Даже если Соединенные Штаты обладают самым совершенным кибероружием, нападение не заменит дыру в защите. Как отметил адмирал в отставке Макконел, «поскольку мы самая развитая в технологическом отношении страна—нити сетей опутывают все наше общество, — мы более других зависимы от этих нитей, а значит, и более уязвимы». Наша экономика связана с Интернетом больше, чем экономика любой другой страны. Все 18 секторов гражданской инфраструктуры, которые Министерство национальной безопасности назвало критически важными, функционируют в Интернете и уязвимы перед внешними кибератаками. Сравните с Китаем, который развивает не только наступательные, но и оборонительные способности. Кибервоины Народно-освободительной армии Китая обязаны и наступать, и обороняться в киберпространстве, и, в отличие от американских военных, под словом «защита» они понимают не только защиту военных объектов.

Я не являюсь сторонником расширения полномочий Пентагона в сфере защиты гражданских систем США, но следует отметить, что не существует никаких других ведомств или подразделений федеральных властей, которые могли бы взять на себя такую ответственность. В свете воздержания от регулирования, которое началось при Клинтоне, продолжилось при Буше и передалось администрации Обамы, от частного сектора не требовалось укреплять безопасность, да и власти не стремились играть в этом активную роль. В Китае сети, образующие интернет-инфраструктуру страны, целиком контролируются правительством, которое либо напрямую владеет ими, либо состоит в тесном сотрудничестве с частным сектором. Никто не обсуждает «цену», когда китайское правительство требует ввести новые меры безопасности. Сети поделены на крупные сегменты между правительством, научным и коммерческим сообществами. Китайское правительство имеет и власть, и средства, чтобы отсоединить китайское интернет-пространство от всего остального мира, что, скорее всего, и сделает в случае конфликта с Соединенными Штатами. Американское правительство таких полномочий и возможностей не имеет. В США Федеральная комиссия по связи обладает законным правом регулировать, но большинство населения предпочитает, чтобы она этого не делала. В Китае правительство может устанавливать и вводить в действие стандарты, но идет гораздо дальше.

Интернет в Китае больше похож на интранет — внутреннюю сеть компании. Правительство является поставщиком услуг и отвечает за сетевую защиту. В Соединенных Штатах не так. Роль американского правительства не столь существенна. Как я упоминал во второй главе, наиболее обсуждаемое китайское средство интернет-цензуры — Great Firewall — дает стране преимущество в обороне. Технологию, которую китайцы используют для просмотра электронной почты на предмет противозаконных высказываний, можно применять и для выявления вредоносного ПО. Кроме того, Китай инвестировал в развитие собственной операционной системы, которая невосприимчива к возможным сетевым атакам, хотя технические проблемы отсрочили ее ввод в эксплуатацию. Китай начал, а затем временно приостановил попытки установить на все компьютеры страны программное обеспечение, предназначенное якобы для предотвращения детям доступа к порнографическим сайтам. Истинной целью этой акции, по мнению большинства экспертов, было обеспечить китайскому правительству возможность контролировать каждый рабочий стол страны. (Когда слухи просочились в сообщество хакеров, те быстро обнаружили уязвимые места программы, которые позволяют контролировать всю систему, и установку пришлось прекратить.) Эти попытки показывают, как серьезно китайцы воспринимают задачу обороны, а также демонстрируют, на что направлены эти усилия. Китай между тем серьезно отстает от США в автоматизации критических систем. Система энергоснабжения страны, к примеру, во многом управляется вручную, а в кибервойне это преимущество.

Было бы здорово, если бы в определении кибервоенного потенциала важен был лишь один фактор — наша способность нападения на другие государства. Если бы учитывалось только это, Соединенные Штаты действительно выигрывали бы в сравнении с другими странами. К сожалению, для реалистичной оценки кибервоенного потенциала необходимо принимать во внимание два других аспекта: защиту и зависимость. Защита — это способность страны предпринимать меры в условиях нападения извне, меры, которые блокируют или смягчают атаку. Зависимость — это степень интернетизации страны, распространенности сетей и систем, которые могут подвергнуться кибератаке. Чтобы проиллюстрировать, как взаимодействуют эти факторы (нападение, защита и зависимость), я составил таблицу. В ней представлены коэффициенты по каждому из трех факторов. Софисты заявят, что это слишком упрощенный метод: я измеряю по одной шкале все три аспекта, а затем суммирую их, чтобы получить общее количество баллов для конкретной страны. Подсчет очков для каждой страны основан на моих оценках ее наступательных возможностей, оборонительного потенциала и зависимости от компьютерных систем. В этом заключается парадокс: чем меньше уровень интернетизации страны, тем больше баллов у нее в графе «Независимость». Развитая сеть — хороший фактор для страны, но не тогда, когда вы оцениваете ее способность противостоять кибервойне.

Китай превосходит в защите отчасти потому, что имеет возможности отключить страну от всего остального киберпространства. У США, напротив, не ни подобных проектов, ни возможностей, поскольку интернет-соединения находятся в частном владении и управляются в частном порядке. Китай может ограничить использование киберпространства в случае кризиса, отключив второстепенных пользователей. США не могут. Северная Корея получает больше всего баллов по графам «Защита» и «Независимость». Ей проще всего отключить свои немногочисленные сети от киберпространства. Более того, лишь несколько систем этой страны зависят от киберпространства, так что любая крупная кибератака на Северную Корею не нанесет практически никакого вреда. Помните, что киберзависимость — это не процент домов с широкополосным доступом в Интернет или количество смартфонов на душу населения, это степень зависимости критических инфраструктур (электросети, железных дорог, трубопроводов, логистических цепочек) от Сети. Если рассматривать защиту и независимость в совокупности, многие страны значительно опережают Соединенные Штаты. Их способность выжить в кибервойне и обойтись малыми потерями и создает брешь в киберобороне США. Они способны начать кибервойну и причинить нам огромный ущерб и в то же время сами практически не пострадают от ответных действий США в киберпространстве. В силу существования бреши в киберобороне мысль о нападении на США для некоторых стран может оказаться весьма привлекательной. Задача ликвидировать эту брешь должна стать приоритетной для американских кибервоинов. Развивая только наступательные возможности, мы от нее не избавимся. На нынешнем этапе невозможно сократить и нашу зависимость от сетевых систем. Поэтому единственный способ увеличить наш общий кибервоенный потенциал — усовершенствовать защиту. Давайте посмотрим, как это можно сделать.

Военные теоретики и государственные деятели, начиная с Сунь Цзы и заканчивая фон Клаузевицем и Германом Каном, на протяжении столетий определяли и переопределяли военную стратегию по-разному, но, как правило, соглашались в одном—она включает в себя цели, средства (широко трактуемые), ограничения (иногда устанавливаемые) и, возможно, последовательность действий. Короче говоря, военная стратегия — это комплексная теория о том, что мы хотим делать и как. Отчасти по требованию конгресса Соединенных Штатов периодически открыто публиковали Стратегию национальной безопасности и Национальную военную стратегию. Вооруженные силы США имеют множество субстратегий, в числе которых можно упомянуть морскую стратегию, стратегию подавления восстаний, ядерную стратегию. Американское правительство публикует стратегии, которые связаны с военными опосредованно, — это стратегии контроля за нелегальным оборотом наркотиков, борьба с терроризмом и распространением оружия массового поражения. Ах, да, еще есть Национальная стратегия по безопасности киберпространства, появившаяся в 2003 году, но только она недоступна общественности. Поскольку у нас нет стратегии кибервойны, нет у нас и комплексной теории о том, как решать ее важнейшие задачи. Чтобы доказать это, давайте перечислим двадцать вопросов и посмотрим, найдутся ли ответы даже на самые очевидные из них.

— Что мы будем делать, если обнаружим, что в результате кибератаки вся западная часть Соединенных Штатов осталась без электричества?

— Наступление кибервойны для нас выгодно или оно ставит нас в неблагоприятные условия?

— Намерены ли мы использовать кибероружие только в ответ на его применение против нас?

— Будем ли мы прибегать к кибероружию в малых и больших конфликтах? Станем ли мы использовать его на ранних этапах, поскольку оно дает нам исключительные преимущества в достижении наших целей — позволяет, к примеру, быстро завершить конфликт?