Napačna vojna: Vztrajanje pri uporabi metafor hladne vojne za kibernetsko varnost je napačno in kontraproduktivno

Za vsako veliko politično vprašanje običajno obstaja vzporednica, ki jo je mogoče najti v preteklosti. Kot je nekoč rekel Mark Twain, se zgodovina ne ponavlja, ampak se rima.





Težava oblikovalcev politik pa je ugotoviti, katero melodijo točno slišijo. Čeprav je uporaba spoznanj iz preteklosti lahko uporabno analitično orodje, pogosto odkrivamo stare analogije, ki morda niso primerne za nov problem, s katerim se soočamo. Pravzaprav se največkrat obrnemo na pesmi, ki jih najbolje poznamo, na tiste, ki smo si jih prepevali v mladosti, ko so druge morda bolj primerne. Na primer, višji častniki letalskih sil so se med vietnamsko vojno oklepali strateškega bombardiranja, ki je bolj ustrezalo njihovim zgodnjim izkušnjam bombardiranja nacistične Nemčije kot upora tretjega sveta, medtem ko nedavna razprava o Afganistanu vedno znova odmeva v skrbi baby booma o tem, ali vojna 21. stoletja bi bil Obamov Vietnam.



Danes bi ustvarjalci uspešnic v Washingtonu lahko naredili podobno napako, ko gre za kibernetsko varnost, saj poskušajo novo vprašanje zatakniti v napačen zgodovinski okvir. Novi ritmi spletnega kriminala, vohunjenja in vladanja države so neznani. Zato morda ni presenetljivo, da se obračajo na staro vzporednico, na kateri so delali večino svojega poklicnega življenja: hladno vojno.



Hladna vojna, napačna vojna



V političnih krogih se dinamika, grožnje in odzivi kibernetske varnosti vedno znova primerjajo s tehnologijo jedrskega orožja in nasprotjem med ZDA in Sovjetsko zvezo. Nekdanji svetovalec za nacionalno varnost Brent Scowcroft, na primer, opisuje hladno vojno in kibernetsko varnost kot srhljivo podobni, medtem ko je novinar David Ignatius svoja srečanja z najvišjimi uradniki Pentagona povzel v članku iz leta 2010 z naslovom Občutek hladne vojne o kibernetski varnosti.



Tudi podjetje za omrežno varnost McAfee je dovzetno za takšne pogovore. Verjamemo, da vidimo nekaj podobnega kibernetski hladni vojni, pravi podpredsednik McAfeeja Dmitri Alperovitch. Ta odnos je morda dosegel vrhunec s tem, kar naj bi bilo v tajni različici nedavne kibernetske strategije ministrstva za obrambo, ki je napovedala novo doktrino enakovrednosti in trdila, da je škodljivo delovanje znotraj kibernetske domene mogoče soočiti z vzporednim odzivom na drugem področju. Zamenjajte besede konvencionalno in jedrsko za kibernetsko in kinetično in nova doktrina se dejansko izkaže, da je v bistvu stara odvračilna doktrina fleksibilnega odziva iz šestdesetih let prejšnjega stoletja, kjer se lahko konvencionalni napad sreča s konvencionalnim in/ali jedrskim odzivom. Kibernetsko poveljstvo Pentagona in oddelek tretje armade Ljudske osvobodilne vojske Pekinga zdaj zapolnjujeta staro strateško zračno poveljstvo in strateške raketne sile Rdeče armade.



Težava je v tem, da pesem ni enaka in zgodovinska skladnost s hladno vojno pravzaprav ni tako čedna. Kibernetski prostor je umetna domena tehnološke trgovine in komunikacije, ne pa geografska šahovnica konkurenčnih zavezništev. Hladna vojna je bila tekmovanje predvsem med dvema velesilama, s političnim vodstvom in odločanjem, ki sta bila jasno locirana v Washingtonu in Moskvi, vsaka v središču mreže zavezniških pogodb in držav strank ter cone tretjega sveta, za katero sta tekmovali. Nasprotno pa internet ni omrežje vlad, temveč digitalne dejavnosti 2 milijard uporabnikov, ki potujejo po omrežju, ki je v lasti vrste podjetij, večinoma 5039 ponudnikov internetnih storitev, ki se skoraj izključno zanašajo na sporazume o stisku rok za prenos podatkov iz ene strani planeta na drugo, kot pravita Bill Woodcock in Vijay Adhikari v svojem članku Raziskava značilnosti sporazumov o medsebojni povezavi internetnih operaterjev iz Packet Clearing House. Hladna vojna je bila tudi vojna idej med dvema konkurenčnima političnima ideologijama. Večina internetne infrastrukture je v rokah teh ponudnikov internetnih storitev in omrežij operaterjev, prav tako strokovno znanje za zaščito te infrastrukture. Ideje se včasih dotikajo ideologije, segajo pa tudi od vprašanj zasebnosti in človekovih pravic do objav na Twitterju o novi pričeski Justina Bieberja.

razlika med meteorji in asteroidi

Ta odklop gre veliko dlje. Vstopne ovire za pridobitev končnega orožja v hladni vojni, jedrske bombe, so bile precej visoke. Le nekaj držav se je lahko pridružilo atomskemu klubu velesil – in to nikoli v številu, ki bi te drugorazredne jedrske sile naredilo primerljive z ameriškimi in sovjetskimi silami. Za primerjavo, akterji v kibernetskem prostoru se lahko gibljejo od najstnikov, ki iščejo vznemirjenje, preko kriminalnih združb do domoljubnih hekerskih skupnosti, ki jih sponzorira vlada, do več kot 100 nacionalnih držav, ki so ustanovile vojaške in obveščevalne enote za kibernetsko bojevanje.



Vprašanja kibernetske varnosti so bolj forenzika in pripisovanje ter subtilni vpliv kot staromodno odvračanje. Tako je zamisel, da bi se jedrski in kibernetski napadi stare šole izenačili, morda privlačna, vendar na kibernetskem področju morda ne veste, kdo vas je napadel – ali celo kdaj in če ste bili napadeni. Vzemimo črva Stuxnet, ki naj bi bil zasnovan tako, da bi oviral iranski jedrski program. Iranci (kot tudi večina podjetij za kibernetsko varnost) so potrebovali nekaj mesecev, da so spoznali, da so napadeni, in tudi zdaj vir tega napada temelji bolj na forenzičnem sledenju in sklepanju kot na katerem koli očitnem viru, kot je izstrelitev medcelinske balistične rakete. perjanica.



Vendar obstaja ena vzporednica hladne vojne, ki bi lahko veljala. Številne današnje razprave o kibernetski varnosti v Washingtonu spominjajo na bizarne razprave o jedrskem orožju v 40. in 50. letih prejšnjega stoletja, v katerih sta se hrup in histerija svobodno širili, resnične različice dr. Strangelovea so jemali resno in grozljive politične zamisli, kot je Pentomska divizija vojske (ki je bila organizirana za uporabo jedrskega topništva, kot da bi bilo le še eno orožje) je bila dejansko izvedena. Kot je ugotovila nedavna študija Loving the Cyber ​​Bomb, ki so jo izvedli dejanski kibernetični strokovnjaki v Mercatus Center univerze George Mason (v nasprotju s številnimi Cold Warriors, ki so se zdaj preoblikovali v kibernetske strokovnjake), se v Washingtonu dogaja ogromna inflacija groženj. razpravo o nevarnostih na spletu, najpogosteje s strani tistih, ki imajo pri razglašanju groženj politične ali dobičkonosne motive. To je nova različica stare histerije raketne vrzeli.

Pazi na vrzel



Posledica tega temeljnega nesporazuma je, da bi lahko v tisku kibernetski napad nedvomno predstavili kot ogromen oblak gob, ki se razteza nad vsako ameriško mesto (kot je pisalo na naslovnici revije Economist). V Washingtonu bi zlonamerno programsko opremo lahko opisali kot [orožje za množično uničevanje] (sen. Carl Levin, D-Mich.), ki lahko uniči našo družbo (Scowcroft), kar pomeni, da je treba nanjo gledati kot na eksistencialno grožnjo (adm. Mike Mullen, predsednik združenja načelnikov štabov). Toda realnost je, da se celo popoln kibernetski konflikt ne bi primerjal z globalno termonuklearno vojno, ki je resnično grozila, da bo končala življenje na Zemlji. Prav tako še ni bilo uvoda v velikosti Hirošime. Na primer, zelo hvaljeni ruski napad na Estonijo leta 2007 je skrbel za vlado države, ki je videla, da so njena spletna mesta blokirana in uničena, vendar je komaj vplival na vsakdanje življenje večine Estoncev.



V Gruziji so ruski kibernetski napadi leta 2008 za nekaj dni uničili nekaj zunanjih vladnih spletnih mest, vendar so bili to arašidi v primerjavi z dejansko škodo, ki so jo povzročile dejanske ruske rakete in bombe v spremljajoči vojni. Dejansko je že naslednje leto 75-letna ženska lahko s samo lopato presegla celoten ruski aparat za kibernetsko bojevanje. Med lovom za odpadno kovino je pomotoma prerezala kabel in odstranila vse internetne storitve sosednje Armenije. Vendar pa zaradi veliko učinkovitejših fizičnih dejanj tega tako imenovanega spade hekerja ni nastala nobena lokalna ali globalna katastrofa.

flota ladij, ki jih je Španija poslala v invazijo na Anglijo

Podobno se napadi na ZDA in Južno Korejo leta 2009 večkrat navajajo kot primeri tega, kaj lahko državna vlada (v tem primeru se običajno trdi, da je Severna Koreja) stori Združenim državam na tem področju, vendar je bil dejanski rezultat, da spletne strani Nasdaqa, newyorška borza in Washington Post so bili nekaj ur občasno nedostopni. Spletne strani so si opomogle, še pomembneje pa je, da te institucije in tiste, ki so od njih odvisne, niso bile nepopravljivo izgubljene, kot da bi jih zadelo pravo orožje za množično uničevanje.



Težava z inflacijo groženj in napačno uporabljeno zgodovino je v tem, da obstajajo izjemno resna tveganja, a tudi obvladljivi odzivi, od katerih nas odvračajo. Ogromni, hkratni, vseobsegajoči kibernetski napadi na električno omrežje, bančni sistem, prometna omrežja itd. po vzoru prve stavke iz hladne vojne ali tistega, kar je obrambni minister Leon Panetta poimenoval naslednji Pearl Harbor (še en preveč uporabljen in neprimeren analogija) bi gotovo imela velike posledice, a tudi te ostajajo povsem teoretične in narod bi si opomogel. Medtem se resnična nevarnost nacionalne varnosti zanemarja: kombinacija spletnega kriminala in vohunjenja, ki postopoma spodkopava naše finance, naše znanje in podjetniško prednost. Medtem ko bodoči kibernetski hladni bojevniki strmijo v nebo in čakajo, da pade, jim ukradejo denarnice in oropajo pisarne.



kdaj je naslednja faza lune

Približno 7 milijonov Američanov je poročalo, da so lani neposredno trpeli zaradi kibernetičnega kriminala, medtem ko so po podatkih britanske vlade samo v Združenem kraljestvu spletni tatovi, izsiljevalci, goljufi in industrijski vohuni podjetja stali približno 43,5 milijarde dolarjev. Na mednarodni ravni se te številke gibljejo več sto milijard dolarjev, kar močno zavira svetovno gospodarstvo. Počasi zmanjšujejo tudi zaupanje v IT in inovacijsko industrijo, ki je poganjala velik del ameriške gospodarske rasti v zadnjih dveh desetletjih (še toliko bolj pomembno med upadom proizvodnje). Ti kompromisi kritične intelektualne lastnine grozijo, da bodo spodkopali dolgoročne prednosti, ki jih imajo Združene države Amerike v gospodarski trgovini. Vzemite tako imenovane napade nočnega zmaja, ki so zahodnim energetskim podjetjem razkrili korporativne skrivnosti tik preden so se proti Kitajcem potegovali za velika nahajališča nafte. Rezultat: več milijard dolarjev izgubljenih poslov v naslednjih nekaj letih. Takšno vohunjenje je prizadelo celo mala podjetja vse do drobnih pohištvenih podjetij. Problem prizadene tudi nacionalno varnost. Poglejte si kompromis e-poštnih računov ameriških uradnikov s strani hekerjev s sedežem na Kitajskem in diplomatske depeše WikiLeaksa, ki razkrivajo notranje skrivnosti in ogrožajo zunanja zavezništva. Ali pa si oglejte ponavljajočo se prodor podjetja Lockheed Martin Corp., proizvajalca F-35 Joint Strike Fighter – največjega programa orožja v zgodovini Pentagona. Ukradeni so bili terabajti netajnih podatkov, povezanih z zasnovo letala in elektronskimi sistemi. Ti izgubljeni bajti predstavljajo milijarde dolarjev raziskav in razvoja ter več let tehnološke prednosti, zaradi česar je lažje nasprotovati (ali kopirati) naše najnovejše vojaško letalo. In kot znak prihodnjih stvari so pozneje vzeli tudi varnostne žetone, ki so infiltratorjem omogočali prehod kot zaposleni v podjetju.

Piratska koda

Če najprimernejša vzporednica ni hladna vojna, na katere alternative bi se lahko obrnili za napotke, zlasti ko gre za problem izgradnje mednarodnega sodelovanja v tem prostoru? Vzporednice kibernetske varnosti in nekatere njene rešitve so bolj v 40. in 50. letih prejšnjega stoletja kot v 1940-ih in 50-ih.

Podobno kot internet postaja danes, je bilo v preteklih stoletjih morje primarna domena trgovine in komunikacije, nad katero noben akter ni mogel zahtevati popolnega nadzora. Zanimivo je, da so akterji, ki so se takrat nanašali na pomorsko varnost in vojno na morju, vzporedno z mnogimi situacijami na naših današnjih omrežjih. Iz posameznih piratov so prešli na državne flote z globalno prisotnostjo, kot je britanska mornarica. Vmes so bili pirati ali zasebniki, ki jih je odobrila država. Podobno kot današnji domoljubni hekerji (ali pogodbeniki NSA) so bile te sile uporabljene tako za povečanje tradicionalnih vojaških sil kot za dodajanje izzivov pripisovanja tistim, ki so poskušali braniti oddaljena pomorska sredstva. V zlati dobi zasebnikov je napadalec lahko hitro spremenil identiteto in lokacijo, pri čemer je pogosto izkoristil pristanišča tretjih oseb z ohlapnimi lokalnimi zakoni. Ukrepi, ki bi jih lahko storil napadalec, so segali od trgovinskih blokad (podobnih zavrnitvi storitve) do kraje in ugrabitve do dejanskih napadov na vojaško premoženje ali osnovno gospodarsko infrastrukturo z velikim učinkom.

Med vojno leta 1812 je na primer imela ameriška flota zasebnikov več kot 517 ladij – v primerjavi s 23 ladij ameriške mornarice – in čeprav so Britanci osvojili in požgali ameriško glavno mesto, so britanskemu gospodarstvu povzročili tako škodo, da so prisilili pogajanja.

Če obstajajo določene vzporednice, kakšne so potem potencialne lekcije, ki bi jih lahko prilagodili današnjim razmeram, razen da poskušamo hekerje obesiti na roko?

Pomorsko piratstvo je še danes z nami. Vendar je omejena na obale propadlih držav in v razmeroma majhnem obsegu (približno 0,01 odstotka svetovnega ladijskega prometa dejansko prevzamejo sodobni pirati). Privateing, vzporednica z najbolj osupljivimi napadi, ki smo jih videli na kibernetskem področju, ni le izgubila naklonjenost kot vojaška taktika, ampak je že davno postala tabu. Medtem ko je zasebnik morda zmagal v vojni leta 1812 za Združene države, je do leta 1856 42 držav privolilo s Pariško deklaracijo, ki je odpravila zasebništvo, med državljansko vojno pa predsednik Lincoln ni le zavrnil novačenje plenilcev za najem, ampak tudi je konfederate označil za nemoralne, ker so to storili sami. Ne pozabite, da je bilo dve generaciji prej uporaba teh ugrabiteljev temelj ameriške pomorske strategije. Do leta 1860 to ni bilo več nekaj, kar so počele civilizirane vlade.

Način, kako je prišlo do te spremembe, je poučen za današnjo kibernetsko varnost in globalne odnose. Podobno kot morje je tudi kibernetski prostor mogoče obravnavati kot ekosistem akterjev s posebnimi interesi in zmožnostmi. Odgovornost in odgovornost nikakor nista naravni tržni rezultati, lahko pa se ustvarijo spodbude in pravni okviri, ki omogočajo slabo vedenje ali podpirajo večji javni red.

Pri zatiranju piratstva in zasebnikov je bil sprejet dvostranski pristop, ki je presegel samo krepitev obrambe ali grožnjo z množičnim napadom, kot bi to želeli hladni bojevniki. Prvi korak je bil slediti osnovnim trgom in strukturam, ki so dobičke uvedle v prakso in podmazale kolesa slabega vedenja. London je razbil trge za trgovanje s piratskim plenom; piratom prijazna mesta, kot je Port Royal na Jamajki, so bila pod peto, in blokade so bile uvedene na oblastnike, ki so skrivali korsarje južnega Sredozemlja in jugovzhodne Azije. Danes obstajajo sodobni ekvivalenti tem piratskim zatočiščim. Na primer, omrežja le 50 ponudnikov internetnih storitev predstavljajo približno polovico vseh okuženih računalnikov po vsem svetu, kaže študija, pripravljena za Organizacijo za ekonomsko sodelovanje in razvoj. Glede na raziskavo, predstavljeno na majskem simpoziju o varnosti in zasebnosti IEEE, samo tri podjetja obdelajo 95 odstotkov transakcij s kreditnimi karticami za lažna zdravila, ki jih oglašujejo pošiljatelji neželene pošte. Ko je bilo eno posebej škodljivo podjetje za gostovanje – McColo Corp. iz San Joseja v Kaliforniji – umaknjeno, se je obseg neželene pošte po vsem svetu zmanjšal za 70 odstotkov. Brez podpore teh podjetij spletna kriminalna podjetja ne morejo izvajati svojih nezakonitih dejanj, ki ne samo očistijo morja, ampak tudi olajšajo prepoznavanje in obrambo pred resnejšimi napadi na infrastrukturo. In podobno kot nekdanja piratom prijazna pristanišča, so tista podjetja in države, ki kibernetskemu kriminalu dovoljujejo zakonit brezplačen vstop, splošno znana.

To je povezano z drugo strategijo: gradnjo omrežij ali pogodb in norm. Kot pripoveduje Janice Thompson v svoji temeljni študiji Plačanci, pirati in suvereni (Princeton University Press, 1996), so pomorski ugrabitelji (in njihovi kolegi, ki jih je odobrila država) postali marginalizirani, ko so narodi uveljavili večji nadzor nad svojimi mejami in vzpostavili monopol nad nasiljem. V tem obdobju je bil vzpostavljen splet dvostranskih in večstranskih sporazumov, ki so potrdili načela odprte trgovine na odprtem morju. Nekaj ​​teh dokumentov je izrecno odpravilo piratstvo; niti niso bili splošno sprejeti. Vendar so utrli pot do globalnega kodeksa ravnanja, ki je pirate sčasoma spremenil iz sprejetih akterjev v mednarodne parije, ki so jih zasledovale vse velike svetovne sile. Ugotovili so tudi, da bo kakršno koli spoštovanje pomorske suverenosti prišlo šele, ko bo država prevzela odgovornost za napade, ki izvirajo iz njegovih meja.

Današnja kibernetska vzporednica je spet bolj poučna kot poskus ponovitve pogovorov o omejitvi orožja iz hladne vojne, kot je predlagano v nekaj nedavnih poročilih o politiki možganskih trustov. (Vso srečo pri štetju botnetov, kot da so spletna mesta ICBM!) Namesto tega je potrebno postopno ustvarjanje mednarodne agende, ki želi ustvariti standard spletnega vedenja, ki zagotavlja zakonito poslovanje in odgovarja tiste, ki ciljajo na splet. Skupno globalno pričakovanje svobode morja bi moralo biti vzporedno s skupnim globalnim pričakovanjem svobode internetne trgovine. Če zavestno gostite ali podpirate pomorske pirate ali zasebnike, se njihova dejanja odražajo na vas. Enako bi moralo veljati tudi na spletu. Oblikovanje teh norm bo motiviralo tako države kot velika podjetja, da bolje nadzorujejo posamezne hekerje in kriminalce (ekvivalent piratov). Prav tako bo oslabila vrednost zunanjega izvajanja dejavnosti domoljubnim hekerjem in izvajalcem (zasebniki zadnjih dni, ki jih tako pogosto uporabljajo države, kot sta Rusija in Kitajska). Pomagal bo ustvariti bolj jasno mejo med civilnim in vojaškim ravnanjem in cilji, kar je glavna skrb ameriških kibernetskih akterjev.

kje je zdaj prilika rover

Poleg spodbujanja te nove odgovornosti lahko oblikovalci politik izvajajo tudi strategije za krepitev zaupanja, ki bi se lahko resnično izplačale. V zgodnjih 1800-ih sta se na primer kraljeva mornarica in nastajajoča ameriška mornarica nenehno pripravljali na boj drug proti drugemu. Sodelovali pa so tudi v kampanjah proti piratstvu in trgovanju s sužnji. To sodelovanje je pomagalo poudariti globalne norme in zgradilo večje zaupanje med obema silama, kar je pomagalo ublažiti resnično nevarnost dejanskega vojaškega spopada med številnimi krizami. Podobno bodo ZDA in Kitajska zagotovo še naprej krepile našo kibernetsko obrambo in celo prekrške. Vendar to ne bi smelo biti ovira pri poskusu vzpostavitve večjega sodelovanja. Zlasti bi lahko sprožili pobudo, da bi sledili temu, kar Kitajci imenujejo dvojni zločini, tistim dejanjem v kibernetskem prostoru, ki jih obe državi priznavata kot nezakonita.

Temeljna točka tukaj je, da bodo morali oblikovalci politik pri krmarjenju po nastajajočem vprašanju kibernetske varnosti biti bolj premišljeni kot slepo poskušati uporabiti lekcije iz lastne osebne preteklosti. Medtem ko je kibernetska varnost izjemno naraščajoče vprašanje tako gospodarskega kot varnostnega pomena, mučene kibernetske vzporednice hladne vojne v njihovi mladosti niso tako plodne, kot se zdi njihova razširjena uporaba. Pravzaprav so manj uporabni kot manj znana pomorska zgodovina preteklih stoletij.

Toda za te in vse druge zgodovinske vzporednice obstaja meja. S takšnimi metaforami bi morali odpirati nova obzorja in perspektive, ne pa ustvarjati novih ovir. Dejansko, kot je Mark Twain dejal tudi v korektivu svoje ideje, da se zgodovina rima, obstaja le ena samotna stvar v preteklosti, ki si jo je vredno zapomniti, in to je dejstvo, da je preteklost.