Экспортный контроль — не панацея от кибернаемников

В 2023 году любая государственная или частная компания может получить доступ к вашим самым сокровенным секретам. Как? Заплатив компании за взлом вашего телефона. С начала 2010-х годов стали обычным явлением новости о частных компаниях, продающих шпионское ПО и другие наступательные киберинструменты. Распространение инструментов с помощью этих «кибернаемников» представляет угрозу как для прав человека, так и для национальной безопасности: авторитарные правительства используют эти инструменты не только для слежки за США и их союзниками, но и для слежки за журналистами и активистами во имя интересов национальной безопасности, что привело к задержанию, пыткам или даже убийству тех, кто стал жертвой взлома.

Когда дело доходит до шпионажа и хакерских атак на государство, некоторые кибернаемники могут быть «хакерами по найму», которые проводят кибероперации от имени государственных заказчиков. Однако большее число наемников продают наступательные киберинструменты государственным клиентам, которые затем используют их для своих собственных киберопераций, поскольку многие правительства считают, что частные хакерские атаки могут нарушать международное право. Основное правило Женевских конвенций требует от сторон четко отделять комбатантов от гражданских лиц в любом конфликте, и люди не всегда могут отличить военную или разведывательную операцию в киберпространстве.

Инструменты, продаваемые кибернаемниками, имеют законное применение: некоторые западные правительства и правоохранительные органы (при эффективном надзоре) использовали инструменты такого типа для взлома террористических сетей, получения сведений о массовых расстрелах и даже для задержания лидеров картелей, таких как Эль Чапо. Некоторые компании, занимающиеся кибернаемничеством, категорически отказываются продавать услуги в государства с наихудшей репутацией в области прав человека и продают их только в страны с надлежащим судебным присмотром и надзором правоохранительных органов. Однако в целом отрасль глобальна и растет, а ее худшие игроки создают последствия для жизни и угрозы, приводящие к смерти.

У США и ЕС есть инициативы по сдерживанию роста и удалению с рынка безответственных игроков. Европейский парламент оказывает давление на свои государства-члены через недавно созданное расследование комитета PEGA: одно из первых открытых политических дискуссий о кибернаемниках. ЕС обсуждает, как использовать экспортный контроль против этой угрозы, утверждая, что использование экспортного контроля в гуманитарных целях защитит права человека, и США начали делать то же самое.

Тем не менее, экспортный контроль сам по себе крайне недостаточен для решения проблем, которые ставит эта отрасль. Если это единственный инструмент, который США и ЕС решат задействовать, они рискуют использовать подход, который в лучшем случае будет неэффективным, а в худшем — нанесет ущерб их собственным разведывательным и правоохранительным возможностям.

Экспортный контроль — не решение

Проще говоря, экспортный контроль предотвращает выход технологий за пределы границ государства и их последующее попадание в чужие руки или варианты использования. Есть два шага: правительство страны вносит тип продукта или потенциального клиента (страну, корпорацию или частное лицо) в список. Затем все компании в этой стране, которые хотят экспортировать этот продукт или продавать его конкретному клиенту из этого списка, должны получить для этого «экспортную лицензию» от правительства. Без этой лицензии они сталкиваются с уголовными и гражданскими санкциями, если их поймают на экспорте.

Эта политика возникла из-за необходимости не допустить попадания физических предметов (таких как компоненты ядерного оружия) в руки врага. В то время как экспортный контроль с некоторым успехом остановил продажи полупроводников в Китай, программный код, который можно передавать через USB или по электронной почте, ограничить гораздо сложнее. Кибернаемники преуспели в этом: компании, которые продают шпионское программное обеспечение (или «шпионское ПО»), десятилетиями уклонялись от экспортного контроля, используя такую простую тактику, как называя свое шпионское ПО «системой управления сетевым трафиком» и надеясь, что сотрудники экспортных лицензиатов ЕС не примут меры. Другие наемники будут просто экспортировать свою продукцию вообще без оформления лицензии, что является грубым нарушением экспортного контроля. Например, израильская фирма NFV Systems была закрыта ранее в этом месяце за продажу технологий наблюдения без лицензии в течение как минимум пяти лет.

Несмотря на то, что страны все лучше борются с нарушениями экспортного контроля, некоторые из сомнительных компаний обращаются к посредникам в других странах, чтобы продавать их в авторитарные страны. Некоторые компании даже создают собственных посредников. Израильская компания Quadream, например, продает свой основной хакерский инструмент через дочернюю компанию на Кипре, которая владеет акциями Quadream, и продает инструменты Quadream, но для удобства не подпадает под действие израильских законов об экспортном контроле. В конечном счете, поскольку наемные компании, которые отказываются соблюдать экспортный контроль, могут собираться и менять юрисдикции, экспортный контроль несоразмерно повлияет на немногочисленных поставщиков, которые хотят соблюдать его — вероятно, тех же, которые продают услуги только западным странам. Между тем, кибернаемники все еще могут получать выгодные контракты от демократических институтов. Например, NSO Group продала свое печально известное программное обеспечение Pegasus 14 правительствам ЕС. Pegasus — это то же программное обеспечение, которое авторитарные правительства используют для угроз активистам и диссидентам по всему миру.

Чтобы меньше юрисдикций становились убежищем для наемников, США и ЕС потребуется, чтобы как можно больше стран подписали всеобъемлющий режим экспортного контроля. Однако многие правительства могут не захотеть подписываться, потому что они также получают выгоду от этих сделок. Например, китайское правительство рекламировало свои компании по наблюдению в африканских странах в рамках своей инициативы «Один пояс, один путь», а продажи шпионского ПО Израилем постоянно связывались с дипломатическими выгодами для страны. Даже если правительство попытается контролировать ответственное конечное использование этих инструментов, внутренняя коррупция может привести к злоупотреблениям. В Мексике, например, было обнаружено, что вредоносное ПО NSO нацелено не только на лиц, представляющих интерес для правительства, но и на лиц, представляющих интерес для картеля.

А как насчет списка объектов?

Конечно, собственный экспортный контроль США может быть использован против недобросовестных иностранных компаний через список юридических лиц. Любая компания, включенная в этот список Министерства торговли, больше не может получать определенные товары, экспортируемые из США, включая технологические продукты. После того, как США поместили NSO Group и другие подобные компании в список юридических лиц в 2021 году, NSO больше не могла на законных основаниях приобретать ноутбуки с операционной системой Windows или iPhone без явного разрешения правительства США, и компания оказалась на грани банкротства. В каком-то смысле, это был огромный успех: NSO Group теперь является токсичной организацией, чье имя, вероятно, отталкивает многих потенциальных клиентов. Однако отрасль представляет собой нечто большее, чем просто NSO Group. Хакерские инструменты продаются сотнями компаний по всему миру, и такая тактика внесения компаний в список юридических лиц нежизнеспособна в долгосрочной перспективе, поскольку список широко известных фирм (Q Cyber, Circles, Intellexa и т. д.) становится все длиннее.

В то время как листинг юридического лица может нанести ущерб компании, сосредоточение внимания на отдельных компаниях превращается в игру «ударь крота». Основатели компании обычно перегруппировываются или переформировываются под другим именем, чтобы избежать регулирующих органов, предлагая почти тот же самый продукт. Несколько компаний кибернаемников реорганизовались после появления на публике. После того, как в 2013 году индийская компания Appin Security была уличена в шпионаже в США, она разделилась на несколько других компаний, каждая из которых предлагала аналогичные продукты. Некоторые из этих компаний работают до сих пор. Таль Дилиан, основатель дочерней компании NSO Group, покинул группу в 2014 году и создал еще две компании кибернаемников, обе из которых имеют записи о нарушениях прав человека. Поскольку регулирующие органы сосредотачиваются на безответственных компаниях, а не на безответственных учредителях, их наказания не остаются в силе, когда одна компания исчезает, заменяясь «новой» организацией с тем же персоналом и продуктом. Эти основатели и высокопоставленные сотрудники затем продолжат находить новые таланты, развивать свой бизнес и принимать те же бизнес-решения, чтобы продавать услуги авторитарным режимам. Плохое поведение никогда не исчезнет, если регулирующие органы не начнут фокусироваться на людях, стоящих за этими компаниями, занимающимися кибернаемничеством.

Мышление за рамками экспортного контроля

Экспортный контроль не может бороться с кибернаемниками сам по себе. Экспортное правоприменение в отношении программного обеспечения или сомнительных игроков невероятно сложно, и включение отдельных компаний в список не масштабируется. Он также не устраняет две основные причины проблемы: (а) недобросовестные отдельные субъекты в настоящее время не имеют стимулов играть по правилам, и (б) некоторые государственные заказчики либо сознательно позволяют, либо не имеют возможности контролировать распространение этих инструментов. Если США и ЕС хотят продолжать использовать экспортный контроль в качестве движущей силы, чтобы остановить распространение кибернаемников, им необходимо сочетать этот подход с другими усилиями, направленными на устранение первопричин.

Во-первых, США и ЕС должны сделать четкие публичные заявления, определяющие характеристики и роль ответственного кибернаемника. В настоящее время их трудно найти. Правительство США представило расплывчатые и запутанные причины при включении наемных компаний в список организаций, иногда даже объединяя некоторых наемников, когда они предоставляют якобы разные услуги, как правительство сделало с бутиковой сингапурской фирмой Computer Security Initiative Consultancy и российским подрядчиком Positive Technologies. Законы, регулирующие кибернаемников, также представляют собой лоскутное одеяло из регулирования государственных закупок, ограничений для бывших сотрудников разведывательного сообщества и экспортного контроля. Расплывчатые причины наказания, без четких указаний о том, какое поведение допустят США, только загоняют недобросовестных игроков в подполье и полностью вытесняют добросовестных игроков.

Чтобы решить эту проблему, США и ЕС должны совместно и публично объявить (посредством прецедентного права, заявлений или политики), какие деловые решения или операционное поведение остаются в рамках (и позволят компаниям участвовать в торгах по государственным контрактам) по сравнению с теми, которые приведет к обвинениям. Хотя каждое правительство может иметь свою собственную секретную политику в отношении того, что наделяет хорошего клиента наступательными киберинструментами (спрятанными в подсобных помещениях, доступных только при наличии допуска к безопасности или предыдущих отношений с правительством), эти политики должны быть публично объявлены, чтобы быть полностью эффективными, поскольку многие хакеры стать кибер-наемниками без предварительного опыта работы в правительстве.

Во-вторых, и в том же духе, США и ЕС должны публично разъяснить, что делает хорошим покупателя наступательных инструментов, особенно если продажа правоохранительным органам конкретной страны приведет к тому, что компания будет внесена в список юридических лиц. В отчете комитета PEGA, например, четко обозначено ответственное конечное использование киберинструментов, признано, что эти инструменты могут продаваться в целях шпионажа и национальной безопасности, но не в политических и преступных целях. Комитет также выступает за беспристрастный судебный контроль и раскрытие информации об уязвимостях — два элемента, имеющих решающее значение для обеспечения надзора со стороны клиентов правительственной разведки и правоохранительных органов. Однако до сих пор неясно, превратят ли государства-члены ЕС эти рекомендации в обязательное законодательство и насколько эффективно эти законы будут применяться.

Уточняя стандарты конечного использования услуг посредством международных соглашений или обязательных правил, США и ЕС могут намеренно ограничивать продажи правительствам, которые не соблюдают эти стандарты, и давать своим кибернаемникам основания для проведения комплексной проверки потенциальных государственных клиентов. Ключом к этим усилиям будет партнерство с дружественными странами с крупными отраслями кибербезопасности и высоких технологий, а также убеждение других стран прекратить использование шпионской дипломатии (поскольку Китай и Израиль не одиноки в использовании этой тактики).

Наконец, в то время как компании кибернаемников могут трансформироваться и исчезнуть, люди в этой отрасли в основном остаются прежними. У США и ЕС есть уникальная возможность применить политику, ориентированную на человека, в сфере кибернаемничества. Правительства могут предъявлять обвинения особенно вопиющим учредителям и предлагать рабочие визы выдающимся иностранным инженерам — оба варианта отнимают ключевой персонал у иностранных компаний, занимающихся кибернаемничеством.

Решение проблемы кибернаемников заключается не в экспортном контроле, но этот контроль может и должен быть частью более широкого и целостного набора политик, предотвращающих попадание этих инструментов в чужие руки. Рассмотрение модели поведения ключевых лиц, составляющих эти компании, и действий их клиентов имеет важное значение для смягчения проблем, вызванных кибернаемниками.

Источник