В мире, где ландшафт угроз национальной безопасности постоянно меняется, разведывательное сообщество также должно развиваться.
1. Дорожная карта ИТ-развития разведывательного сообщества США указывает путь к будущему, ориентированному на данные
Опубликованный в США в июне 2024 года документ «Видение информационной среды IC: дорожная карта информационных технологий» формулирует насущную необходимость трансформации в IC (разведывательное сообщество), подчеркивая, насколько сильно текущая стратегическая среда отличается от той, что была в сентябре 2001 года.
Сегодня противники варьируются от равных государств до негосударственных субъектов. Эта динамичная среда требует, чтобы инфраструктура информационных технологий не только поспевала за ними, но и обеспечивала стратегическое преимущество.
Дорожная карта ставит высокие и серьезные цели. Она описывает пять ключевых направлений, каждое из которых призвано укрепить, гарантировать, обеспечить, улучшить и ускорить миссию посредством комплексной ИТ-стратегии. Эти направления включают:
— Укрепление миссии с помощью надежной и устойчивой цифровой основы;
— Обеспечение выполнения миссии надежной кибербезопасностью;
— Реализация миссии с помощью современных практик и партнерств;
— Расширение миссии за счет датацентричности;
— Ускорение выполнения миссии с помощью передовых технологий и готовности рабочей силы.
Одним из самых захватывающих аспектов этой дорожной карты является область фокусировки 4: улучшение миссии с помощью датацентричности. В этом разделе подчеркивается важность эффективного управления и безопасного использования данных для ускорения результатов миссии и максимизации ценности разведданных. Особо следует отметить, что в нем подчеркиваются три основные цели:
Реализация сквозного управления данными: для достижения масштабной концентрации на данных ИC должен управлять данными и управлять ими слаженно на каждом этапе жизненного цикла данных. Это подразумневает комплексное планирование управления данными, которое согласует сложные действия по управлению жизненным циклом данных с критически важными архитектурами миссии. Независимо от того, собираете ли вы данные датчиков или видеоматериалы в отдаленном месте или извлекаете информацию из этих данных в изолированном объекте, такие планы увеличат внедрение IC Data Services и прикладной расширенной аналитики и ИИ;
Внедрение архитектуры, ориентированной на данные: оценка данных как стратегического инструмента требует установления общих стандартов данных, моделей, услуг и корпоративных цифровых политик, чтобы все обрабатывали критически важную для миссии информацию согласованным образом, с соответствующей защитой и обменом каждым объектом данных. Это будет способствовать децентрализованной экосистеме данных, обеспечивая бесперебойный обмен данными и способствуя развитию передовых возможностей ИИ/машинного обучения. В конечном итоге эта архитектура оптимизирует обмен данными и сотрудничество внутри ИC и с внешними партнерами;
Переход от конфиденциальных данных к анклавам, ориентированным на данные: конфиденциальные данные в IC часто изолированы, что затрудняет аналитикам доступ к информации и ее использование в разных анклавах. Переходя к анклавам, ориентированным на данные, IC может сломать эти барьеры, позволяя авторизованным пользователям находить и получать доступ к соответствующим данным более эффективно и действенно.
В целом, эта область фокусировки инкапсулирует переход IC от традиционных процессов к подходу, ориентированному на данные.
В отчете подробно говорится: «Своевременное, точное, хорошо информированное понимание является ключом к достижению улучшенных результатов миссии. IC должно:
перейти от парадигмы, ориентированной на организацию и систему, к парадигме, ориентированной на данные;
сохранить организационные равенства, полномочия и права;
внедрить правовые рамки;
обеспечить безопасность».
Центрирование данных меняет всё
Видение датацентричности является преобразующим. Нацеленный на переход IC от парадигмы изолированных хранилищ данных к интегрированной, гибкой и эффективной среде данных, этот переход имеет решающее значение для предоставления аналитикам возможности быстро и точно получать действенные идеи, тем самым улучшая общий процесс разведки. Внедряя архитектуру, центрированную на данных, IC может гарантировать, что данные будут не просто побочным продуктом операций, а основным активом, который управляет принятием решений и операционной эффективностью.
Одним из наиболее важных аспектов этой трансформации является снижение безопасности, ориентированной на данные, до уровня объекта данных с использованием таких технологий, как Trusted Data Format от ODNI и одобренный CCEB Zero Trust Data Format. Таким образом, IC может гарантировать, что данные остаются в безопасности и могут эффективно совместно использоваться на различных платформах и с международными партнерами и союзниками. Этот гранулярный уровень безопасности необходим для поддержания целостности и конфиденциальности конфиденциальной информации, одновременно способствуя взаимодействию и сотрудничеству.
«Видение информационной среды IC: дорожная карта информационных технологий» обеспечивает надежную основу для модернизации ИТ-инфраструктуры IC. Отдавая приоритет датацентричности, IC может раскрыть весь потенциал своих информационных активов, обеспечивая более обоснованное принятие решений и проводя более эффективные операции, что в конечном итоге окажется критически важным для сохранения стратегического преимущества в мире, управляемом данными.
2. Китай усиливает контроль за электронными средствами в целях противодействия шпионажу
С 1 июля 2024 года в Китае введены новые правила в рамках ужесточённого закона о противодействии шпионажу, которые позволяют властям проверять смартфоны, персональные компьютеры и другие электронные устройства, как местных граждан, так и приезжих.
Новые правила, вступившие в силу через год после расширения определения шпионской деятельности в пересмотренном законе, наделяют китайские органы национальной безопасности полномочиями проверять данные, включая электронную почту, фотографии и видео, хранящиеся на электронных устройствах.
Такие проверки могут проводиться без ордеров в экстренных случаях. А если офицеры не могут проверить устройства на месте, им разрешено доставить их в специально отведённые для этого места. Иностранные граждане и компании теперь, вероятно, столкнутся с усиленным контролем со стороны китайских властей.
Усиление мер противодействия шпионажу сейчас активно набирает обороты в Китае. Власти Поднебесной плотно взялись за социальные сети, такие как WeChat, Weibo и Douyin.
В июне 2024 года Министерство государственной безопасности Китая заявило, что новые правила будут нацелены исключительно на «лиц и организации, связанные со шпионскими группами», тогда как обычные пассажиры не будут подвергаться проверкам смартфонов в аэропортах.
3. Разведки всё чаще используют хакерские программы-вымогатели
Связанные с Китаем кампании кибершпионажа все чаще используют программы-вымогатели в качестве заключительного этапа операций, чтобы заработать деньги, отвлечь своих противников или затруднить установление авторства их работы, сообщили 25 июня 2024 года исследователи из SentinelLabs и Recorded Future.
Исторически сложилось так, что группы кибершпионажа, работающие от имени государств, в основном избегали использования программ-вымогателей, но теперь ситуация, похоже, меняется, поскольку поддерживаемые государством хакеры все чаще используют эпидемию программ-вымогателей для сокрытия своих операций.
Кибершпионаж, замаскированный под программы-вымогатели, дает «возможность враждебным странам заявлять о правдоподобном отрицании своей вины, приписывая действия независимым киберпреступникам, а не спонсируемым государством организациям», пишут старший исследователь угроз SentinelLabs Александр Миленкоски и старший исследователь угроз Recorded Future Джулиан-Фердинанд Фёгеле в отчете.
По словам исследователей, ошибочное определение кибершпионажа как киберпреступления, мотивированного исключительно финансовыми соображениями, может также иметь стратегические последствия, особенно в тех случаях, когда предполагаемые атаки программ-вымогателей нацелены на правительство или организации критической инфраструктуры.
Атаки программ-вымогателей обычно блокируют файлы и данные, и злоумышленники делают их доступными только после уплаты выкупа. В других случаях операторы программ-вымогателей никогда не расшифровывают украденные данные, превращая атаку программ-вымогателей в разрушительную атаку. После такой атаки целью становится восстановление работоспособности систем и максимально возможное восстановление зашифрованных данных. Это играет на руку группам кибершпионажа, которые могут маскироваться под операторов деструктивных программ-вымогателей и проводить атаки, уничтожающие артефакты, связанные с вторжением, что затрудняет установление виновности в операциях.
Высокопоставленные чиновники США продолжают бить тревогу по поводу того, что, по их словам, является агрессивным позиционированием Китаем кибервозможностей в чувствительных гражданских сетях США, которые обычно не имеют очевидной шпионской ценности. По словам официальных лиц, эта деятельность, публично отслеживаемая как «Тайфун Вольт», призвана повлиять на принятие решений США в случае конфликта.
Использование программ-вымогателей в кибероперациях, связанных с Китаем, не является беспрецедентным. Исследователи Mandiant ранее подробно описали деятельность, отслеживаемую как APT41, которая включает в себя спонсируемую государством шпионскую деятельность, а также «финансово мотивированную деятельность, потенциально выходящую за пределы государственного контроля». Исследователи Secureworks также задокументировали связанную с Китаем деятельность по краже интеллектуальной собственности с использованием программ-вымогателей.
Согласно анализу Mandiant, проведенному в июле 2023 года, программы-вымогатели временно искажают атрибуцию и усиливают психологический аспект конкретной операции.
Программы-вымогатели в рамках государственных операций также могут быть полезны в качестве своего рода дымовой завесы, которая служит различным целям, сказал Бен Карр, директор по безопасности и доверию Halcyon.
«Частично это связано со сбором разведданных, пониманием того, что они могли бы сделать, если бы действительно хотели сделать что-то потенциально гораздо более вредоносное. Как это будет выглядеть?» - сказал Карр. «По сути, это почти варгейминг».
Отчет 25 июня 2024 года также включает анализ отдельного кластера деятельности, связанной с кибершпионажем, с использованием готовых инструментов, нацеленных на производителей США и различные отрасли промышленности в Северной и Южной Америке и Европе. По словам исследователей, атрибуция второго кластера менее ясна, но в некоторой степени перекликается с прошлой деятельностью, связанной с Китаем и Северной Кореей.
4. Наблюдение за наблюдающими
В технологическом приложении The Economist за июль 2024 года под названием «Наблюдение за наблюдающими» рассказывается о том, как поток данных и достижения в области искусственного интеллекта затрагивают каждую отрасль шпионажа, от геопространственных аналитиков, которые должны пробираться через постоянно растущую кучу спутниковых изображений, до разведывательных агентств, которые должны подслушивать в значительной степени зашифрованный мир.
4.1. Инструменты глобального шпионажа изменились
Интернет и подключенные к нему устройства повсюду. Они предлагают множество возможностей для слежки, заманивания в ловушку и тайных операций. Организации, которые следят за Интернетом и действуют в соответствии с ним, часто являются частными фирмами, а не государственными учреждениями.
Более чем 1 миллиарда камер, установленных по всему миру, являются частью растущей как грибы сети технического наблюдения, усложняющей жизнь офицерам разведки и агентам, которых они должны завербовать.
Разведывательные службы тратят свое время на получение чужих секретов, защиту своих собственных секретов и участие в тайной деятельности, от которой другие ветви власти предпочли бы отказаться: наращивание влияния, поддержание тайных контактов с террористическими группами, срыв заговоров или убийство врагов. Технологии являются неотъемлемой частью этого процесса уже более века. По мере того, как мир переходил от курьеров к телеграфу и радио, пишет Майкл Уорнер, бывший историк ЦРУ, разведка стала «механизированной и индустриализированной». Она также стала потребителем самых высоких технологий.
Появление спутников-шпионов обнажило поверхность Земли. Новейшие гаджеты, такие как миниатюрные транзисторы и секретные чернила, полученные из зарождающейся индустрии пластмасс, изменили то, как работает человеческий интеллект.
Что изменилось сегодня в мире разведки? Это то, что цифровые технологии проникли во все уголки жизни. В настоящее время во всем мире насчитывается 8,5 млрд смартфонов, что является частью революции микроэлектроники, в ходе которой стоимость камер, микрофонов, GPS-приемников и других датчиков резко упала. Когда глобальное проникновение интернета выросло с 35% в 2013 году до 67% в 2023 году, эти датчики — в телефонах, компьютерах, автомобилях и телевизорах — были связаны вместе, создавая фабрики интеллекта в каждом кармане, на каждой улице. Алгоритмы и вычислительные мощности, необходимые для того, чтобы разобраться в потоке данных, стали экспоненциально более функциональными и эффективными.
Это изменило то, что волнует шпионов. Перед разведывательными службами стоит задача не только следить за технологиями своих конкурентов (неужели соперник создает большую модель искусственного интеллекта в тайне?), но и определять, как она будет использоваться.
Западные спецслужбы опасаются, что китайское влияние на продукты, подключенные к интернету, от TikTok до роутеров и беспилотных автомобилей, может стать инструментом для сбора данных, политического вмешательства или саботажа в военное время. Агентства радиотехнической разведки были на переднем крае общественных дебатов о том, следует ли запретить китайскому телекоммуникационному гиганту Huawei поставлять ключевые части западной инфраструктуры.
Теперь ты видишь меня
Распространение сквозного шифрования усложнило SIGINT (Signal Intelligence – сигнальная разведка). Рост «вездесущей технической слежки» усложнил сокрытие личностей сотрудников разведки, затруднил для них поездки под псевдонимами и усложнил встречи с агентами. Этот контроль является более мощным, более распространенным и более враждебным: Китай экспортирует технологии слежки по всему миру.
Это не просто тайные игры шпионов против шпионов. Вторжение ХАМАСа в Израиль 7 октября обнажило последствия провала разведки. В мире, где война между великими державами становится все более масштабной, хорошая разведка может помочь обеспечить стабильность. Во время холодной войны НАТО хотела, чтобы Варшавский договор был «приличным или хорошим», отмечает Джон Феррис в своей авторизованной истории GCHQ, британского разведывательного агентства, потому что это помогало сдерживанию.
4.2. Повсеместное техническое наблюдение усложнило шпионаж
Но человеческий интеллект по-прежнему жизненно важен. Перехват может раскрыть военный план, но только агент может сообщить, насколько серьезно он рассматривается. Человеческое общение часто носит невербальный характер и опирается на неявные знания, которые не печатаются, не оформляются в текстовом или письменном виде.
Более того, человеческие и технические операции, как правило, являются симбиотическими. Достижение самых сложных технических целей зависит от агентов. Америка и Израиль, возможно, никогда не смогли бы организовать кибератаку Stuxnet на иранский ядерный объект в 2000-х годах, если бы голландский инженер не внедрил код через USB-накопитель.
Но агентурная работа становится все труднее, дороже и рискованнее. Офицеры разведки утверждают, что всегда будут пробелы в слежке, в которых агенты могут быть завербованы и использованы. И по мере того, как новые технологии еще больше сокращают эти разрывы, многие старые принципы ремесла могут стать вновь важными.
«Давняя практика шпионажа разрушена»
Реальность того, что цифровые технологии усложнили разведчикам возможность спрятаться, стала совершенно очевидной более 20 лет назад. В своей «войне с терроризмом» Агентство национальной безопасности США (АНБ) собирало записи телефонных разговоров в Пакистане, хранило данные на облачных серверах и применяло передовые статистические алгоритмы для выявления людей, которые совершали подозрительные поездки. Кто, например, ездил чаще, чем обычно, в племенные районы страны, часто менял телефоны или сим-карты и часто вынимал батарею из своего телефона? Алгоритмы смогли идентифицировать курьеров «Аль-Каиды»* «с очень низким уровнем ложной тревоги», похвасталось АНБ. Лидеров «Аль-Каиды»* убивали массово. Но те же самые технологии могли быть и были обращены против самих шпионов.
В 2003 году ЦРУ похитило из Милана египетского священнослужителя Абу Омара. Итальянская полиция быстро установила личности оперативников, отслеживая их телефоны. В 2010 году группа из Моссада, израильского шпионского агентства, убила высокопоставленного члена ХАМАСа в Дубае. Они приехали из разных мест, имея разные национальности. Тем не менее, в течение месяца эмиратские чиновники соединили записи с камер, записи поездок и журналы звонков, чтобы разоблачить убийц. «Давняя практика шпионажа была в корне разрушена», — заключает Дуян Норман, бывший заместитель директора Управления технической службы ЦРУ.
Под прикрытием
Есть три основных направления, которые изменились. Сотрудники разведки, путешествующие под вымышленными именами — по сути, с фальшивыми удостоверениями личности — могут быть разоблачены с помощью биометрического пограничного контроля, который выявляет расхождения между физическими характеристиками и именами, связанными с ними. Даже если шпионы придерживаются одного псевдонима для каждой страны, их все равно можно вычислить, поскольку дружественные страны обмениваются биометрическими данными. Алгоритм, который мог бы сработать в 1990-х годах, больше не работает. Предприимчивый сотрудник иммиграционной службы с помощью Google Maps может мгновенно расспросить шпиона о том, как он в детстве добирается в школу.
Вторая проблема заключается в том, что «оперативные действия», такие как встречи с агентами или использование конспиративных мест, подвергаются беспрецедентному контролю. Данные о местонахождении телефона широко доступны для покупки. Только в Китае насчитывается более 700 миллионов камер наблюдения, многие из которых передают программное обеспечение, которое может распознавать лица или определять походку человека. Россия надеется интегрировать все свои камеры в общенациональную сеть наблюдения.
И, в-третьих, экспозиция может иметь обратную силу. Убийство представителя ХАМАСа в Дубае не отслеживалось в режиме реального времени. Она была восстановлена постфактум, что устранило всякое отрицание для Израиля.
«Люди говорили мне: нам, возможно, придется вернуться к старым временам, когда тебя похлопывали по плечу в университете и просили присоединиться к ЦРУ», — говорит Майкл Аллен, бывший Директор по персоналу комитета по разведке Палаты представителей. «Наши противники смогут отследить всех, кто когда-либо был на сайте cia.gov».
То, что шпионы называют «повсеместным техническим наблюдением» (UTS), во многих местах сделало личный шпионаж на местах более сложным и дорогостоящим. «Агентурная разведка сейчас — это гораздо более технический бизнес», — говорит британский чиновник. «Количество раз, когда вы можете сесть лицом к лицу с агентом, сокращается. Вы подвергаете себя огромному риску». В 2018 году Дон Мейеррикс, работавшая тогда в техническом отделе ЦРУ, заявила, что в 30 странах уровень слежки настолько высок, что местным службам безопасности больше не нужно следить за сотрудниками агентства, чтобы знать, где они находятся.
«Слежка задним числом» также не является новой концепцией. Цифровая пыль имеет свои физические предпосылки. Штази, шпионская служба Восточной Германии предпочитала помечать цели радиоактивными маркерами, используя носимые на теле счетчики Гейгера для отслеживания перемещений. Штази также собирала, хранила и каталогизировала запах мишеней со съемной ткани на стульях. Офицер западной разведки мог «уйти в тень» — быть уверенным, что за ним никто не следит, — и посетить тупиковое место, только для того, чтобы позже его маршрут был повторно прослежен заинтересованными людьми.
Теперь шпионы реагируют на UTS тремя способами. Во-первых, это базовое ремесло. «Большинство офицеров разведки всегда знали, что не стоит полагаться на прикрытие», — говорит Джон Сайфер, бывший резидент ЦРУ в Москве. По его словам, шпионам придется прибегнуть к «старым методам», которые когда-то использовались в таких странах, как Россия и Китай. Один из вариантов, по словам опытного оперативного сотрудника, заключается в том, чтобы шпионить в местах, где наблюдение менее интенсивно: в городе, где толпы людей могут замаскировать обзор камер, в сельской местности, где покрытие более неравномерное, или в нейтральных странах — одна из причин, по которой такие города, как Хельсинки и Вена, кишели шпионами во время холодной войны.
Второй подход заключается в том, чтобы полагаться на офицеров разведки, которые с меньшей вероятностью окажутся в центре внимания. Разведывательные службы, как правило, предпочитают действовать в посольствах под дипломатическим прикрытием, потому что это обеспечивает подстраховку: если вас поймают на шпионаже, вас вышлют, а не посадят в тюрьму или расстреляют. Но по мере того, как технологии упрощают слежку за дипломатическим персоналом и отличают шпионов от добросовестных дипломатов, агентства, вероятно, будут вынуждены больше полагаться на тех, у кого есть «естественное» прикрытие или, говоря американским языком, «неофициальное» прикрытие.
Хороший экспортный бизнес, который у вас есть
В этом нет ничего нового. Спецслужбы использовали газеты, предприятия и международные организации в качестве прикрытия задолго до начала холодной войны.
Задача состоит в том, чтобы создать идентичность прикрытия, которая выдержит сегодняшнюю повышенную проверку. К 2010-м годам ЦРУ обнаружило, что использование подставных компаний стало «неприемлемым», утверждают Зак Дорфман и Дженна Маклафлин, два автора статей о шпионаже, причем агентство предпочитало использовать реальный бизнес, часто нанимая существующих сотрудников и обучая их отдельно.
ЦРУ также манипулировало онлайн-данными, такими как веб-сайты о происхождении и правительственные базы данных. Для того, чтобы сделать это хорошо, все чаще требуется тесное сотрудничество с союзниками, говорит представитель европейской разведки. Роберт Гейтс, занимавший пост директора ЦРУ в 1991-1993 годах, как-то заметил, что каждому разведчику на местах требуется один человек поддержки в штаб-квартире. Это соотношение, безусловно, выросло.
Это приводит к третьему подходу — большей зависимости от технологий. Одним из способов снижения риска операций является сокращение контактов между офицерами и их активами. Еще в 1960-х годах западные разведывательные агентства начали использовать устройства «агентской связи малого радиуса действия» (SRAC), позволяющие агентам передавать сообщения короткими очередями вблизи определенного места. Это избавило от необходимости слоняться по парку.
Разведчики хотят посмотреть в глаза потенциальному агенту
Но технологии также создают уязвимости. В 2000-х годах ЦРУ разработало сотни веб-сайтов скрытой связи (COVCOM) со скрытыми функциями обмена сообщениями, чтобы позволить менее ценным активам в таких странах, как Китай, Иран и Россия, общаться. Они были не только плохо спроектированы, раскрывая их скрытый код, но и небрежно защищены, их IP-адреса регистрировались последовательно, что позволяло раскрыть один из них, чтобы раскрутить другие. Примерно в период с 2009 по 2013 год Китай и Иран скомпрометировали эти системы, заключив в тюрьму и казнив многих агентов.
Агентурная работа построена на доверии. Офицеры разведки хотят посмотреть в глаза потенциальному агенту, оценивая его честность, надежность и личность. Агенты часто готовы и полны энтузиазма на первой встрече, находясь на вершине соучастия, но они могут быстро пошатнуться и признаться местным властям. Распространенным решением является «повторная вербовка» через два-три дня после первой, чтобы закрепить отношения. Несколько поспешных текстовых сообщений не могут выполнять пастырскую и исповедническую функцию хорошего куратора.
4.3. Иногда старые способы шпионажа оказываются лучшими
Зашифрованные сообщения по радио по-прежнему сильны
С середины 1960-х годов до 2008 года любой, кто настраивал радио на коротковолновые частоты между 5,422 и 16,084 MHZ, периодически слышал, как веселая флейта играет несколько тактов английской народной песни. Затем женский голос с коротким английским акцентом зачитывал цифры: «Ноль, два, пять, восемь...» Предполагалось, что это были закодированные сообщения от MI 6. «Линкольнширский браконьер», названный в честь веселой мелодии, был одной из многих «номерных станций», используемых шпионскими агентствами для связи с агентами на местах.
Некоторые из них были ликвидированы в конце холодной войны. Любопытно, что многие из них продолжают вещание: действительно, Priyom.org, веб-сайт, который отслеживает эти станции, отмечает, что активность «значительно возросла» с середины 2010-х годов, благодаря вещанию с помощью голоса, азбуки Морзе и цифровых сигналов.
При всех новых доступных технологиях зачем использовать радиовещание?
В статье Тони Ингессона и Магнуса Андерссона из Лундского университета говорится, что одна из причин заключается в том, что современные методы небезопасны. Поставщики зашифрованных телефонов или приложений были взломаны или подорваны правоохранительными органами. Использование шпионских программ для заражения телефонов растет. Они заключают, что безопаснее всего «предположить, что каждое подключенное к Интернету устройство скомпрометировано».
Теоретически номерные станции невозможно взломать. Отправитель и получатель используют «одноразовый блокнот» (первоначально бумажный), содержащий совпадающий список случайных чисел для шифрования и расшифровки сообщения. Можно найти мощный передатчик. В результате, не требуется никакого компрометирующего шпионского снаряжения.
Одноразовый блокнот при эффективном использовании невозможно сломать даже квантовому компьютеру. Но перехватчики все еще могут определить, сколько агентов или когда они активны, наблюдая за закономерностями в трансляциях, что известно как анализ трафика. Чтобы предотвратить это, передатчики отправляют фиктивный трафик «заполнения», даже если сообщение не запланировано.
В 2007 году эксперт по криптографии Мэтт Блейз отметил, что сообщения, передаваемые кубинской резидентурой, больше не содержат цифры «девять». Его теория заключалась в том, что генератор случайных чисел, используемый для генерации фиктивного трафика, был несовершенен. Затем, в 2020 году, агент ФБР Питер Стрзок опубликовал книгу, в которой отметил, не вдаваясь в подробности, что ФБР смогло выяснить, когда сообщения отправлялись, а когда не отправлялись российским «нелегальным» (под глубоким прикрытием) разведчикам в Массачусетсе.
Урок состоит из двух частей. Одна из них заключается в том, что старые технологии играют непреходящую роль в эпоху Интернета. Радио более устойчиво, чем программное обеспечение. Во-вторых, ничто не заменит ремесло.
4.4. Частные фирмы и открытые источники дают шпионам новые возможности
Поток данных подпитывает бум разведки в частном секторе. Это расширяет возможности разведывательных служб, предоставляя им новые инструменты, доступ к несекретным данным, которыми можно поделиться с общественностью и союзниками. Это также облегчает их нагрузку: фирмы, занимающиеся кибербезопасностью, играют такую же важную роль, как и западные шпионские агентства. Но бум также бросает вызов этим службам, размывая грань между открытым и секретным, поднимая вопросы о том, что должны делать шпионы, а что могут делать другие. И по мере того, как данные становятся все более многочисленными, более показательными и все более важными для геополитической конкуренции, возникают вопросы о праве, этике и неприкосновенности частной жизни. «Разделение интересов частного и государственного секторов — это уникальная западная конструкция, — утверждает Дуян Норман, бывший сотрудник ЦРУ, — которая имеет большие преимущества, но также и важные последствия».
В основе этой революции лежит Интернет. «Мы не смогли бы построить нашу компанию, если бы Интернет не стал основным датчиком», — говорит Кристофер Альберг, возглавляющий Recorded Future, фирму, которая отслеживает злоумышленников в Интернете. «Все в конечном итоге попадает в Интернет». Анонимность глубокой паутины, не индексируемой поисковыми системами, и даркнета, для доступа к которому требуется специализированное программное обеспечение, делает их отличными местами для террористов, педофилов и преступников. Но эта анонимность часто бывает поверхностной.
Призрак в машине
Flashpoint начал свою жизнь с использования фальшивых личностей — представьте себе аналитика, маскирующегося под потенциального джихадиста — чтобы проникнуть в экстремистские группировки в Интернете и собрать информацию об их намерениях. Он до сих пор это делает. Но сейчас ее основным бизнесом являются данные. Например, он отслеживает «кошельки», где экстремистские группировки хранят биткойны и другие криптовалюты. Движение средств на такие кошельки и из них может намекать на готовящиеся теракты. Аналогичным образом, компания Primerai, базирующаяся в Сан-Франциско, смогла предоставить правительству восьмичасовое предупреждение о киберугрозе, выявив хвастовство хакеров в глубоком интернете до атаки. Фирма использовала обработку естественного языка, разновидность искусственного интеллекта, для анализа больших объемов текста наряду с конфиденциальными данными клиента.
Другая часть отрасли иллюстрирует другую модель: вместо того, чтобы наблюдать за угрозами, разворачивающимися в Интернете, она отслеживает их изнутри сети. Фирмы, которые создают ключевое оборудование или программное обеспечение (например, доминирование Google в электронной почте, Microsoft в операционных системах и Amazon в облачных вычислениях), обладают беспрецедентным пониманием частного трафика, проходящего через их сеть. В результате получается огромный частный аппарат радиотехнической разведки, информация из которого может быть продана клиентам в качестве защитной услуги. Microsoft отслеживает 78 триллионов «сигналов» в день (например, соединения между телефоном и облачным сервером), говорит Шеррод ДеГриппо, директор компании по стратегии анализа угроз.
Аналитики ищут аномалии в этих данных и следят за инструментами, инфраструктурой и деятельностью известных государственных или криминальных хакерских группировок, известных как продвинутые постоянные угрозы (APT). В прошлом году Microsoft сообщила, что китайская хакерская группа Volt Typhoon атаковала американскую инфраструктуру, включая водоснабжение и энергетику.
Западные спецслужбы могут нарушать законы своих стран при определенных условиях, например, подкупая иностранных чиновников. Частные фирмы не могут. Но у них есть другие преимущества. «Мы можем связать злоумышленников, их инфраструктуру и их цели так, как разведывательные службы не могут сделать», — говорит Альберг. Он указывает на агентства, которые могут быть уполномочены законом свободно работать за рубежом, но не дома. «Мы можем заглянуть за границу и заглянуть внутрь себя, уникальным способом».
Многие фирмы ревностно охраняют свои данные и скрывают свои методы и клиентов. Они также могут быть удивительно открытыми. Компании следят за одними и теми же группами китайских, российских, северокорейских и иранских хакеров.
Аналитики также перемещаются между разведывательными агентствами и фирмами, занимающимися анализом угроз, принося с собой знания. Льюис Сейдж-Пассан, руководитель отдела разведки в крупной фармацевтической компании в Европе, говорит, что внутренние команды корпоративной разведки могут быть коллегиальными. «Это беспощадные конкурирующие компании, или разведывательные группы... Однако, они самые лучшие друзья, и они общаются почти каждый день».
Разведывательное сообщество Великобритании столкнулось с экзистенциальным вызовом
Рост индустрии коммерческих спутников позволяет разведке иметь почти полное покрытие. В прошлом Великобритания покупала коммерческие спутниковые снимки на сотни тысяч долларов каждый год, говорит британский генерал сэр Джим Хокенхалл. «Теперь цены многомиллионные».
Кроме того, бывают ситуации, когда шпионы знают секрет, но не могут поделиться им с союзниками или общественностью, опасаясь раскрыть что-то об источнике. Это было обычным явлением в космической разведке, говорит Аарон Бейтман из Университета Джорджа Вашингтона. Во время холодной войны Америка редко делилась спутниковыми снимками даже со своими союзниками по НАТО, за исключением Великобритании. Сегодня коммерческие спутниковые снимки публикуются регулярно. Правительства также могут направлять внешних аналитиков для поиска конкретных вещей. И эти аналитики сами натыкаются на интригующие вещи. В результате мы получаем «большую рабочую силу, за которую правительству США не нужно платить, но которая все равно приносит пользу», отмечает Бейтман.
Не пойду туда
Джо Моррисон из UMBRA, стартапа, занимающегося радиолокационными спутниками, вспоминает, как западные чиновники спросили его, почему они должны работать с коммерческими несекретными поставщиками. «Я сказал: доступ к талантам, которые любят курить травку». Он не шутил. Спецслужбы предлагают новобранцам возможность работать в организациях с блестящей историей и патриотической миссией. Но ожидание года допуска к секретной информации, сокращение зарплаты и невозможность работать удаленно могут стать препятствием.
Самая радикальная точка зрения заключается в том, что западная разведка должна начать с нуля. «Разведывательное сообщество Великобритании... сталкивается с экзистенциальным вызовом», — утверждают Люси Мейсон, бывший сотрудник британского оборонного ведомства, и Джейсон «М», действующий сотрудник разведки, в статье, опубликованной Институтом Алана Тьюринга в ноябре 2023 года. «Его вытесняют поставщики разведки и данных с открытым исходным кодом». Их решением стала новая модель, а не та, в которой национальной безопасностью «занимаются только несколько допущенных людей в высокоцентрализованных, закрытых организациях».
Нет никаких сомнений в том, что несекретные источники приобретают всё большее значение. «Если бы я собрал все документы о военных закупках Китая, я, вероятно, получил бы орден британской империи», — говорит бывший офицер британской разведки, имея в виду национальную честь. «Тот факт, что в течение многих лет они просто сидели в открытом доступе, полностью обошел всех стороной». Данные о местоположении, полученные из мобильных приложений и продаваемые рекламными брокерами, теперь регулярно используются спецслужбами.
Ничто из этого не означает, что эти агентства могут быть упразднены. Тот факт, что публичные данные могут ответить на многие вопросы, которые когда-то требовали секретной разведки, не означает, что они могут ответить на все эти вопросы.
Вторая проблема заключается в том, что ценность публичных данных часто заключается в том, чтобы слить их с чем-то секретным. Но пересечь границу между неклассифицированным («низкой стороной», на жаргоне) и засекреченным («высокой стороной») миром сложнее, чем кажется. Агентство может захотеть сравнить общедоступные документы с секретными разведданными о конкретных сотрудниках разведки. «Что на самом деле является чувствительным, так это вопрос, который вы задаете», — говорит человек, знакомый с этими усилиями. «Как только вопрос переходит с высокой стороны на низкую, этот вопрос и данные, которые вы извлекаете, обнаруживаются». Извлечение больших объемов общедоступных данных слишком дорого — секретные вычисления являются дефицитным ресурсом.
Третья проблема связана с юридическими и этическими моментами, которые возникают в войне данных. Для китайских спецслужб основная часть их стратегического соперничества с Западом связана с данными. За последнее десятилетие они украли огромные массивы данных: записи о правительственных кадрах из Америки, данные о выборах в Великобритании, данные об иммиграции в Индии, журналы телефонных разговоров из Южной Кореи и данные дорожных карт из Тайваня. Во многом это традиционный сбор разведывательной информации. Некоторые из них предназначены для того, чтобы позволить Китаю ловить западных шпионов.
Западные агентства гораздо более ограничены. Британские шпионы могут собирать и собирают массовые персональные данные из-за рубежа. Но если они хотят сохранить или изучить их, им нужен ордер и они должны показать, что получение, хранение и использование данных соразмерно конкретной цели. Копить его на случай, если потом пригодится, не получится.
Фирмам легче собирать данные, чем агентствам. Эмили Хардинг, бывший аналитик ЦРУ, говорит, что «трудно или невозможно» «идентифицировать и очистить» данные об американцах из больших наборов данных, что является требованием закона. Таким образом, американские агентства «сильно отстают от организаций частного сектора, у которых нет таких ограничений».
4.5. Радиотехническая разведка превратилась в киберактивность
11 лет назад Эдвард Сноуден, недовольный подрядчик, работавший на Агентство национальной безопасности (АНБ), американскую службу радиотехнической разведки, бежал в Гонконг, а затем в Россию и рассказал, что Америка и ее союзники перехватывают большую часть мировых коммуникаций. Спецслужбы предупредили, что его разоблачение будет иметь ужасные последствия, поскольку враги нашли другие способы общения. В конце концов, все оказалось не так плохо, как опасались. Агентства больше не могли получить доступ ко «всем данным, которые им нужно было увидеть, или к которым они имели доступ раньше», пишет Киаран Мартин, в то время высокопоставленный чиновник в GCHQ, британском разведывательном агентстве. Но они все равно могли получить «много», отмечает он.
За последние два десятилетия SIGINT претерпел изменения. Интернет вытеснил радио и телефон в 1990-х годах. Теперь, спустя десять лет после Сноудена, большая часть интернет-трафика шифруется, а данные накапливаются в новых местах, таких как облако. Те же самые компьютерные сети, по которым он перемещается, также стали неотъемлемой частью физического мира — от автомобилей до электросетей и военных систем, стирая грань между кибершпионажем и кибератаками, а также изменяя идентичность разведывательных агентств. Но они остаются экстраординарными машинами для сбора разведданных.
Развитие шифрования, несомненно, усложнило жизнь полиции. В 2022 году 92% американских федеральных прослушек с использованием зашифрованных данных не удалось расшифровать. Но, по словам бывшего руководителя службы разведки, это «никогда не было такой большой проблемой для агентств, — мы склонны сосредотачиваться на конкретных угрозах и прилагать много усилий для их устранения».
Для Америки самый простой путь — запросить данные. Американское законодательство, в том числе Закон об облачных технологиях от 2018 года и раздел 702 Закона о наблюдении за иностранными разведками (FISA), действие которого было продлено и расширено в апреле 2024 года, обязывает фирмы передавать широкий спектр данных, даже если они хранятся за границей.
Даже если передаваемые данные зашифрованы, метаданные — кто и кому отправляет данные — бесценны. Этот «анализ трафика» занимал центральное место в западной политике во время холодной войны и в эпоху после 11 сентября. «Если у вас достаточно метаданных, — отмечает Стюарт Бейкер, бывший юрист АНБ, — вам не нужен контент». Это может объяснить, почему «восходящий» сбор необработанного интернет-трафика остается полезным. В марте правительство Нидерландов обосновало новый закон о разведке, объяснив, что размещение у него крупнейших в мире интернет-бирж «обязывает нас... оптимально использовать данные, передаваемые по нашим кабелям, для защиты Нидерландов от российских и китайских хакеров».
Альтернативный подход заключается в том, чтобы ослабить само шифрование, чтобы его можно было взломать с меньшими вычислительными усилиями.
Мэтт Блейз, эксперт по криптографии из Джорджтаунского университета, скептически относится к тому, что такие усилия принесли большие плоды. «Судя по всему, они действительно не очень хороши в этом, — утверждает он, — потому что мир гражданской криптографии догнал их до такой степени, что люди могут довольно хорошо распознать преднамеренную слабость». Он добавляет, что американское правительство все больше полагается на коммерческое шифрование, поэтому существует предел тому, насколько оно может быть скомпрометировано без риска для американских секретов.
Третий подход заключается в получении данных с телефона или компьютера — «конечной точки», на жаргоне радиостанций. Сноуден показал, что АНБ выделило огромные ресурсы на их взлом. С тех пор этот показатель только увеличился. «Эксплойты нулевого дня» — это фрагменты кода, нацеленные на ранее не обнаруженные уязвимости в программном обеспечении. Они редки, дороги и очень полезны для получения доступа к конкретным устройствам.
Барьеры для входа на рынок такого рода кустарных промыслов пали. Более 40% уязвимостей нулевого дня использовались в коммерческом шпионском ПО, бурно развивающейся индустрии инструментов, которые не только взламывают телефоны, но и превращают их микрофоны и камеры в скрытые датчики. Самым печально известным примером является Pegasus, построенный израильской фирмой NSO Group, в которой доминируют израильские ветераны разведки. Его действия были связаны с хакерскими операциями против диссидентов, журналистов и активистов по всему миру. В феврале американское правительство, ранее внесшее в черный список NSO Group и еще три компании, заявило, что введет визовые ограничения для тех, кто причастен к злоупотреблению шпионским ПО.
Таким образом, грань между кибершпионажем и кибератакой размывается, что создает оперативные дилеммы. Если вы нарушите работу сети, вы, скорее всего, будете пойманы и выброшены из нее владельцем этой сети, в то время как если вы будете сидеть и красть данные или незаметно изменять их, вы можете продолжать работу. Новая реальность также пересекает институциональные границы. Национальные киберсилы Великобритании являются совместным предприятием вооруженных сил, GCHQ и MI 6, британской службы внешней разведки. В Америке глава АНБ одновременно является главой киберкомандования Пентагона.
Нет утешения в квантовой технологии
Следующим рубежом, вероятно, станут квантовые компьютеры, которые, как ожидается, смогут расшифровать большую часть того, что зашифровано с помощью современных методов. Некоторые опасаются, что Китай собирает данные сегодня, чтобы расшифровать, когда технология принесет свои плоды — стратегия, известная как «хранить сейчас, расшифровывать позже». Это могут быть, скажем, кабели между аванпостом ЦРУ и штаб-квартирой.
Криптографы работают над квантово-устойчивыми алгоритмами — в феврале Apple внедрила их для IMessage, которым пользуется более 1 млрд человек, — но они не получили широкого распространения. И есть намеки на то, что шпионы хотят убедиться, что они остаются устойчивыми.
Неудивительно, что спецслужбы вкладывают значительные средства в создание квантовых компьютеров, говорит Блейз. Если они будут завершены, их будет трудно спрятать, отмечает Эдвард Паркер из аналитического центра RAND, отчасти потому, что их огромные потребности в электроэнергии оставят подсказки.
Многие эксперты считают, что достаточно мощные квантовые компьютеры появятся не раньше 2030-х годов. В то же время, разведывательные агентства сталкиваются с насущной проблемой: как обрабатывать огромные объемы данных и метаданных, которые они собирают.
4.6. Агентурный искусственный интеллект возможен
Адмирал Уитворт говорит, что «визуальные преобразователи» — подмножество «генеративных предварительно обученных трансформеров», которые образуют gpt в Chatgpt — имеют большие перспективы. Они могут позволить модели предоставить контекст на человеческом языке: не только идентифицировать ракетную батарею, но и объяснить, как она развернута.
Британская разведка экспериментирует с инструментами, которые могут создавать автоматические боевые приказы — сводки о развертывании вражеских сил. Помогает то, что армии, особенно если в них много призывников, часто располагаются предсказуемым образом. Это было невозможно даже в начале 2022 года.
Скептики указывают на человеческий фактор, который ИИ не может заменить
По словам адмирала Уитворта, большая разница между компьютерным зрением в гражданском и разведывательном мире заключается в том, что для алгоритмов распознавания лиц лицо составляет 80% поля зрения. Другое дело ракета в лесу в углу спутникового снимка. «Мы смотрим на две стотысячные доли процента». «Мы не можем позволить себе никаких галлюцинаций», — говорит он. «Алгоритм всегда будет аналитиком начального уровня».
Аналогичные дебаты разыгрываются и в смежных областях. Сотрудники американской разведки уже имеют доступ к инструментам, подобным Chatgpt, на своих мобильных телефонах, которые работают с несекретными данными. В мае 2024 года Microsoft заявила, что разработала «воздушную» версию Gpt-4, отключенную от интернета, для американских агентств. Некоторые эксперты по-прежнему настроены скептически.
В статье, опубликованной в 2023 году, сотрудники Института Алана Тьюринга, аналитического центра, предупредили, что существующим магистрам права нельзя доверять подготовку готовых разведывательных отчетов, которые требуют нестандартного мышления и контрфактических рассуждений («что, если»). Они утверждали, что для этого потребуются новые гибридные модели, такие как нейросимвольные сети, которые сочетают статистический подход нейронных сетей со старомодным логическим ИИ, основанным на логике («если это, то то»).
Люди, работающие с передовыми моделями, оспаривают это и говорят, что агентства слишком консервативны. Недавняя работа Филиппа Шенеггера из Лондонской школы экономики и его коллег показала, что добровольцы, получившие доступ к LLM, делали прогнозы, которые были на 23% точнее, чем контрольная группа. Другие надеются пойти гораздо дальше. Марк Уорнер, Председатель сенатского комитета по разведке, говорит, что еще год назад дело все еще не шло дальше разговоров о «единой большой языковой модели», которая объединила бы изображения, перехваты и файлы, полученные агентурной разведкой.
На практике для сбора большого количества данных требуется емкость хранилища, а для запуска моделей машинного обучения требуется большая вычислительная мощность. Многие спецслужбы строят секретные облачные серверы для размещения секретных данных. Но, по словам представителя европейской разведки, они превращаются в «инфраструктуру сверхдержав», и только американские и китайские фирмы способны ее построить. «Времена, когда суверенные технологии создавались собственными силами, остались в прошлом», — говорит он.
Даже при наличии секретного облака забросить данные в общую корзину непросто. По словам Уорнера, идея унифицирующей модели исчезла: «у АНБ будет своя модель, у ЦРУ может быть своя». Есть бюрократические и технические причины. «Большая часть ключевой работы, которую необходимо проделать, чтобы подготовить разведывательное сообщество к использованию ИИ, не очень привлекательна», — говорит Джейсон Мэтени, который до 2022 года курировал политику в области технологий и национальной безопасности в Белом доме. «Это создание систем, на которых может работать современное программное обеспечение. Это гарантирует, что базы данных внутри агентств и между ними будут совместимы друг с другом».
Название GPT...
В 2023 году Ричард Мур, глава MI 6, намекнул, что искусственный интеллект уже помогает. «Мои команды теперь используют ИИ, чтобы дополнить, но не заменить свое собственное суждение о том, как люди могут действовать в различных ситуациях», — сказал он. «В будущем... по мере того, как ИИ начинает обгонять некоторые аспекты человеческого познания... Цифровые инструменты могут прийти к пониманию, или... предсказывать, человеческое поведение лучше, чем человеческое».
В рабочем документе, опубликованном в марте 2024 года, исследователи из Швейцарского федерального технологического института в Лозанне описывают эксперимент, в котором игроки участвовали в коротких дебатах против другого человека; модели GPT-4; или той же модели, обладающей информацией об сопернике, такой как возраст, занятость и политическая принадлежность. Персонализированная модель была на 82% убедительнее, чем человеческая. Модели ИИ, «склонны реализовывать логическое и аналитическое мышление значительно эффективнее, чем люди».
Следующим рубежом может стать «агентурный» ИИ, в котором LLM могут выполнять действия от имени пользователя. Институт Алана Тьюринга недавно протестировал LLM_OSINT — модель, которая может собрать досье на кого-то, используя открытые источники, ответить на вопросы о нем, разработать психологический портрет и написать убедительные фишинговые письма. Если бы эта модель была объединена с другими, то можно было бы представить себе виртуального оперативника, выполняющего каждый шаг в разведывательном цикле, включая вербовку.
двойной клик - редактировать изображение
*террористическая организация, запрещённая в РФ
