Мечтают ли талибы о кибербезопасности?

Прошло более трех лет с момента установления власти в Афганистане движением «Талибан»* и провозглашения Исламского Эмирата Афганистан (ИЭА). За это время талибы смогли упрочить собственное положение внутри страны, а также добиться «кредита доверия» от части соседей по региону.

С другой стороны, когда речь заходит об отдельных направлениях безопасности, положение нового афганского руководства по-прежнему остается неясным. Яркой иллюстрацией тому служит сфера кибербезопасности. Провозглашенный правительством Ашрафа Гани во второй половине 2010-х гг. курс на «переосмысление национальной кибербезопасности» с приходом талибов не был официально свернут, но и не был переориентирован на нужды нового правительства, а также не получил нового «смыслового наполнения».

Более того, крупнейшая за историю современного Афганистана (и не только на отрезке существования ИЭА) утечка конфиденциальных данных (порядка 50 ГБ правительственных документов), случившаяся в феврале 2025 г., в очередной раз привлекла внимание к теме устойчивости и защищенности государственных институтов «Талибана», подстегнув академическую дискуссию.

При формулировке исследовательского вопроса можно вольно перефразировать заглавие романа Филипа К. Дика «Мечтают ли андроиды об электроовцах» и оценить, насколько сильно стремление «Нового Афганистана» к повышению общего уровня защищенности в киберпространстве. Тем более, что враждебность внешней цифровой среды по отношению к властям ИЭА не снижается, а проблемы совершенствования системы национальной киберзащиты, отложенные администрацией талибов как «вопросы второго порядка», с течением времени лишь углубляются.

Несмотря на возросшее внешнее внимание к цифровому пространству Афганистана, в самом ИЭА «цифровой контур» по-прежнему остается вне поля зрения властей. Талибские функционеры воспринимают недавнюю утечку конфиденциальных документов скорее как исключение из правил, нежели как постоянную угрозу, и пока не нацелены на комплексное решение проблемы.

Отсутствие значительного интереса к развитию национальной киберсистемы выражается в том числе в слабой нормотворческой работе по профилю цифровой безопасности и намеренной децентрализации институциональной структуры с «дроблением» полномочий между множеством министерств. Уместно акцентировать, что текущий курс властей ИЭА в цифровом пространстве сводит на нет прежние усилия афганских властей по повышению национального уровня киберготовности и закрепляет за страной звание «глобального аутсайдера».

Конечно, нельзя сказать, что киберпространство — это наиболее проблемный сектор современного Афганистана, который требует немедленного вмешательства властей и концентрации в нем всех доступных ресурсов. Даже по прошествии трех лет ИЭА остается неустойчивым и тратит значительную часть сил на купирование внутриполитических угроз.

Впрочем, и дальнейшее игнорирование проблем, исходящих из киберпространства, чревато для талибов новыми негативными последствиями. Так, уже в среднесрочной перспективе ИЭА рискует столкнуться с отсутствием собственных кадров в цифровом секторе, разложением институциональной структуры и отсутствием инструментов мониторинга киберугроз, а также оперативного реагирования на них. В таком случае (даже при условии резкой активизации международного сотрудничества и вывода «Нового Афганистана» из технологической изоляции) страна не сможет быстро адаптироваться к новым реалиям цифрового мира и окажется в полной зависимости от внешних партнеров.

Прошло более трех лет с момента установления власти в Афганистане движением «Талибан»* и провозглашения Исламского Эмирата Афганистан (ИЭА). За это время талибы смогли упрочить собственное положение внутри страны, а также добиться «кредита доверия» от части соседей по региону.

С другой стороны, когда речь заходит об отдельных направлениях безопасности, положение нового афганского руководства по-прежнему остается неясным. Яркой иллюстрацией тому служит сфера кибербезопасности. Провозглашенный правительством Ашрафа Гани во второй половине 2010-х гг. курс на «переосмысление национальной кибербезопасности» с приходом талибов не был официально свернут, но и не был переориентирован на нужды нового правительства, а также не получил нового «смыслового наполнения».

Более того, крупнейшая за историю современного Афганистана (и не только на отрезке существования ИЭА) утечка конфиденциальных данных (порядка 50 ГБ правительственных документов), случившаяся в феврале 2025 г., в очередной раз привлекла внимание к теме устойчивости и защищенности государственных институтов «Талибана», подстегнув академическую дискуссию.

При формулировке исследовательского вопроса можно вольно перефразировать заглавие романа Филипа К. Дика «Мечтают ли андроиды об электроовцах» и оценить, насколько сильно стремление «Нового Афганистана» к повышению общего уровня защищенности в киберпространстве. Тем более, что враждебность внешней цифровой среды по отношению к властям ИЭА не снижается, а проблемы совершенствования системы национальной киберзащиты, отложенные администрацией талибов как «вопросы второго порядка», с течением времени лишь углубляются.

Методологические основы

Александр Князев:
Афганистан и региональная безопасность: перспективы развития ситуации

В основу исследования положена методология Глобального индекса кибербезопасности (Global Cybersecurity Index, GCI), разработанная специалистами Международного союза электросвязи (МСЭ) ООН. Цифровую готовность страны предлагается оценивать по пяти группам критериев: нормативно-правовая система; технический потенциал; организационная структура; меры по развитию национального потенциала; международное сотрудничество. Использование методологии GCI позволит комплексно исследовать текущее состояние национальной киберсистемы Афганистана, а также выявить возможные качественные сдвиги в ее развитии. Кроме того, предполагается уделить внимание состоянию ландшафта киберугроз и его восприятию властями ИЭА как одному из ключевых показателей «цифровой зрелости» руководства страны.

«Новый Афганистан»: цифровой профиль

Долгое время исследователям не удавалось однозначно оценить состояние системы цифровой безопасности «Нового Афганистана» из-за отсутствия достаточного объема проверяемых данных о состоянии профильных институтов, уровне цифровой грамотности населения, доступности образования в области кибербезопасности и т.д. Хотя афганские специалисты так или иначе принимали участие в разработке рейтингов на протяжении почти всего периода реализации проекта МСЭ [1].

Кроме того, в силу специфики внутриполитической ситуации в Афганистане в период с 2021 г. функционеры «Талибана» долгое время были склонны для демонстрации устойчивости власти завышать собственные успехи. Это касалось не только сферы цифровой безопасности, но и обстановки внутри страны в целом.

Так или иначе, к 2024 году исследователи МСЭ смогли составить более комплексное представление о состоянии киберсистемы Афганистана, сделав это уже с поправкой на смену власти стране (см. рис. 1).

Согласно последним замерам, совокупный показатель киберготовности Афганистана вырос почти в 3,5 раза (с 5,2 пунктов в 2020 г. до 18,41 пунктов в 2024 г.). Особенно заметным оказался рост по нормативно-правовому и организационному параметрам, хотя ИЭА так и не вышел за пределы категории стран с «зарождающейся» киберсистемой, оставшись по показателям на уровне с ЦАР, Эритреей и Восточным Тимором. Результаты ИЭА выросли пропорционально показателям других государств данной группы.

Рис.1. Киберсистема ИЭА (по сост. на конец 2024 г.).

Составлено по: GCI 2024.

Если же оценивать показатели киберготовности ИЭА не в динамике, а по реальным преобразованиям за период существования «Нового Афганистана» (август 2021 г. – настоящее время), то ни в части нормативно-правовой работы, ни в части развития организационной структуры серьезных шагов предпринято не было. Фактически, наработки в области законотворчества и стратегического планирования в секторе цифровой безопасности перешли талибам «в наследство» от светских властей.

Так, принятая в 2014 г. властями Афганистана национальная кибердоктрина не была официально отменена даже после прихода талибов, хотя вопросы переосмысления всех документов стратегического планирования после «американской оккупации» и тотальной переориентации институтов стояли перед новыми управленцами довольно остро. Отсутствие конкурентоспособных предложений привело к тому, что документ был без огласки продлен на неопределенный срок. Разработка новой доктрины, если и ведется, то никак не афишируется.

Безальтернативный Талибан для Афганистана. Подкаст с Михаилом Конаровским

Аналогичная судьба постигла и принятый в 2017 г. «Кодекс киберпреступлений» («Cyber Crime Code») — многосоставный НПА, впервые в истории Афганистана определивший признаки и содержание различных преступлений с использованием ИКТ (кибертерроризм, кибершпионаж и др.), а также устанавливавший и унифицировавший наказание за противоправные деяния. Переосмысление нормативно-правовой базы с учреждением ИЭА поставило под вопрос жизнеспособность Кодекса, однако в условиях отсутствия альтернатив преступления, по всей видимости, расследуются с опорой на прежние наработки.

Важный показатель киберготовности национального государства — его технический потенциал, который выражается в первую очередь в наличии специализированных компьютерный групп по реагированию на чрезвычайные ситуации в киберпространстве (Computer Emergency Response Team, CERT).

В случае с Афганистаном работа национальной CERT (AFCERT), созданной в 2009 г., оказалась парализована, несмотря на то, что группа продолжает числиться в отчетах ряда мониторинговых агентств как действующая. Правительство ИЭА пока не представило «агентство-правопреемника» AFCERT, хотя его полномочия де-факто были «расписаны» на уровне отдельных департаментов между министерствами телекоммуникаций, информации и культуры, юстиции и МВД [2]. Также часть полномочий, связанных с мониторингом киберугроз в режиме реального времени, отошла национальным спецслужбам.

Подобное распределение полномочий можно счесть «шагом назад» в развитии системы национальной кибербезопасности (по крайней мере, в части развития организационной структуры), тем более что сами талибы не выделяют «ведущее» министерство, что вполне может в перспективе вылиться в соперничество Минтелекоммуникаций и силовых структур за право «задавать тон» развитию национального цифрового пространства, особенно в условиях, когда полномочия и обязанности афганских министерств в киберсекторе частично дублируют друг друга.

Следует также учитывать, что «Талибан» даже после прихода к власти в Афганистане не распустил свои специализированные структуры, ответственные за цифровую безопасность и смежные вопросы. Они (будучи формально встроенными в институциональную структуру) осуществляют свою деятельность фактически параллельно с публичными институтами [3]. Однако подобное дублирование также не идет на пользу национальной системе кибербезопасности, утяжеляя ее и создавая почву не только для межведомственного, но и для межфракционного соперничества.

Серьезное негативное влияние на динамику развития национального кадрового потенциала в Афганистане оказали неоднозначные решения талибов, например, введение гендерного ценза в образовании или попытки запретительными мерами остановить отток научных кадров (в первую очередь, технических) за рубеж. Также произошло общее уменьшение числа сертифицированных площадок по подготовке специалистов в области кибербезопасности.

Светский Афганистан эпохи Гани также не мог похвастаться большим количеством доступных площадок для обучения профильных специалистов, но он поддерживал инициативы частных университетов (например, American University of Afghanistan) и ИТ-фирм по созданию образовательных платформ. Кроме того, ранее потребности страны позволяли закрывать различные краткосрочные курсы под эгидой НАТО, ориентированные как на военные, так и гражданские профессии. Заместить ресурсы Альянса талибам пока нечем.

«Талибан» и цифровое международное сотрудничество

Инна Яникеева:
Перспективы создания механизма киберсанкций на глобальном уровне: пути и вызовы

Динамика контактов властей ИЭА и остального мирового сообщества по линии цифровой безопасности оставляет желать лучшего. В этом смысле Афганистан с «нулевыми» показателями является аутсайдером рейтингов МСЭ не только на региональном, но и на глобальном уровнях.

Талибы в силу своего нахождения в «черных списках» ООН и большинства передовых кибердержав по-прежнему дистанцированы от коллективной работы на глобальных площадках и не взаимодействуют с союзом электросвязи. Структуры, отвечающие за кибербезопасность в стране, не представлены в рамках глобального Форума групп реагирования на инциденты и обеспечения безопасности (FIRST).

Несмотря на желание ИЭА в перспективе присоединиться к ШОС, БРИКС и ЕАЭС в качестве полноправного члена и подключиться к киберпроектам перечисленных организаций, отношения с соседями остаются натянутыми. Хотя КНР, Россия и ряд других стран уже сделали публичные жесты в адрес «Нового Афганистана», подчеркивая готовность постепенно налаживать отношения. Подключение других крупных игроков — вопрос времени.

Сектор кибербезопасности в перспективе может стать одним из ключевых направлений внешнего инвестирования. В то же время слабое развитие национальной цифровой инфраструктуры, отсутствие собственного кадрового резерва и общая уязвимость афганской КИИ кратно повышают риск попадания ИЭА в зависимость от внешней помощи в области кибербезопасности.

Ландшафт киберугроз

С точки зрения «триады киберугроз» (киберпреступность, кибертерроризм, использование ИКТ в военно-политических целях), институты ИЭА уязвимы перед лицом преступного сообщества. В первые несколько недель с момента установления нового режима в стране резко возросло число атак с использованием программ-вымогателей (по данному критерию Афганистан даже вошел в число наиболее уязвимых стран мира). И хотя ущерб от активизации киберпреступников на деле понесли преимущественно зарубежные компании (т.к. доля проникновения Интернета в Афганистане едва превышает 18%), инвестиционная привлекательность страны снизилась еще больше.

По оценкам экспертов, текущая активность киберпреступного сообщества в Афганистане характеризуется как низкая (особенно по сравнению с соседними странами), однако причина кроется скорее в слаборазвитой цифровой инфраструктуре, нежели в наличии у властей эффективных методов противодействия. Тем более, что в структуре национального МВД по-прежнему не созданы специализированные агентства, ответственные за борьбу с киберпреступностью.

Угроза со стороны радикальных исламистов в киберпространстве сегодня практически не прослеживается, так как сторонники террористических группировок в Афганистане предпочитают использовать цифровые инструменты для вербовочно-пропагандистской деятельности, а также для коммуникации между собой, в то время как силовые акции по-прежнему проводятся традиционными методами. Конечно, радикалы пытаются идти в ногу со временем и внедрять цифровые инструменты в террористическую деятельность — например, через освоение технологий разведки по открытым источникам (OSINT) [4]. Однако пока речь идет скорее о единичных случаях, нежели об устойчивом тренде.

Александр Игнатов:
Расширение БРИКС и перспективы сотрудничества стран объединения в вопросах развития цифровой экономики

По той же причине не выдвинуто на передний план и использование ИКТ-инструментов для ударов по критической информационной инфраструктуре (КИИ). Оппоненты талибского правительства внутри страны не обладают необходимыми компетенциями для проведения ударных акций в киберпространстве и также предпочитают использовать цифровые средства преимущественно для агитации и мобилизации сторонников.

С другой стороны, полностью политический компонент киберугрозы с повестки не снят. Кибератаки (как инструмент дискредитации) стали активнее применяться оппонентами ИЭА. В данном случае «противником №1» для талибов является хакерская группировка TalibLeaks. Ею создан одноименный ресурс, который позиционируется как «инструмент разоблачения преступлений» нового афганского правительства.

В начале февраля 2025 г. хакеры TalibLeaks спровоцировали крупную утечку конфиденциальных документов из закрытых баз ИЭА. Под атаку попали 21 министерство и ведомство Афганистана, то есть большая часть правительственных институтов, что стало серьезным ударом по имиджу талибов (особенно в части их киберготовности). Слитые документы содержат сенсационную информацию, в том числе имена политических заключенных, а также сведения о запрете на выезд для ряда государственных служащих.

И хотя руководство «Талибана» поспешило опровергнуть ряд заявлений хакеров [5], инцидент продемонстрировал высокую уязвимость афганских цифровых ресурсов перед внешним воздействием. В частности, отсутствие единого стандарта кибербезопасности (усугубленного наличием разных подходов к киберзащите на уровне отдельных фракций «Талибана»), слабые меры аутентификации государственных баз данных и общую неадаптированность цифровой системы ИЭА к угрозам извне.

Заключение

Несмотря на возросшее внешнее внимание к цифровому пространству Афганистана, в самом ИЭА «цифровой контур» по-прежнему остается вне поля зрения властей. Талибские функционеры воспринимают недавнюю утечку конфиденциальных документов скорее как исключение из правил, нежели как постоянную угрозу, и пока не нацелены на комплексное решение проблемы.

Отсутствие значительного интереса к развитию национальной киберсистемы выражается в том числе в слабой нормотворческой работе по профилю цифровой безопасности и намеренной децентрализации институциональной структуры с «дроблением» полномочий между множеством министерств. Уместно акцентировать, что текущий курс властей ИЭА в цифровом пространстве сводит на нет прежние усилия афганских властей по повышению национального уровня киберготовности и закрепляет за страной звание «глобального аутсайдера».

Конечно, нельзя сказать, что киберпространство — это наиболее проблемный сектор современного Афганистана, который требует немедленного вмешательства властей и концентрации в нем всех доступных ресурсов. Даже по прошествии трех лет ИЭА остается неустойчивым и тратит значительную часть сил на купирование внутриполитических угроз.

Впрочем, и дальнейшее игнорирование проблем, исходящих из киберпространства, чревато для талибов новыми негативными последствиями. Так, уже в среднесрочной перспективе ИЭА рискует столкнуться с отсутствием собственных кадров в цифровом секторе, разложением институциональной структуры и отсутствием инструментов мониторинга киберугроз, а также оперативного реагирования на них. В таком случае (даже при условии резкой активизации международного сотрудничества и вывода «Нового Афганистана» из технологической изоляции) страна не сможет быстро адаптироваться к новым реалиям цифрового мира и окажется в полной зависимости от внешних партнеров.

*Движение «Талибан» признано террористической организацией и запрещено в России.

Примечание

1. Выявлено на основе анализа выходных данных отчетов GCI с 2014 по 2024 г. См.: ITU.

2. Выявлено на основе анализа материалов, опубликованных на официальных сайтах министерств и ведомств ИЭА.

3. В качестве примера подобного дублирования полномочий можно привести деятельность Мавлави Башира, начальника «Директората 376» в составе Главного управления разведки ИЭА. Башир курирует специализированное подразделение, отвечающее за управление взаимодействием GDI с иностранными неправительственными организациями и охранными компаниями, работающими в Афганистане, уделяя особое внимание контрразведывательным операциям и операциям по борьбе с внутренними угрозами (включая цифровые угрозы).

4. Тема разведки по открытым источникам (OSINT) была впервые поднята радикалами в Еженедельном информационном бюллетене ИГИЛ (террористическая организация, запрещенная на территории РФ) «Аль-Наба», посвященном атакам на посольство Ирака в Кабуле, Афганистан (30 июля 2017 г.). В заметке указывалось, что все данные, необходимые для осуществления теракта, джихадисты получили с помощью инструментов разведки открытых данных. Также в статье присутствовал призыв к другим боевикам перенимать опыт подобных атак и реализовывать их в других регионах. См.: Pastor-Galindo J. et al. The not yet exploited goldmine of OSINT: Opportunities, open challenges and future trends // IEEE Access. 2020. Vol.8. №1. pp. 11, 13.

5. Афганские оппозиционные ресурсы сообщали со ссылкой на одного из хакеров, что используемый начальником службы кибербезопасности «Талибана» пароль был «12345678».