день была нарушена в связи с тем, что регулирующие судоходство компьютеры неожиданно вышли из строя. На следующий день иранские власти сообщили, что причиной этого была кибератака.
Обратная реакция не заставляет себя ждать. Представители разведки и служб, занимающихся вопросами кибербезопасности, на которых ссылается The Washington Post, полагают, что атака стала ответом на предпринятую в апреле 2020 г. неудачную попытку взломать компьютеры, отвечающие за водораспределительные системы в сельской местности в Израиле.
В 2020 г. группа иранских хакеров Pay2Key, целенаправленно действующих против Израиля, на своем аккаунте в «Твиттер» заявила о взломе компьютеров нескольких компаний, в том числе, ведущего израильского концерна ВПК «Таасия авирит» («Авиационная промышленность Израиля»). Стало известно, что также взломаны серверы «Альта», дочерней компании «Таасия авирит». Взломщики опубликовали личные данные больше тысячи сотрудников компании, включая высокопоставленных представителей отдела по обеспечению кибербезопасности. Pay2Key заявила, что захватила почти 1 терабайт данных, включающих, в частности, массив крупной израильской оборонной компании Elbit.
В декабре 2020 г. серверы и компьютеры страховой компании «Ширбит» подверглись хакерской атаке. В открытый доступ были выложены данные клиентов «Ширбит», включая копии внутренних паспортов («теудат зеут»). Ранее компания выиграла тендер на страхование государственных служащих, в том числе сотрудников силовых структур. Ответственность за эту атаку взяли на себя хакеры международной группы Вlack Shadow.
В 2020 году израильская полиция открыла 8 377 кибер-дел. Часть из них связана с кражей личных данных и фальсификацией документов. При этом всего 350 дел были открыты по самым популярным в мире случаям кражи кредитных карт.
Сейчас в Израиле происходят впечатляющие события. Одновременно идет война и происходит смена власти. Избран новый президент Израиля — Ицхак Герцог. Смену власти производит демократическая партия США. Так как там считают, что Б.Нетаньяху находится под полным контролем бывшего президента США Д.Трампа и республиканской партии. Но все это не меняет главного: Израиль постоянно будет под контролем крепких групп спецслужб. Вновь избранный премьер-министр Израиля Нафтали Беннет — не лезущий за словом в карман правый политик, решительный противник формулы «двух государств» израильтян и палестинцев, бывший спецназовец, миллионер — является одним из них.
Недавно стало известно, что следующим главой Моссада станет Давид Барнеа. Б.Нетаньяху решил публично раскрыть главную миссию нового главы Моссада, заявив, что «первостепенная задача Барнеа — помешать Ирану обзавестись собственным ядерным оружием». Тем самым он бросил вызов администрации президента США Д.Байдена, которая начала пятый раунд переговоров в Вене по возвращению Совместного всеобъемлющего плана действий (СВПД) об ограничении программы Ирана и возвращении США к выполнению условий сделки.
Нетаньяху сделал подобное заявление не просто так. Давид Барнеа вступает в должность главы Моссада в то время, когда Иран близок к тому, чтобы стать «ядерным государством». Военная операция «Страж стен» и израильская агрессия в Газе вынуждают Барнеа активизировать сбор разведывательных данных, чтобы предотвратить растущее влияние ХАМАС и «Исламского джихада» (Запрещен в РФ) в Палестине.
Давид Барнеа приступает к выполнению обязанностей главы Моссада в непростой для Израиля период. В настоящее время американцы готовятся вернуться к ядерному соглашению и отменить санкции против Ирана. Моссад считает это своей первостепенной задачей и готовится сделать все необходимое, чтобы не позволить Ирану обзавестись ядерным оружием и ракетами большой дальности.
Основная проблема заключается в том, что иранская ядерная и ракетная программы продолжают развиваться в том темпе, который необходим иранцам. В результате Иран уже приблизился к тому, чтобы стать «ядерным государством». По некоторым оценкам, ему осталось всего полтора года до создания ядерной бомбы.
Израиль опасается, что ситуация обострится, когда США и Иран вернутся к ядерной сделке, из которой бывший президент США Д. Трамп вышел в 2018 г.
Скорей всего, американцы ограничат деятельность Моссада. Но атаки на ядерные объекты и убийства иранских ученых — операции, проводившиеся Моссадом в прошлом, вполне вероятно, будут проводиться и в будущем.
В такой напряженной обстановке роль кибероружия в борьбе Израиля с Хамасом и Ираном становится одним из главных методов военного и психологического воздействия. Израиль становится мировым полигоном обкатки реальных боевых действий. Поэтому так важно изучить национальную политику кибербезопасности Израиля, сделать обзор его национальной организационной структуры, рассмотреть ключевые стратегические документы, а также изучить основные международные и национальные партнерства.
В конце прошлого года Центром исследований безопасности (Zürich) был опубликован отчет «Национальная кибербезопасность и позиция киберзащиты Израиля». В этом отчете содержится краткий обзор национальной политики кибербезопасности и киберзащиты Израиля, показаны ключевые события, которые повлияли на восприятие Израилем угрозы, и излагается эволюция и сдвиги в политике кибербезопасности и обороны Израиля.
В Израиле принят комплексный подход к политике кибербезопасности, в котором особое внимание уделяется повышению кибернадежности и киберустойчивости. Это делается в тесной координации с национальными и международными, государственными и частными заинтересованными сторонами. Кибербезопасность рассматривается как ключевой потенциал для экономики и инноваций Израиля.
Активная киберзащита и оборонительные операции являются двумя столпами израильской стратегии кибербезопасности 2017 года. Подход Сил обороны Израиля определяется четырьмя доктринальными принципами Бен-Гуриона: сдерживание, решающая победа, раннее предупреждение и союзы.
Стратегическая политика кибербезопасности Израиля возглавляется и координируется на высшем уровне Национальным управлением кибербезопасности Израиля (INCD), которое находится под непосредственным руководством премьер-министра и его офиса. INCD выполняет задачи бывшего Национального управления кибербезопасности (NCSA), имевшего оперативную ориентацию, и более ориентированного на политику Национального управления кибербезопасности Израиля (INCB). На оперативном уровне усилия распределяются по проблемным областям между Моссадом, Шин Бетом, полицией Израиля и INCD. На практике эти агентства демонстрировали различия в основных ценностях и операционных подходах, которые вызвали недоразумения INCD.
Основными органами киберзащиты Сил обороны Израиля (IDF) являются их Подразделение 8200 (для наступательных киберопераций) и Управление C4I (для оборонительных операций и безопасности инфраструктуры). Шин Бет, Моссад, полиция Израиля и министерство юстиции обладают компетенцией киберзащиты. Они сотрудничают и координируются INCD.
Правительство Израиля активно привлекает к партнерству в области киберзащиты академические круги и частный сектор, например, к совершенствованию своих НИОКР. Его крупнейшее партнерство — инновационный парк Cyberspark.
Защита критически важной инфраструктуры (CIP) была основной мотивацией первых усилий Израиля по обеспечению кибербезопасности гражданского населения. Подобные решения сначала были достигнуты на краткосрочной, прагматической и специальной основе. Этот выбор привел к относительной децентрализации системы. Однако за последние пару лет израильское правительство приложило значительные усилия для объединения различных гражданских агентств по кибербезопасности в одну организацию, называемую Израильским национальным управлением кибербезопасности (INCD).
INCD является частью канцелярии премьер-министра Израиля. Только три других агентства — то есть Шин Бет, Моссад и Израильский комитет по атомной энергии — напрямую подчиняются канцелярии премьер-министра (PMO). Это показывает, насколько важным считается INCD для безопасности Израиля. Задача INCD — организовать ландшафт гражданской кибербезопасности. Таким образом, он координирует все аспекты гражданской киберзащиты, начиная от оперативной защиты и заканчивая наращиванием технологического потенциала и политическими предложениями. INCD сочетает в себе задачи бывшего Национального управления кибербезопасности (NCSA), имевшего оперативную ориентацию, и более ориентированного на политику Национального кибербюро Израиля (INCB). Некоторые задачи гражданской кибербезопасности остаются за пределами компетенции INCD, например, те функции, которые требуют участия и возможностей израильской полиции или разведывательных служб.
Наблюдается явная тенденция к централизации ранее децентрализованного ландшафта гражданской кибербезопасности. Гражданская кибербезопасность дополняется военной киберзащитой, которая находится под эгидой Сил обороны Израиля (ЦАХАЛ). Подразделение 8200 ЦАХАЛа отвечает за наступательные задачи, в то время как Управление C4I сосредоточено на оборонительных мерах. Тем не менее организационное руководство может смещаться. В мирное время INCD отвечает за гражданские кампании национальной обороны, в то время как ЦАХАЛ возглавляет наступательные и оборонительные кампании на национальном уровне в чрезвычайных ситуациях или во время войны.
Ключевые национальные тенденции
Израиль — региональная держава с процветающей экономикой, которая с момента своего образования сталкивается с серьезными угрозами своей национальной безопасности. В последние десятилетия он демонстрирует готовность проецировать силу посредством военных операций и вмешательства в соседние войны. Сегодня Израиль считает себя одним из пяти самых могущественных государств с точки зрения киберпространства. Это восприятие опирается на два столпа: (1) сильные и активные военные и надежные разведывательные службы, а также (2) инновационный гражданский сектор.
Что касается первого, то IDF использует свои кибер-возможности для сложных кибератак (например, Stuxnet,2017) или шпионских кампаний (например, Flame и Duqu, 2011–2012). Между тем, внутреннее разведывательное сообщество (Шин Бет и Моссад) интегрирует кибернетику в свой подход к укреплению внутренней безопасности, участвуя в важных процессах обмена информацией с различными правительственными органами. Разведка и наступательные киберспособности также применяются для поддержки обычного военного сектора. Этот проактивный подход к защите Государства Израиль и его суверенитета прослеживается на протяжении всей военной истории Израиля и изложен в его текущей стратегии обороны ЦАХАЛа.
В рамках давнего стратегического партнерства этих стран с США, Израиль поддерживает тесные связи с американскими агентствами по киберзащите. Однако несмотря на то, что Израиль считается основным стратегическим партнером НАТО, имеет хорошие отношения с Россией, укрепляет связи с Индией и в прошлом имел военное сотрудничество с Великобританией и Францией во время Суэцкого кризиса, у него нет официальных союзников с серьезными обязательствами. В результате Израиль стремится создать мощный военный потенциал для сдерживания своих противников. Вдобавок к этому и обязательная военная служба, и стремление ЦАХАЛа к технологическому превосходству сыграли важную роль в формировании развития киберпотенциалов Израиля. Что касается последнего, то в гражданский киберпотенциал были вложены значительные инвестиции.
Несмотря на то, что экономика Израиля сталкивается с различными трудностями, в глобальном масштабе она по-прежнему занимает 31-е место по уровню ВВП на душу населения (2019). Он тратит от 6% до 8% своего ВВП на оборону (2015), также занимает первое место в мире по внутренним расходам на исследования и разработки по отношению к ВВП, тратя более 4,5% ВВП на них (2019). Этот акцент на исследованиях и разработках, а также стимулирующая роль технических подразделений ЦАХАЛа (например, Подразделение 8200), обеспечивает благоприятную среду для процветания стартапов в секторе высоких технологий.
На долю 420 израильских компаний, занимающихся кибербезопасностью, приходится примерно 20% мировых инвестиций в кибербезопасность (815 млн долларов США), экспорт которых составляет 3,8 млрд долларов США (2018), или 8% мирового рынка решений для кибербезопасности (2017).
Что касается международных усилий, Израиль был членом пятой Группы правительственных экспертов Организации Объединенных Наций (ГПЭ ООН) в области информации и телекоммуникаций, и Женевского диалога об ответственном поведении в киберпространстве, и тем самым участвовал в установлении норм приемлемого поведения в киберпространстве. Израиль также подписал Конвенцию Совета Европы о киберпреступности (2019) и установил двусторонние отношения сотрудничества (например, с США, (2016), Болгарией (2018) и Австралией (2017)).
Возможно, это удивительно, но у государства с такой надежной национальной оборонной политикой нет официальной стратегии национальной безопасности (2018). Фактически, руководство Израиля избегает публикации каких-либо декларативных документов. Действительно, прошлые попытки сформулировать стратегию национальной безопасности не увенчались успехом из-за значительных политических и бюрократических препятствий. Вместо того чтобы полагаться на формализованные процессы планирования, усилия Израиля по обеспечению безопасности чаще осуществляются на разовой основе. Наиболее важные стратегии и программные документы описаны ниже.
Доктринальные принципы Израиля Д.Бен-Гуриона 1953 года
Несмотря на то, что основные доктринальные принципы политики безопасности Израиля не формализованы в официальных публикациях, они хорошо известны. В прошлом премьер-министр Давид Бен-Гурион представил их в своем докладе Кабинету министров от 18 октября 1953 г. С тех пор израильский политический и оборонный истеблишмент динамично адаптировал эти принципы.
Эта великая стратегия — Tfisat HaBitachon — была задумана более 65 лет назад в другом контексте безопасности: молодая нация была измучена израильско-арабской войной и находилась под угрозой вторжения со стороны своих арабских соседей. Тем не менее, эти доктринальные принципы ближе всего к формальной стратегии национальной безопасности. Эти принципы и призыв Бен-Гуриона 1948 г. к Израилю поддерживать «последовательную и эффективную готовность к обороне в любое время» даже после окончания боевых действий по-прежнему актуальны для сегодняшних стратегий кибербезопасности и киберзащиты.
Обобщая эти принципы, Бен-Гурион приказал израильским военным приложить свои усилия к:
1. Защите государства, его жителей, инфраструктуры и интересов.
2. Сдерживанию потенциальных атак.
3. Формированию союзов с великими державами.
4. Развитию сложных средств раннего предупреждения, чтобы компенсировать отсутствие у Израиля стратегической глубины.
5. Достижению технологического превосходства и качественного преимущества, чтобы компенсировать нехватку критических ресурсов у Израиля.
6. Обеспечению быстрой и решительной победы в случае противостояния.
Стратегия Эйзенкота 2015 года
В 2015 г. ЦАХАЛ под руководством бывшего начальника Генштаба Гади Эйзенкота опубликовал «первая доктрина общественной защиты», которая включала, среди прочего, свой взгляд на использование кибервозможностей. В частности, эта стратегия признает развитие киберпотенциала противником, а также киберсферы как одну из четырех соответствующих областей обороны Израиля (наряду с сушей, морем и воздухом). Стратегия также рассматривает киберпотенциал как интегрированную поддержку обычной обороны и наступления на всех уровнях боя (т. е. стратегическом, оперативном и тактическом). ЦАХАЛ считает военную киберзащиту и наступление жизненно важными для обеспечения: функционирования государства и институтов ЦАХАЛа, использования разведывательных данных, коллективной защиты, операций влияния и достижения легитимности, а также правовых ответных мер. Наконец, эта стратегия подчеркивает стратегическое и тактическое сдерживание посредством кибервойны.
Национальная стратегия кибербезопасности Израиля 2017 года
До 2017 г. Израиль никогда не формулировал всеобъемлющую официальную национальную стратегию кибербезопасности. Эта стратегия INCD является первым официальным документом по национальной безопасности Израиля после декларации Бен-Гуриона 1953 года о стратегических принципах. Этот краткий документ описывает приоритеты INCD. Помимо общих целей — например, защитить экономическую и социальную мощь Израиля — она не имеет большого отношения к стратегии ЦАХАЛа Эйзенкота 2015 года. В частности, в ней описывается, как Израиль планирует улучшить свою киберустойчивость, системную устойчивость, гражданскую национальную киберзащиту, а также излагается создание и задачи NCSA. Наконец, она также касается наращивания потенциала и международного сотрудничества.
Национальная стратегия кибербезопасности: сферы, задачи и приоритеты
Национальная стратегия кибербезопасности (2017) — первая всеобъемлющая официальная киберстратегия Израиля. Он включает как прямые действия государства по противодействию киберрискам, так и косвенные усилия, направленные на поддержку и сотрудничество с частным сектором.
Эта всеобъемлющая стратегия знаменует собой отход от ранее принятых политических решений, которые были сосредоточены на решении насущных проблем, а не на видении более широкой картины.
Концепция операций
Первая часть Национальной стратегии кибербезопасности относится к гражданской деятельности по киберзащите и состоит из трех уровней:
1. Повышение «совокупной киберустойчивости» к повседневным угрозам. Это позволяет превентивно снижать риски. Как указано в Постановлении Правительства № 2443 2015 г., государство продвигает усилия по обеспечению безопасности, предпринимаемые частным сектором, например, создавая стимулы, правила, внедряя передовую практику. Правила в основном применяются в отношении предложения киберпродуктов и услуг; INCD устанавливает обязательные стандарты для основных секторов и критической инфраструктуры. Что касается спроса, оно спонсирует повышение осведомленности и продвижение знаний в частном секторе.
2. Развитие «системной киберустойчивости», главным образом, за счет улучшения межправительственного и международного сотрудничества, а также реагирования на инциденты. Системная киберустойчивость зависит от событий и является реактивной, независимо от конкретных событий. Общие усилия заключаются в сборе и обмене разведывательной информацией секторальными центрами, создании механизмов раннего предупреждения, возможностей реагирования на инциденты и центров обработки вызовов. CERT-IL (Израильская группа реагирования на компьютерные чрезвычайные ситуации) координирует системные усилия по обеспечению киберустойчивости путем сотрудничества с частным сектором через отраслевые киберцентры, а также путем прямой поддержки компаний, подверженных риску, а также сотрудничества на местном и глобальном уровнях.
3. Усиление гражданской «национальной киберзащиты» для смягчения наиболее серьезных киберугроз национальной безопасности. Третий уровень основан на двух предыдущих уровнях и включает не только защитные меры (например, защитные операции CERT-IL и оценку ситуации), но также активную киберзащиту и наступательные действия органов национальной безопасности и правоохранительных органов для противодействия как государственным, так и негосударственным организациям для достижения сдерживания агрессии.
Первый уровень — это проблема, которую организациям необходимо решить самостоятельно без существенной помощи со стороны государства. И чем выше становится уровень угрозы, тем больше ответственность передается от частного сектора к правительству. Третий уровень — исключительная задача государственных органов.
Во второй части Национальной стратегии кибербезопасности описываются образовательные и производственные усилия по наращиванию потенциала, которые закладывают основу для киберопераций. В ней описываются планы по улучшению национальной киберэкосистемы: стимулирование государственных производств и коммерческих НИОКР, академических исследований и образования от первого класса до университета, а также поддержка разработки перспективных технологий двойного назначения, которые могут использоваться государством.
В третьей части подробно описываются конфигурация и полномочия INCD, которое контролирует реализацию концепций, изложенных в первых двух частях, и объединяет ответственные учреждения для всех трех уровней (т.е. надежности, устойчивости и защиты). INCD также отвечает за международную координацию и формулирование правовых рамок для киберпроблем. Оно также координирует национальные усилия по киберзащите с военными и службами безопасности. Между тем ЦАХАЛ объединяет наступательные и оборонительные кампании в случае возникновения чрезвычайной ситуации.
***
Общедоступного плана реализации Национальной стратегии кибербезопасности 2017 года нет. Однако различные проекты INCD, конкретизируют некоторые его аспекты. Сюда входят такие проекты, как «Высокий замок», «Хрустальный шар», «Витрина» и «Кибернет +». Они направлены на повышение способности Израиля обнаруживать и предотвращать киберинциденты, улучшать координацию и разведку, повышать готовность и управление рисками, а также способствовать обмену данными и процессами распределения между учреждениями.
«Высокий замок», например, является платформой для государственных и частных заинтересованных сторон, позволяющей улучшить возможности обнаружения, расследования и блокировки. «Хрустальный шар» сочетает в себе различные инструменты сбора информации об угрозах, уточняет результаты исследования. «Высокий замок» создает единую проекцию угроз для улучшения возможностей анализа ситуации для разведывательных служб и гражданских заинтересованных сторон. «Витрина» оценивает подверженность рискам и степень готовности критически важной инфраструктуры. Наконец, «CyberNet +» — это платформа обмена информацией о государственно-частном партнерстве, которая позволяет анонимно сообщать об угрозах. Эти проекты не представляют собой комплексную стратегию, но предназначены для решения некоторых из наиболее острых проблем кибербезопасности, с которыми сталкивается Израиль.
Национальная стратегия киберзащиты
Несмотря на то, что ЦАХАЛ считается одной из наиболее «способных в киберпространстве» армий, у Израиля нет специальной и публичной стратегии киберзащиты. Однако в (гражданской) Национальной стратегии кибербезопасности от 2017 г. излагаются оборонительные и наступательные возможности ЦАХАЛа. Он также выступает за гибкое руководство и контроль между IDF и INCD.
Несмотря на отсутствие плана реализации, известно, что стратегические цели реализуются как минимум двумя организациями, а именно C4I Directorate (для киберзащиты) и Unit 8200 (для киберпреступлений). Стратегия IDF 2015 года не рассматривает киберзащиту, но в ней говорится, что кибернетика выполняет вспомогательную функцию для операций IDF.
Кроме того, IDF применяет как минимум четыре доктринальных принципа Бен-Гуриона в своей стратегии киберзащиты:
1. В киберпространстве довольно сложно добиться сдерживания. Для реализации плана Бен-Гуриона по удержанию врагов Израиля от нападения Ури Тор (2017) ввел концепцию «кумулятивного сдерживания». Согласно этому подходу, который широко применяется в обычных подразделениях ЦАХАЛ, сдерживание необходимо «подпитывать» спорадическими вспышками насилия в ответ на агрессию. Армия обороны Израиля создала прецедент, когда в режиме реального времени отреагировала на кибератаку, взорвав кибер-штаб-квартиру ХАМАС, тем самым предоставив «возможность увидеть будущее войны» (2019).
2. Решающая победа принесла ограниченный успех. Несмотря на то, что израильское Подразделение 8200 проводило различные изощренные кибератаки, ни одна из них сама по себе не добилась решающей победы. Вместо этого они поддерживают сбор разведданных (например, с помощью «Flame») или саботаж (например, с помощью «Stuxnet»).
3. Раннее предупреждение оказалось успешным с помощью средств киберпространства. Действительно, Подразделение 8200 обеспечило несколько ранних предупреждений, которые помогли предотвратить внутренние террористические атаки и предсказать иностранную агрессию. Остаются некоторые сомнения относительно возможностей обнаружения и предупреждения изощренных кибератак.
4. Альянсы не обсуждаются в общедоступных документах. Однако предполагается, что между IDF и кибер-агентствами США налажено определенное международное сотрудничество, особенно во время разработки «Stuxnet».
Ключевые принципы киберполитики
Концепция кибербезопасности в Израиле становится все более целостной с момента введения режима кибербезопасности в 1998 году. Как и в других развитых странах, в начале 2000-х гг. первоначальный акцент в области гражданской кибербезопасности сместился с CIP на техническое превосходство (2011). В 2015 году упор был сделан на реорганизацию задач разведывательного сообщества и гражданского сектора и создание правовой базы. Постановления правительства от 2017 г. были самыми последними усилиями по централизации и сокращению избыточности, тем самым создав прочную и устойчивую киберэкосистему. В экосистеме правительство приложило значительные усилия для координации правительственных, военных и частных заинтересованных сторон. Однако, несмотря на институциональное разделение военной и гражданской кибербезопасности и киберзащиты, задачи и информация часто неофициально распределяются между организациями и агентствами.
В стратегии Израиля выделяются два момента. Во-первых, военные развивают свои возможности киберзащиты и разведки в ответ на явно упомянутых врагов (Иран, Ливан, Хезболла, Хамас, Сирия, ИГИЛ, Палестинский исламский джихад и т. Д.) Немногие государства формируют свою киберзащиту, чтобы противостоять конкретно идентифицированным субъектам угроз. Чтобы противостоять таким угрозам, национальные агентства получают значительное финансирование, тесно сотрудничают и обмениваются информацией. Это возможно несмотря на то, а может быть, потому что официальная стратегия киберзащиты не была опубликована.
Во-вторых, гражданская стратегия кибербезопасности активно вовлекает и поддерживает частный сектор в использовании его опыта, одновременно укрепляя расширяющуюся израильскую высокотехнологичную промышленность. Инвестиции в кибербезопасность рассматриваются как потенциал для экономики и инноваций Израиля, как описал бывших премьер-министр Нетаньяху: «Я думаю, что кибербезопасность растет благодаря сотрудничеству, а кибербезопасность как бизнес огромна. […] Мы потратили огромные средства на нашу военную разведку, а также на Моссад и Шин Бет. Огромную сумму. Огромная часть этого […] уходит на кибербезопасность. […] Мы думаем, что бесконечные поиски безопасности открывают огромные возможности для бизнеса»( 2018).
Эти инвестиции способствуют накоплению опыта и знаний, которые укрепляют статус Израиля как технологически ориентированной «нации стартапов». Обратной стороной является то, что распространение опыта в частном и государственном секторах требует большей координации для эффективного вклада в национальную безопасность. Создание INCD является наиболее значительным шагом на пути к совершенствованию экспертных знаний, стабильной правовой базе, централизации полномочий и четких способов коммуникации. INCD, координируя действия с различными участниками, использует опыт как государственного, так и частного сектора для стабилизации и защиты израильского киберпространства.
Текущие общественные структуры кибербезопасности и инициативы
Сотрудничество и направление политики между IDF, INCD, Шин Бет и другими правительственными министерствами часто засекречены. Поскольку новый кибер-закон все еще находится на рассмотрении, официальных направлений политики и сотрудничества нет. Однако отсутствие официальной политики позволяет участникам сотрудничать с определенной степенью гибкости. Например, если CERT-IL обрабатывает случай, когда компьютер представляет угрозу для большего числа сетей, он обычно полагается на сотрудничество компании. Однако, если последняя не будет сотрудничать, CERT-IL может относительно свободно сотрудничать с различными учреждениями — например, полицией Израиля или Шин Бет, для решения проблемы. Эти службы безопасности могут, в частности, использовать свои полномочия, чтобы заставить компанию подчиниться.
Израильское национальное управление кибербезопасности (INCD) составляет ядро гражданской архитектуры кибербезопасности и является результатом слияния NCSA и INCB в 2018 г. Таким образом, оно подчиняется непосредственно канцелярии премьер-министра, давая ему возможность передать вопросы премьер-министру и, таким образом, косвенно подкрепить политическое направление этой должности. Перед ней стоят следующие задачи:
— Планирование стратегической политики для повышения киберустойчивости Израиля к рискам путем поддержки важнейших инфраструктур и введения нормативно-правовых актов.
— Реализация и регулирование национальной киберстратегии на национальном уровне (повышение надежноси, устойчивости и защиты, включая CERT-IL и CIP).
— Содействие международному сотрудничеству, а также разработка правовых рамок для кибер-деятельности (внутри страны и за рубежом).
— Комплексное управление кампаниями национальной обороны (в мирное время).
— Повышение устойчивости сотрудничества с израильской полицией и Министерством юстиции.
— Поддержка Шин Бет, ЦАХАЛ, Моссад, израильской полиции и Министерства юстиции в усилении гражданской киберзащиты.
Несмотря на то, что на бумаге INCD является центральным и наиболее влиятельным агентством, его сотрудничество с другими агентствами часто затруднено. Что наиболее важно, основные ценности и операционные подходы между Шин Бет и INCD существенно различаются, что приводит к многомесячным войнам за власть, особенно в отношении CIP. Кроме того, хотя разведывательное сообщество фокусируется на защите безопасности Израиля от внутренних угроз с помощью важных технических возможностей, оно часто рассматривает конфиденциальность и законность как второстепенные вопросы. Однако INCD стремится координировать такие усилия в более широком национальном контексте и указывает на необходимость законности. Для INCD опора на технический опыт других агентств (в первую очередь, Шин Бет, Моссада и Подразделения 8200) может оказаться палкой о двух концах. С одной стороны, вовлекая эти агентства в выполнение своих задач, INCD может перераспределить ресурсы на другие приоритеты, помимо развития технических знаний внутри компании. С другой стороны, он подвержен внешнему влиянию, особенно со стороны Шин Бет.
Ожидается рост бюджета и количества сотрудников INCD. В 2019 г. бюджет оценивался в размере от 32 до 64 млн долларов США, что удвоило бюджет 2017 г. Также прогнозировалось, что штат сотрудников вырастет с 220 в 2017 г. до 250 человек в 2019 г. Наиболее сложной проблемой, с которой столкнется INCD в будущем, является нечеткая правовая база — в настоящее время она пересматривается, но находится в тупике в законодательной сфере. В настоящем виде INCD позволяет премьер-министру заказывать исчерпывающее расследование и наблюдение за кем угодно — даже политическими противниками — практически без надзорных механизмов.
Шин Бет и Моссад действуют бок о бок с израильскими правоохранительными органами и гражданскими службами кибербезопасности. Они обмениваются опытом и информацией, но остаются отделенными от INCD в силу своего мандата в качестве разведывательных служб. Вот почему нет общедоступной информации об их задачах, действиях, оперативных возможностях и сотрудничествt с другими агентствами, связанными с кибербезопасностью.
Шин Бет также участвует в киберзащите, но с другими обязанностями, нежели ЦАХАЛ. Он участвует в защите критически важной инфраструктуры связи. Его задача киберзащиты является относительно всеобъемлющей, примером чего может служить взлом Ираном (предположительно) мобильного телефона теперь уже альтернативного премьер-министра Бенни Ганца в 2018 г. Сообщество безопасности было обеспокоено тем, что Иран вмешается в выборы 2019 г. В обязанности Шин Бет входило снижение этого риска.
Полиция Израиля. Приблизительно 20 человек работают в отделе киберпреступности — LAHAV 433 — полиции Израиля, это самый слабый субъект израильского сообщества безопасности. Не оказывает существенного влияния на разработку политики.
Национальные структуры и инициативы по киберзащите: организация, полномочия, правовые аспекты и операционные возможности
Различные учреждения помогают создать надежную киберзащиту (третий уровень израильской стратегии кибербезопасности), многие из которых имеют перекрывающиеся области ответственности. Среди основных можно выделить Подразделение 8200 ЦАХАЛа и управление C4I, Шин Бет, INCD и Моссад, а также — в меньшей степени — израильскую полицию и Министерство юстиции. Два подразделения ЦАХАЛа, упомянутые первыми, являются наиболее важными для киберзащиты Израиля и будут рассмотрены более подробно.
Подразделение 8200 — также известное как центральное подразделение сбора разведывательных данных или израильское национальное подразделение SIGINT (ISNU) — охватывает наступательный спектр военного использования кибервозможностей. Он подчиняется Управлению военной разведки (АМАN).
После того, как «Пламя» стало достоянием гласности в 2012 г., ЦАХАЛ признал, что Подразделение 8200 проводит наступательные кибероперации . Помимо «Пламени», Подразделение 8200 якобы разработал «Duqu» (2012), а также «Stuxnet» в сотрудничестве с Агентством национальной безопасности США. Эти операции выявили аспекты его мандата: саботаж промышленных объектов, шпионаж и поддержка традиционных вооруженных сил.
Подразделение придает большое значение оперативной гибкости: его правовые ограничения относительно слабые, его организационная культура допускает или поощряет беспрецедентные наступательные действия, и он оперирует значительными финансовыми ресурсами. У него относительно сильные оперативные возможности, а также тесные связи со своим американским коллегой АНБ. Разведка, не входящая в состав IDF (Моссад и Шин Бет), сотрудничает с Подразделением 8200. В Израиле, по оценкам, 90% всех разведывательных материалов собираются Подразделением 8200, что приводит к участию во всех основных операциях Моссада.
Солдаты присоединяются к Подразделению в 18 лет и покидают его через четыре года, создавая проблемы для обучения новобранцев и ежегодно заменяя 20% личного состава. По оценкам, к Подразделению 8200 приписано 5000 солдат (2016).
Кроме того, стоит объяснить влияние Подразделения 8200 на технологическую отрасль Израиля. Перед тем, как поступить в подразделение в возрасте 17 лет, перспективные ученики отбираются на основе их аналитических способностей. Они служат четыре года, начиная с 18-летнего возраста. В течение этого времени на них возлагается высокая ответственность, от них требуют проявления творческого подхода. По некоторым данным, эта культура повышает шансы выпускников Подразделения 8200 запускать успешные стартапы или преуспевать в солидных компаниях. Благодаря обязательному резерву до достижения 50-летнего возраста, IDF может рассчитывать на хорошо связанных и опытных технических экспертов, которые в случае необходимости будут в ее распоряжении.
Задача Управления C4I — также известного как Корпус C4I или Корпус телепроцессов — заключается в защите инфраструктуры связи и систем телепроцессов ЦАХАЛа.
Организационно Управление C4I подчиняется Управлению компьютерных услуг (также известному как Atak). В последнее время подход C4I к киберзащите сместился в сторону «активной защиты», которая предполагает возможность сдерживающих и упреждающих атак. Это развитие соответствует доктринальным принципам государственной обороны Бен-Гуриона 1953 года, особенно призыву к быстрой и решительной победе, сдерживанию, качественному превосходству и высочайшим возможностям раннего предупреждения. Управление C4I создало центр, который объединяет как компьютерное подразделение, так и силы военной разведки. Однако он сталкивается с финансовыми ограничениями, что привело к сокращению его руководства с четырех до трех бригадных генералов.
Ключевая общественная организационная структура
Одним из основных преимуществ израильской организационной структуры является то, что она становится тесной и хорошо связанной экосистемой кибербезопасности, где может происходить быстрый, эффективный и неформальный обмен информацией. Действительно, поскольку большинство киберэкспертов начинают свою карьеру в качестве солдат в Подразделении 8200, они, как правило, поддерживают социальную сеть, которая создает прочные связи между частным и государственным сектором, военными и разведывательным сообществом.
В более общем плане структуры кибербезопасности и киберзащиты Израиля становятся все более централизованными в рамках IDF и INCD. Такая централизация дает определенные преимущества: консолидация опыта и улучшенный обмен информацией. Однако консолидация власти в канцелярии премьер-министра в сочетании с общественным признанием нарушения конфиденциальности в обмен на усиление общей безопасности, а также разделение Кнессета может привести к злоупотреблениям политической и кибервластью, антидемократическим действиям и нарушениям прав человека. (например, этнически дискриминационное наблюдение исключительно за палестинскими гражданами или политическими противниками). Текущий законопроект о киберзащите и национальном киберуправлении является хорошим примером тенденций отсутствия системы сдержек и противовесов. Согласно указанному проекту, INCD будет разрешено конфисковsdать оборудование, связанное с кибератакой, даже без постановления суда. Также он может отслеживать весь интернет-трафик.
Кроме того, центральное положение INCD в канцелярии премьер-министра следует рассматривать в контексте исторически и технически мощных, конкурентоспособных разведывательных служб. Соответственно, можно наблюдать три тенденции.
Во-первых, INCD призвано решить проблему межведомственной борьбы. Действительно, объединяя технический опыт — через CERT-IL, а также будучи стратегическим лидером в разработке структуры кибербезопасности Израиля, INCD должно стать неоспоримым кибер-авторитетом в Израиле. Тем не менее, возникают опасения по поводу влияния других организаций, особенно Шин Бет.
Во-вторых, INCD соответствует пониманию комплексного характера киберпроблем в министерствах. Размещая его в канцелярии премьер-министра, он не входит в состав одного конкретного министерства и, таким образом, генерирует опыт, ответственность и полномочия для определения повестки дня по кибервопросам только для этого министерства.
В-третьих, позиция INCD также указывает на высокую степень приоритетности кибербезопасности и киберзащиты. Для правительства Израиля борьба с киберугрозами является одним из важнейших приоритетов национальной политики и безопасности — как для военной, так и для гражданской стороны.
В 2015 г. тогдашний начальник штаба Гади Эйзенкот объявил об объединении всех киберэлементов в единое целое — аналогично киберкомандованию США. Несмотря на то, что Эйзенкот выступал за реорганизацию, эти планы были отложены, а существующее организационное разделение между Управлением C4I, спецслужбами и Подразделением 8200 сохраняется (2018). На фоне этих реорганизаций останется одна организационная концепция: ЦАХАЛ будет поддерживать небольшие изолированные киберподразделения, солдаты которых действуют по принципу служебной необходимости, чтобы облегчить выявление утечек.
Еще одна адаптация израильской киберзащиты к нестабильной ситуации на Ближнем Востоке — это ее гибкая организационная адаптируемость при повышении уровня угрозы. В мирное время INCD отвечает за управление национальной киберзащитой. Во время чрезвычайных ситуаций ЦАХАЛ координирует наступательные и защитные киберкампании на национальном уровне. Планы IDF по созданию единого киберкомандования на 2015–2017 гг. показывают, что оно все еще находится в фазе трансформации в отношении киберпроблем.
В частности, киберзащита (Управление C4I) работает в наступательном направлении, но остается отделенной от военной разведки (Подразделение 8200). Споры о концептуализации и организации киберзащиты ЦАХАЛа продолжатся и в будущем. Наиболее актуальными будут вопросы унифицированного киберпотенциала, сотрудничества с гражданскими агентствами и перспективы использования кибервозможностей в военных целях (в поддержку традиционных сил или отдельного подразделения, аналогичного воздушному, наземному и морскому).
Недавняя атака иранских хакеров на систему водоснабжения Израиля побудила оборонный концерн «Рафаэль» сформировать консорциум с ведущими компаниями в разных сферах. Цель такого сотрудничества – защита от грядущих атак, сообщает The Jerusalem Post.
«Израильский киберконсорциум операционных технологий» будет действовать совместно с Национальным кибердиректоратом. Он разработает комплексные технологические решения для защиты от хакеров критически важной инфраструктуры: вода, электроэнергия, транспорт, нефть и газ.
С одной стороны, в консорциум будут входить сами организации, которые управляют такой инфраструктурой. Среди них — ТАШАН, обслуживающая крупные нефтехранилища в Хайфе, и Электрическая компания Израиля («Хеврат Хашмаль»). С другой стороны, к сотрудничеству присоединятся компании из сферы кибербезопаности. Вместе они предложат «проверенное в бою комплексное решение» для крупных организаций.
Оценки финансовых ограничений не имеют информативную ценность, поскольку официально публикуемые данные немногочисленны. Например, бюджет INCD постоянно увеличивается, однако неясно, сколько внешних ресурсов используется в рамках сотрудничества с другими агентствами. Нет данных по бюджету Моссада, Шин Бета, Подразделения 8200 или C4I.
Киберзащита: Партнерские структуры и инициативы
Государственно-частное партнёрство в сфере киберзащиты. Постановление правительства №3611 (2011) предписало INCB (сегодня INCD) «способствовать координации и сотрудничеству между правительственными органами, оборонным сообществом, академическими кругами, промышленными организациями, предприятиями и другими органами, имеющими отношение к киберпространству». Сегодня эти усилия приносят плоды: различные платформы для сотрудничества позволяют распространять знания в разных секторах. Семинар Юваля Неемана Тель-Авивского университета (основан в 2002 г.) и Междисциплинарный центр кибер-исследований имени Блаватника (открыт в 2014 г.) вместе с INCB ознаменовали первое сотрудничество правительства и академических кругов в исследованиях, связанных с киберпространством. Результатом стала платформа для неформального обмена с представителями частного, государственного, академического и военного секторов.
CyberSpark, израильская экосистема кибер-инноваций в Беэр-Шеве является наиболее заметным израильским проектом государственно-частного партнерства в области киберзащиты. Военные (например, Управление C4I и подразделение 8200) и правительство (например, CERT-IL) решили переместить туда важные органы своей киберзащиты. Этот проект привлек и частный сектор. Такие компании, как Oracle, Lockheed Martin, IBM, Dell, Deutsche Telekom и PayPal решили стать частью этой экосистемы. Несмотря на то, что такие экосистемы не являются официальными государственно-частными партнерствами для киберзащиты, они способствуют укреплению сотрудничества. Наконец, платформа для обмена анонимной информацией (CyberNet +) позволяет IDF сотрудничать с частным сектором, получая прибыль и одновременно важную информацию.
Международное партнерство в области киберзащиты
INCB провело «национальные и международные учения по повышению готовности Государства Израиль в киберпространстве» и продвинул «сотрудничество в киберпространстве с параллельными организациями за рубежом» (2011). Публично известны лишь некоторые результаты. Израиль не является союзником НАТО и имеет прочные связи с военными США и кибер-агентствами, в первую очередь с АНБ. В 2016 г. Израиль и США подписали декларацию о киберзащите, в которой описывается функциональная связь в реальном времени для обоих групп реагирования на компьютерные чрезвычайные ситуации. Еще одно партнерство было изложено в меморандуме о взаимопонимании между США и правительством Израиля по вопросам внутренней безопасности (2008).
На конференции Cyber Week в июне 2019 г. директор INCD представило список из 36 стран и 13 организаций и компаний, с которыми Израиль установил международное сотрудничество, но не уточнил, как они сотрудничают.
Программы повышения осведомленности о киберзащите. Постановление № 3611 также поручило бывшему INCB «продвигать и повышать осведомленность общественности об угрозах в киберпространстве и средствах борьбы с ними». Один из подходов к достижению этого заключался в организации и финансировании конференций INCD или Министерством иностранных дел. Примеры включают «Кибер-неделю» или «Кибертех». Их цель — обсудить киберпроблемы и повысить осведомленность о киберугрозах. Другой подход заключался в повышении осведомленности и знаний через частный сектор. Наконец, образовательные программы помогают повысить осведомленность израильского общества.
Образовательные и обучающие программы по киберзащите
Согласно Постановлению правительства № 3611, образование является еще одной обязанностью бывшего INCB (2011). Совместно с Армией обороны Израиля и Министерством образования он разработал различные программы, ориентированные на молодых израильтян. Среди них есть две внешкольные киберпрограммы — Magshimim и Nitzanei Magshimim, которые помогают формировать, выявлять и привлекать молодые таланты. Действительно, 75% студентов, прошедших одно из этих занятий, позже служат в киберразведывательных подразделениях ЦАХАЛа (2018). Третья программа — Gvahim — дополняет гражданское киберобразование, готовя учащихся к вступительному экзамену в среднюю школу по кибербезопасности, информатике и математике.
ЦАХАЛ также разработал два курса для обучения своих киберсолдат. Часть отличников получают диплом инженера, финансируемого Армией обороны Израиля, прежде чем пойти в армию, но должны проработать еще от трех до пяти лет (Табански и Бен Исраэль, 2015, стр. 19). Другой трек — «Тальпиот» — это 40-месячная программа элитной подготовки для выдающихся старшеклассников, проводимая Управлением оборонных исследований и разработок (там же).
После службы солдаты часто успешно попадают в частный сектор высоких технологий и получают дополнительный опыт. Поскольку они являются частью резервных сил ЦАХАЛа до возраста 40–50 лет, армия также получает прибыль от этой части своего учебного процесса.
***
Кибератаки все чаще признаются одной из самых серьезных угроз в мире. Количество преступлений в этой сфере растет в геометрической прогрессии. Всемирный экономический форум 2020 включил кибератаки в топ-10 рисков с точки зрения вероятности и воздействия. Администрация президента США Джо Байдена рассматривает атаки программ-вымогателей как угрозу для национальной безопасности Америки и рассматривает возможность проведения наступательных операций против хакеров из России. Поэтому для России сейчас как никогда важно изучать достижения передовых стран мира в военной области, и прежде всего, в сфере кибербезопасности и киберзащиты.
https://zavtra.ru/blogs/izrail_skaya_kibervojna_sekreti_spetcsluzhb#