Сценарий "парализовать страну без выстрела" уже не теория. Stuxnet в 2010-м физически уничтожил центрифуги на иранском заводе - это был первый задокументированный случай когда код причинил физический ущерб промышленному объекту.

Про баланс сил: да, теоретически порог входа ниже чем для ядерного оружия. Но это не значит равенство. Топовые кибервозможности (так называемые zero-day эксплойты для критических систем) стоят десятки миллионов долларов на черном рынке, требуют годы разработки и очень узкую экспертизу. США, Израиль, Китай, Россия - это другой уровень по сравнению с любой небольшой страной.

Как защищаются: air gap для критической инфраструктуры (физическое отключение от интернета), сегментация сетей, военные CERT-команды. Проблема в том что человеческий фактор никуда не девается - флешка в кармане подрядчика убивала воздушные зазоры не раз.

Интересно что все фокусируются на инфраструктуре, но реальное оружие кибервойн - это информация. Не обесточить город, а убедить его жителей что их правительство продажное, выборы сфальсифицированы и соседи враги. Cambridge Analytica, фермы троллей, дипфейки - это и есть кибервойна в действии. И она уже идет, мы просто не называем её войной.

Давайте не будем забывать что всё это уже прописано в Таллинском руководстве - это такой доктринальный документ НАТО по применению международного права к кибероперациям. Там разобраны пороги: что считается актом войны, когда допустим ответный физический удар. Другой вопрос что большинство игроков его не признает.

Честно говоря весь этот хайп про кибервойны на 80% создан компаниями по кибербезопасности которым нужно продавать контракты правительствам. Да, уязвимости есть. Но парализовать реально работающую инфраструктуру большой страны - это несопоставимо сложнее чем в кино. Там нет "одной кнопки", там тысячи разных систем разных производителей разных эпох. Stuxnet работал против очень конкретной конфигурации конкретного оборудования.

Работал в области ИБ для госструктур лет десять. Скажу так: проблема не в том что нет денег на защиту. Проблема в том что люди которые принимают решения о закупках, как правило не понимают что покупают. Покупается красивая презентация от вендора, а не реальная защита. Это везде так, не только в России.

Самый недооцененный аспект: кибервойны размывают понятие комбатанта. Гражданский программист в условной стране X пишет вирус по госзаказу. Он комбатант? Можно ли его легитимно устранить как военную цель? Международное гуманитарное право пока не знает ответа.