В 2017 г. министр транспорта и связи Турции Ахмет Арслан публично заявил, что Анкара планирует создать специальное подразделение (Türk Siber Ordusu) для защиты национальных интересов в кибепространстве. «Киберянычары» (как негласно окрестили новое подразделение в зарубежной прессе), изначально созданные как спецотряд в составе национальных вооруженных сил, довольно быстро вышли за стандартные «армейские» рамки и стали одним из инструментов реализации амбиций Анкары.
Турции удалось создать на базе хакерских группировок разного размера устойчивую структуру, обеспечивающую стабильную защиту национального киберпространства, а также устойчивый интерес к турецкой модели киберзащиты.
Доктрина кибербезопасности Турции имеет комплексный (оборонительно-наступательный) характер и подразумевает не только защитные, но и разведывательные действия, а также атаки «на упреждение». Круг противников Анкары в киберпространстве довольно широк и включает государства, политические движения и радикальные группировки. Сами турки чаще всего видят угрозу со стороны хакеров, принадлежащих к группировкам «Движение Гюлена» и «Рабочая партия Курдистана», а также к международным террористическим организациям — ИГ и Аль-Каиде.
Актуальным для Анкары остается и вопрос сдерживания геополитических противников в киберпространстве. В частности, на фоне сохраняющегося конфликта в Средиземном море важной задачей для «киберянычаров» стало противодействие греческим проправительственным хакерам (прежде всего, речь идет об Anonymous Greece, AG), которые пытаются вести с Турцией борьбу «на дальних рубежах». Стоит отметить, что на протяжении долгого времени существовала опасность столкновений в киберпространстве Турции и Египта — особенно острой угроза была в 2020–2021 гг., когда геополитические интересы двух держав сошлись сразу в нескольких странах.
Анкара заинтересована в налаживании «экспорта» собственного подхода к строительству цифровых подразделений, поскольку подобный вариант «наставнической кооперации» создает благоприятные условия для дальнейшего выхода турецких технологических фирм на внешние рынки.
На данном этапе ключевым «перенимателем» турецкого опыта цифровой борьбы можно считать Пакистан, чьи национальные киберсилы во многом построены «с оглядкой» на «киберянычаров», а турецкие советники продолжают участвовать в развитии цифровых институтов Исламабада. Однако Анкара явно не планирует ограничиваться этим направлением. В частности, перспективным партнером выглядит Эфиопия. В последние годы стороны комплексно наращивают сотрудничество в области безопасности, декларируя в том числе постепенное сближение в киберпространстве, ввиду чего появление в стране советников из числа «киберянычаров» представляется вопросом времени.
В то же время о «цифровой экспансии» Турции речи пока не идет. Анкара стремится действовать осторожно и напрямую не втягиваться в крупные киберконфликты с участием более сильных акторов — в первую очередь, Ирана.
В 2017 г. министр транспорта и связи Турции Ахмет Арслан публично заявил, что Анкара планирует создать специальное подразделение (Türk Siber Ordusu) для защиты национальных интересов в кибепространстве. «Киберянычары» (как негласно окрестили новое подразделение в зарубежной прессе), изначально созданные как спецотряд в составе национальных вооруженных сил, довольно быстро вышли за стандартные «армейские» рамки и стали одним из инструментов реализации амбиций Анкары. Представляется интересным рассмотреть, как функционирует турецкая киберармия сегодня, какие задачи она решает, и какие изменения могут ждать ее в обозримом будущем.
Осмысление угрозы
Впервые о необходимости разработки принципиально нового подхода к обеспечению обороны в цифровом пространстве в Турции заговорили в 2011 г. Тогда, по замыслу турецкого руководства, в состав экспериментального подразделения, частично интегрированного в национальные ВС, должны были войти около 200 специалистов в сфере кибербезопасности. Предполагалось также, что численность бойцов будет постепенно увеличиваться — примерно на 5% каждый год.
Однако стремительное расширение списка киберугроз привело к радикальной трансформации стратегии, что вылилось в создание ряда вспомогательных институциональных элементов, призванных ускорить формирование профильного киберподразделения. Так, уже в 2012 г. был создан Командный центр Киберзащиты (КЦК), в дальнейшем трансформированный в Командование Киберзащиты ВС Турции, а еще через три года (2016 г.) была основана дополнительная структура — Центр электронной войны, специализирующийся на обучении личного состава основам ведения боевых действий в киберпространстве, а также отвечающий за проведение командно-штабных учений с «цифровым» элементом. Вскоре после создания КЦК турецким Генштабом был разработан проект Центра киберобороны (SİSAMER), призванного заниматься борьбой с «внутренними киберугрозами», а в 2017 г. при нем был создан специализированный Центр мониторинга киберугроз. Параллельно с этим Турция активно перенимала опыт зарубежных партнеров, участвуя в международных учениях, а также организуя консультации с военными и гражданскими специалистами.
При этом ставка делалась в том числе на формирование «правильного» имиджа зарождающихся национальных киберсил и предание им особого статуса: негласной целью турецкого правительства стало превращение киберармии в «первоклассный бренд», который в перспективе можно было бы «экспортировать» в другие страны. В свою очередь, «брендирование» турецкой киберармии закономерно вывело на повестку вопрос о целесообразности сохранения выраженной аффилированности «киберянычаров» с оборонным ведомством — тем более, что с течением времени Türk Siber Ordusu стала постепенно взаимодействовать и с другими государственными институтами, включая гражданские. Как результат, ближе к началу 2020 г. структура была передана в ведение Совета национальной безопасности (СНБ).
Чем руководствуются «киберянычары»?
Деятельность турецкой киберармии и круг ее задач определяются рядом политических документов. Первостепенную роль играет «Документ о политике национальной безопасности», издаваемый под эгидой СНБ Турции и содержащий перечень внутренних и внешних угроз национальной безопасности. Согласно ему, киберзащита является пятой составляющей национальной безопасности страны после сухопутных, морских, воздушных и космических. Кроме того, в документе подчеркнута важность киберобороны для борьбы с враждебной пропагандой и кибертерроризмом, для защиты границ и населения, для сохранения систем ключевых инфраструктур и госучреждений, для электронной торговли, для промышленных объектов страны и т.д.
Второй документ — Национальная стратегия в сфере кибербезопасности, определяющая ключевые задачи страны в борьбе с угрозами в киберпространстве, а также задающая общий вектор развития национальных киберсил. Примечательно, что авторы данной стратегии отдают предпочтение мерам по укреплению средств защиты безопасности национального киберпространства, в то же время допуская реализацию мероприятий «наступательного характера», если на то есть достаточные основания.
Итоговые акценты по отдельным вопросам регулирования киберсферы расставляются с помощью государственных указов, ведомственных распоряжений, а также законопроектов, направленных на регулирование всей сферы в целом (например, Положение «О мерах по информационной и коммуникационной безопасности Турции»).
Кроме того, в 2019 г. кибербезопасность была включена в «Стратегический план развития страны» (2019–2023 гг.), изданный Счетной палатой. Новый «План» отмечает растущую угрозу экономике со стороны киберпреступности и важность максимально эффективной мобилизации национальных сил в борьбе с ней. Иными словами, Счетная палата фактически указала на необходимость использования киберармии для защиты экономической сферы жизни Турции (под которой подразумевается, прежде всего, банковская сфера). Подобный запрос был вполне обоснован — особенно с учетом урона, который понесли турецкие банки после серии масштабных кибератак в 2015 г.
Организационная структура
Турецкая киберармия в ее текущей конфигурации имеет довольно сложную структуру и состоит из нескольких элементов (см. схему 1). Так, в основе системы лежит «Ядро», включающее в себя пять групп (отделов). Каждая контролирует свою сферу, в рамках которой сотрудничает с профильными министерствами и ведомствами. Разумеется, состав и название этих групп не афишируется турецкими официальными лицами, однако, основываясь на положениях национальной кибердоктрины, а также на турецком подходе к определению угроз в киберпространстве, можно условно обозначить эти группы следующим образом:
- правоохранительная группа (содействие в пресечении кибератак на гражданские объекты, банки и базы данных, противодействие мошенничеству и деятельности антиправительственных группировок в киберпространстве);
- группа «Армия» (работа в интересах национальных вооруженных сил, занимается защитой объектов сухопутных войск и ВВС, а также органов военного управления, осуществлением специальных мероприятий в киберпространстве в интересах армейской разведки);
- морская группа (защита военного и гражданского флота, объектов морской инфраструктуры и службы береговой охраны);
- аэрокосмическая группа (противодействие киберугрозам в воздушном пространстве и в космосе [1]);
- группа комплексной обороны (мониторинг уязвимостей в национальной системе кибербезопасности, разработка превентивных мер защиты).
Схема 1. Предполагаемая конфигурация «Türk Siber Ordusu». Составлено по открытым источникам.
Помимо кадровых специалистов, важную роль в системе национальной кибербезопасности играют «союзные» группировки — хакерские команды, не принадлежащие к «Ядру», но работающие в интересах государства и имеющие связи с легальным сегментом. В частности, известно, что «авангард» турецкой киберармии составляют несколько крупных хакерских сообществ (например, Ayyıldız Tim и Anka Neferler), которые действуют «в отрыве» от киберсил, но, тем не менее, выполняют схожие задачи. Как правило, к услугам лояльных группировок прибегают для организации крупных символических акций или проведения отвлекающих маневров в киберпространстве. Подобная тактика довольно популярна и применяется турецкой стороной с 2015 г. Кроме того, с 2016 г. все большее значение приобретают имиджевые операции, направленные на дискредитацию противников действующей власти — к этой работе также активно привлекаются «лоялисты».
Третья группа в составе кибервойск — хакеры-одиночки. В отличие от дружественных группировок они никак не аффилированы с «Ядром», взаимодействие и постановка задач осуществляются исключительно через посредников (например, через сотрудников Национальной разведывательной организации). Хакеров-одиночек как правило привлекают для проведения разовых акций в киберпространстве или расширения связей с хакерским антиправительственным подпольем других стран.
Продуманный натиск
Доктрина кибербезопасности Турции имеет комплексный (оборонительно-наступательный) характер и подразумевает не только защитные, но и разведывательные действия, а также атаки «на упреждение». Круг противников Анкары в киберпространстве довольно широк и включает государства, политические движения и радикальные группировки.
Сами турки чаще всего видят угрозу со стороны хакеров, принадлежащих к группировкам «Движение Гюлена» (Fethullahçı Terör Örgütü, FETÖ) и «Рабочая партия Курдистана» (РПК), а также к международным террористическим организациям — ИГ (организация признана террористической, ее деятельность запрещена на территории РФ) и Аль-Каиде (организация признана террористической, ее деятельность запрещена на территории РФ). Несмотря на то, что в последние несколько лет атаки с их стороны практически прекратились (в силу отсутствия достаточного количества высококвалифицированных специалистов), это не мешает турецким официальным лицам находить «радикальный след» в значительной части резонансных кибератак.
Актуальным для Анкары остается и вопрос сдерживания геополитических противников в киберпространстве. В частности, на фоне сохраняющегося конфликта в Средиземном море важной задачей для «киберянычаров» стало противодействие греческим проправительственным хакерам (прежде всего, речь идет об Anonymous Greece, AG), которые пытаются вести с Турцией борьбу «на дальних рубежах». Однако эффективность подобной работы, с точки зрения Афин, вызывает сомнения, поскольку результаты AG и союзных им киберкоманд обычно в разы скромнее аналогичных выпадов против Греции. Для реализации последних турки мобилизуют значительную часть специалистов, а число остановленных силами греческих хакеров «встречных» кибератак — мизерно. На этом фоне в экспертном сообществе неоднократно высказывалось мнение, что многочисленные неудачные попытки лояльных Афинам хакеров «задеть» Турцию на деле представляют собой операции «под чужим флагом», реализуемые Анкарой с целью дестабилизации ситуации.
Стоит отметить, что на протяжении долгого времени существовала опасность столкновений в киберпространстве Турции и Египта — особенно острой угроза была в 2020–2021 гг., когда геополитические интересы двух держав сошлись сразу в нескольких странах. Известно, что Анкара несколько раз использовала лояльные хакерские команды для «прощупывания» оборонительных возможностей Каира, однако до комплексного задействования «киберянычаров» (и, как следствие, открытия полноценного «цифрового фронта») дело так и не дошло. Одной из причин подобной осторожности можно считать тот факт, что в отличие от большинства региональных противников Анкары египетские киберподразделения к началу 2020-х гг. обладали серьезным опытом ведения цифровой борьбы и на некоторых направлениях не уступали турецким конкурентам.
Кроме того, на момент накала противостояния турецкие киберспециалисты не имели возможности эффективно противостоять египетской тактике «цифрового натиска». Так, «авторским почерком» египетских подразделений был удар «по широкому фронту» (одновременные атаки на объекты из разных сфер) силами сразу нескольких не связанных друг с другом группировок. Успешность подобной тактики Каир довольно ярко продемонстрировал в июне 2020 г., совершив массированную кибератаку на информационные системы Эфиопии. В то время как основные силы специалистов Агентства безопасности информационных сетей Эфиопии были брошены на пресечение атаки группировок «Hors Group» и «Anubis» на правительственные сайты и компьютеры плотины «Хидасэ», члены Cyber_Horus Group и Egyptian Cyber Army нанесли совместный массированный удар по крупнейшим эфиопским вебсайтам, чем оказали серьезное психологическое давление на население страны и «подпортили» репутацию национальных сил безопасности.
Учитывая, что Анкара за время существования собственных киберсил, как правило, не ставила перед специалистами задачи по купированию подобного рода атак (вероятность реализации которых всегда оценивалась как мизерная), концентрируясь на точечных выпадах против объектов критической инфраструктуры, целесообразность развязывания киберконфликта неоднократно оспаривалась. Кроме того, не вызывало сомнений, что столкновение Турции и АРЕ в киберпространстве могло привести к непредсказуемым последствиям для обеих стран, ввиду чего они ограничились единичными акциями.
Из бойцов в наставники?
Анкара заинтересована в налаживании «экспорта» собственного подхода к строительству цифровых подразделений, поскольку подобный вариант «наставнической кооперации» создает благоприятные условия для дальнейшего выхода турецких технологических фирм на внешние рынки.
На данном этапе ключевым «перенимателем» турецкого опыта цифровой борьбы можно считать Пакистан, чьи национальные киберсилы во многом построены «с оглядкой» на «киберянычаров», а турецкие советники продолжают участвовать в развитии цифровых институтов Исламабада. Однако Анкара явно не планирует ограничиваться этим направлением. В частности, перспективным партнером выглядит Эфиопия. В последние годы стороны комплексно наращивают сотрудничество в области безопасности, декларируя в том числе постепенное сближение в киберпространстве, ввиду чего появление в стране советников из числа «киберянычаров» представляется вопросом времени. Учитывая, что цифровая инфраструктура Аддис-Абебы продолжает подвергаться систематическому давлению со стороны оппонентов, турецкие специалисты могут внести позитивный вклад в развитие систем киберзащиты Эфиопии.
В то же время о «цифровой экспансии» Турции речи пока не идет. Анкара стремится действовать осторожно и напрямую не втягиваться в крупные киберконфликты с участием более сильных акторов — в первую очередь, Ирана. Так, после «албанского киберинцидента» [2] турецкие специалисты не принимали участие в консультировании албанских официальных лиц, а также на время прекратили обсуждение вопросов повышения киберкооперации Анкары и Тираны. «Цифровая» тема вернулась на повестку лишь спустя несколько месяцев после преодоления острой фазы кризиса.
***
Турции удалось создать на базе хакерских группировок разного размера устойчивую структуру, обеспечивающую стабильную защиту национального киберпространства, а также устойчивый интерес к турецкой модели киберзащиты.
Кроме того, в отличие от большинства аналогичных структур в других странах, Türk Siber Ordusu не скрывает свои связи с государством и выполняет «боевые задачи» по указке турецкого правительства, минимизировав самостоятельное целеполагание. С одной стороны, такой подход позволяет эффективно решать поставленные задачи — риск нанесения ущерба «деловым интересам заказчика» минимален. Кроме того, деление на «Ядро», «дружественные группировки» и «одиночек», а также четкое распределение задач внутри «Ядра» позволяет избежать дублирования полномочий и делает механизм защиты более эффективным.
С другой стороны, при работе в плотной связке с государством (подразумевающей в том числе доступ к правительственным базам данных и специализированному ПО) закономерно растет соблазн использовать этот доступ в своих интересах: ценные данные могут быть украдены и в дальнейшем использованы хакерами для личного обогащения или шантажа официальных лиц. В условиях повышенной подозрительности в зоне риска оказываются представители всех звеньев киберармии, включая «белых хакеров». Усугубляют ситуацию и планы национальных спецслужб по выработке цикла мер по противодействию перевербовке и появлению в национальных киберсилах «кротов» (включая контроль социальных сетей). Разрабатываемый механизм сегодня остается довольно сырым, что в перспективе может привести к конфликтам киберармии с государством и массовому «исходу» хакеров обратно в теневой сегмент.
1. Основной объект внимания — телекоммуникационные спутники (Türksat 3A, Türksat 4A и Türksat 4B) и спутники мониторинга земной поверхности (Rasat, Göktürk-1 и Göktürk-2), которые Анкара вывела на орбиту за прошедшее десятилетие.
2. Речь идет о серии кибератак, осуществленных (по заявлениям ряда западных официальных лиц) проиранскими хакерами против Албании в июле 2022 г.