Индекс Киберготовности 2.0 — Часть 4: Системы реагирования

Индекс Киберготовности 2.0 — Часть 4: Системы реагирования

Второй категорией, определяющей уровень киберготовности страны, является наличие и поддержание на действующем уровне систем национального реагирования на инциденты. Зачастую, такие системы существуют в виде одной или более национальной Команды реагирования на угрозы кибербезопасности (Национальная КРКБ), либо Команда компьютерного реагирования (ККР), которые далее по тексту мы будем называть КРКБ, и которые несут ответственность за кризисное управление в случае чрезвычайных ИКТ-происшествий, вызванных техническими или природными явлениями, или действиями человека, и которые несут угрозу устойчивости критических сервисов и целостности инфраструктур[i]. К настоящему времени созданы и действуют 102 национальных КРКБ, а еще четыре находятся в стадии создания[ii]. В состав КРКБ обычно входят ИТ-специалисты и практики-исследователи, представители частного сектора и госорганизаций. Помимо того, что КРКБ оперативно реагируют и устраняют кризисы в сфере высоких технологий, они также призваны упрочить возможности Правительств в области понимания характера и умения преодолевать киберугрозы. Таким образом, создание национального КРКБ является одним из основных элементов стратегии страны в области обеспечения безопасности и постоянного функционирования критических сервисов и инфраструктур, являющихся жизненно важными для обеспечения национальной безопасности и экономического роста[iii].

Оглавление (показать/скрыть)

Часть 1: Введение
Часть 2: Методология
Часть 3: Национальная стратегия
Часть 4: Системы реагирования
Часть 5: Киберпреступность и охрана правопорядка
Часть 6: Обмен информацией
Часть 7: Инвестиции в исследования и разработки
Часть 8: Дипломатия и торговля
Часть 9: Оборона и кризисное реагирование
Часть 10: Заключение

Национальные КРКБ, в отличие от исключительно государственных органов, служат гораздо более широкому кругу бенефициаров: от правительства до бизнесов, НПО и простых граждан. Действующий и реально работающий КРКБ в первую очередь призван обеспечить адекватный ответ на угрозы – т.е. иметь возможность немедленно реагировать на инциденты, купируя и минимизируя последствия в ходе развития кризиса[iv]. Хотя формы организации КРКБ могут отличаться от случая к случаю, с учетом того, что ресурсы и возможности стран не равны, эти специализированные организации должны в любом случае быть способны осуществлять ряд предупреждающих и ответных функций, а также осуществлять превентивную, образовательную деятельность, одновременно реализуя управленческие функции в области обеспечения качества систем и услуг безопасности. Такие функции и деятельности должны включать, но не ограничиваться: обеспечение общественного согласия и общего понимания угроз, с которыми может столкнуться страна; публикация предупреждений и оповещений о киберуязвимостях и угрозах; поддержка осведомленности в вопросах кибербезопасности; определение, купирование, минимизация и устранение киберугроз с предоставлением информации об извлеченных уроках (для общественного обсуждения и информирования); координация работ во время инцидентов; а также поддержка реализации национальной стратегии кибербезопасности.

Так, например, национальная КРКБ Сингапура (SingCERT) создавалась в 1997 году силами Департамента по развитию информации и коммуникаций Сингапура (Infocomm Development Authority of Singapore, IDA) при сотрудничестве с Национальным университетом Сингапура (НУС). Впоследствии, группа стала составной частью Агентства кибербезопасности (АКБ) Сингапура. SingCERT создавалась как единый центр реагирования на ИТ-угрозы и кризисы: орган определения, предотвращения и разрешения инцидентов в области компьютерной и интернет-безопасности. SingCERT предоставляет техническую помощь и координирует деятельность в области преодоления и реагирования на киберугрозы, определяет потенциальные киберпреступления и предотвращает их, своевременно распространяет информацию о возникающих угрозах, а также координирует свою деятельность с деятельностью других агентств в области обеспечения информационной безопасности[v]. SingCERT также организовывал и проводил учения по компьютерной безопасности в рамках Ассоциации стран Юго-Восточной Азии (АСЕАН) и Компьютерной группы реагирования на чрезвычайные ситуации Азиатско-Тихоокеанского региона (APCERT). Кроме того, Сингапур является страной, в которой функционируют семь членов Форума компьютерных групп реагирования и безопасности (FIRST).

Потенциал Бразилии состоит из национальной команды реагирования на чрезвычайные ситуации, CERT.BR, а также тридцати региональных КРКБ, работающих в четырех штатах страны и осуществляющих свою деятельность под руководством Бразильского наблюдательного комитета по интернету. Этот комитет является негосударственной организацией с широким представительством и основным органом, ответственным за сетевую безопасность и реагирование на чрезвычайные ситуации в ИКТ в Бразилии[vi]. Бразильский CERT.BR несет ответственность за непосредственное реагирование на кризисные ситуации, рост осведомленности граждан в вопросах сетевой безопасности, сбор данных о киберугрозах и возможных взломах и проникновениях, а также за координацию действий с многочисленными заинтересованными сторонами, включая другие КРКБ, исследовательские организации, организации частного сектора. Кроме прочего, надо отметить, что в состав бразильских КРКБ входят представители финансового сектора, армии, правительства и университетов страны[vii].

Помимо национальных КРКБ, созданы и существуют также и региональные организации подобного рода, которые призваны координировать и обеспечивать эффективность реакции на кризисные ситуации в своих регионах. Так, AfricaCERT является некоммерческой организацией, которая объединяет 11 стран Африки и является форумом по сотрудничеству и обмену технической информацией между операторами интернет-сетей в странах региона. Среди основных целей AfricaCERT: координация действий КРКБ стран Африки в преодолении кризисных ситуаций; помощь в организации КРКБ в странах, которые обладают невысоким потенциалом в области обеспечения безопасности; организация и поддержка в области предотвращения инцидентов и кризисов, а также организация образовательных программ в области ИКТ-безопасности; облегчение обмена информацией; а также внедрение и реализация лучшего опыта в области обеспечения кибербезопасности. Подобным же образом, APCERT (региональный азиатско-тихоокеанский КРКБ) объединяет 28 КРКБ стран-членов и других экспертов по безопасности в регионе, и ставит своей целью повышение осведомленности и уровня экспертизы в деле предотвращения и преодоления инцидентов в области компьютерной безопасности в регионе[viii]. Миссия APCERT – создание «чистого, безопасного и надежного» киберпространства посредством развития глобального сотрудничества. Для того, чтобы наладить эффективную коммуникацию по вопросам кибербезопасности и киберугроз, организационная структура APCERT использует систему «контактных точек» (point-of-contact, РОС), при которой каждая страна-член организации делегирует своего представителя, который является РОС в случае кризисной ситуации. Делается это для того, чтобы ускорить коммуникации и сократить время реакции на инцидент[ix]. Организация исламского сотрудничества компьютерных групп реагирования на чрезвычайные ситуации (OIC-CERT), в которую входят государства Ближнего Востока, Юго-Восточной Азии, Южной Азии, Африки и Центральной Азии, также активно действует в области сотрудничества между национальными КРКБ и самой OIC-CERT.

Помимо развития потенциала реагирования на угрозы и инциденты, страны также принимают участие в учениях по предотвращению киберугроз и реагированию на кризисы. Эти учения помогают странам получить опыт и развить навыки своих специалистов в области эффективного преодоления кризиса, а также повысить стрессовую и кризисную устойчивость национальных КРКБ. Так, в ноябре 2011 года Федеральное правительство Германии провело однодневные учения по планированию и реагированию на кризисные ситуации. Целью этих учений было спланировать и создать процедуры реагирования правительственных органов на потенциальные многоцелевые атаки, которые могли бы включать: отказ в обслуживании (DDoS-атака) в отношении критически важных инфраструктур; внедрение вирусного ПО в банковские сети, вызывающего отказ банкоматов и блокировку пластиковых карт; а также создание ложного трафика в системах контроля воздушных перевозок[x]. Шведские Агентство по чрезвычайным ситуациям (MSB), Агентство почт и телеграфа (PTS) и Радио Служба национальной обороны (FRA) также проводят регулярные совместные курсы старших офицеров информационной безопасности (CIAO) для соответствующих учреждений. Каждый из этих курсов завершается финальным учением – симуляцией крупного информационного кризиса, который затрагивает государственные органы и ключевых игроков рынка, причем в учениях принимают участие члены Парламента и старшие менеджеры (CEO) компаний, несущих ответственность за функционирование критически важных сервисов в Швеции. Эти учения позволяют выявить проблемы в области реализуемой киберполитики и недостатки действующего законодательства, одновременно повышая образовательный уровень и опыт участников в области кибербезопасности[xi]. Чехия в октябре 2015 года провела учения по реагированию на кризисные ситуации, которые фокусировались на преодолении угроз критически важной инфраструктуре с особым вниманием к АЭС страны[xii]. Некоторые страны также проводят учения по реагированию на уже имевшие место киберкризисы. Так, Президент Южной Кореи, Пак Кын Хе, отдала приказ о проведении учений и тренинга в условиях приближенных к возможной кибервойне для всего персонала корейских гидроэлектростанций и АЭС после того, как в сетях этих предприятий было обнаружено вредоносное ПО[xiii].

Кроме прочего, международные учения помогают протестировать возможности реагирования в рамках симулирования международного сотрудничества в преодолении кризисов. Так, США раз в два года проводят учения «Кибер Шторм» (Cyber Storm), цель которых – повысить готовность к кризисным ситуациям государственного и частного секторов. Каждые учения «Кибер Шторм» основываются на ранее извлеченном опыте в рамках реальных инцидентов. Предполагается, что, разрешая имевшие место кризисные ситуации, участники будут готовы к действиям в еще более сложных случаях. В учениях «Кибер Шторм 2016» будут принимать участие представители шестнадцати штатов, одиннадцати государств, а также четырнадцати федеральных агентств[xiv]. Европейский Союз также раз в два года проводит учения «Кибер Европа» (Cyber Europe) по преодолению кризисов с участием стран-членов ЕС и представителей частного сектора[xv]. Во время последних таких учений в 2014 году, продолжавшихся 24 часа, практически все страны ЕС имели возможность проверить свою готовность к почти двум тысячам кибератакам в режиме реального времени, включая такие как DDoS-атака, уничтожение или эксфильтрация данных, а также кибератаки против критических элементов инфраструктуры[xvi]. Кроме этого, Европейское оборонное агентство (EDA) и Североатлантический оборонный альянс (NАТО) также проводят региональные комплексные учения по преодолению киберкризисов с целью повышения готовности стран-участниц к возникновению непредвиденных и сложных ситуаций, а также отработки трансграничного взаимодействия[xvii]. США и Великобритания заявили о том, что они проведут проверку того, как финансовые центры по обе стороны Атлантики будут реагировать в случае совершения массированных кибератак. Учения прошли в ноябре 2015 года, и в их ходе была проведена проверка готовности стран и трансатлантической координации действий и коммуникаций[xviii].

Национальные КРКБ могут также использоваться в качестве механизма упрочения доверия между странами и развития межнационального сотрудничества. Так, Китай, Япония и Корея – страны, исторически испытывающие различные политические трения – создали и проводят раз в год трехсторонние встречи представителей национальных КРКБ для обсуждения и планирования механизмов кризисного реагирования. Такие встречи помогли в упрочении взаимного доверия и создания «горячей линии» для оповещения партнеров о значительных киберинцидентах[xix].

Возможности и потенциал реагирования, совместные встречи и учения являются всего лишь немногими из широкого набора механизмов, которые могут помочь странам эффективно готовиться к киберкризисам и максимально минимизировать их последствия. КРКБ помогают повысить скорость и эффективность реагирования стран в случае кризисов, снижая общий экономический и оперативный ущерб от атак, проводимых на национальном уровне. Одними из основных условий эффективного функционирования таких команд являются высокое качество обучения персонала и наличие высококачественных инструментов быстрого реагирования и развертывания. Все это облегчает работу команд и повышает их способности в деле сотрудничества и координации по предотвращению и быстрому реагированию на кризисы, а также способствует более активному и эффективному обмену информацией между заинтересованными сторонами, как в самой стране, так и в международном масштабе.

Среди основных элементов действующей системы готовности к кризисам должны присутствовать:

Заявление:

1. Публикация плана реагирования на киберкризисы и инциденты;
2. Определение и визуализация кросс-секторных взаимозависимостей, которые влияют на поддержание деятельности сервисов и эффективность механизмов реагирования;
3. Обеспечение должного функционирования плана (учения, тренировки) и его регулярного обновления;
4. Публикация и распространение оценки киберугроз коммуникационным сетям правительства, критически важным элементам инфраструктуры и необходимым службам;

Организационные вопросы:

1. Создание национального КРКБ для управления механизмами реагирования в случае кризисов и инцидентов, а также оказания услуг широкому спектру клиентов в национальном масштабе (помимо правительства и критически важных инфраструктур);
2. Идентификация авторитетных «контактных точек» в государственных и регулирующих органах;
3. Идентификация авторитетных «контактных точек» в критически важных предприятиях, несущих ответственность за деятельность и/или восстановление деятельности в экстремальных ситуациях критически важных сервисов и элементов инфраструктуры;
4. Разработка и запуск системы оповещения и предупреждения, которая может использоваться национальными центрами реагирования и предотвращения кризисов для эффективного и своевременного получения, распространения и передачи срочной информации;

Ресурсы:

1. Определение, запрос и выделение человеческих и финансовых ресурсов для эффективной реализации своих полномочий национальной КРКБ;
2. Определение возможностей дополнительного финансирования с целью запуска и регулярного тестирования системы раннего оповещения и предупреждения, а также для тестирования степени готовности страны к киберинцидентам и кризисам при помощи проведения учений по кибербезопасности;

Реализация:

1. Продемонстрированная способность локализации, управления, устойчивости и гибкого реагирования на кризисы, а также реализации процесса восстановления критически важных сервисов и элементов инфраструктуры;
2. Продемонстрированная национальными КРКБ способность своевременно информировать все заинтересованные стороны о кризисных ситуациях;
3. Наличие информации о постоянно ведущихся исследованиях в области анализа последних тенденций или типов информационных и киберинцидентов национального масштаба, с определением инициаторов, их тактик, применяемых техник и процедур для определения актуальных трендов;
4. Разработка и реализация систем (программ) регулярного тестирования и замеров степени готовности к киберинцидентам и кризисам посредством проведения национальных учений.

Результаты замеров и исследований, в рамках этой категории, основаны на данных национальных КРКБ, предоставленных подразделением КРКБ Университета Карнеги-Меллон[xx], Европейского агентства безопасности сетей и информации (ENISA)[xxi], FIRST[xxii] и МСЭ. Дополнительно использовались первичные и вторичные информационные ресурсы, такие как сайты национальных КРКБ, новостные ресурсы, для определения наличия возможностей, финансирования и степени готовности стран. По мере того, как страны осознают необходимость и важность создания национальных КРКБ, дополнения в рамках этой категории будут отражать, отслеживать и оценивать данные развития.

Читать далее: Часть 5 — Киберпреступность и охрана правопорядка

[i] Термины КРКБ и ККР обозначают команды экспертов в области кибербезопасности, обученные реагировать в случае инцидентов и кризисов. Оба термина могут быть взаимозаменяемыми, хотя КРКБ используется чаще.

[ii] The International Telecommunications Union, “CIRT Programme,” http://www.itu.int/en/ITU-/Cybersecurity/Pages/Organizational-Structures.aspx.

[iii] John Haller, Samuel Merrell, Matthew Butkovic, and Bradford Willke, Best Practices for National Cyber Security: Building a National Computer Security Incident Management Capability, Version 2.0 (Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2011), http://resources.sei.cmu.edu/library/asset-view.cfm?AssetID=9999.

[iv] Olaf Kruidhof, “Evolution of National and Corporate CERTs – Trust, the Key Factor,” in Best Practices in Computer Network Defense: Incident Detection and Response, ed. Melissa E. Hathaway, (Amsterdam: NATO Science for Peace and Security Series, IOS Press, February 2014).

[v] Singapore Computer Emergency Response Team, “FAQs,” https://www.csa.gov.sg/singcert/about-us/faqs.

[vi] Ministério das Comunicações, “Portaria Interministerial N 147, de 31 de Maio de 1995,” http://cgi.br/portarias/numero/147.

[vii] cert.br, “About CERT.br,” http://www.cert.br/about/.

[viii] “Documents,” APCERT. APCERT. org, 13 October 2015. http://www.apcert.org/documents/index.html.

[ix] “Asia Pacific Computer Emergency Response Team Operational Framework” APCERT. APCERT.org, 13 October 2015. http://www.apcert.org/documents/pdf/OPFW(26Mar2013).pdf.

[x] Melissa Hathaway, “Best Practices in Computer Network Defense: Incident Detection and Response,” Global Cyber Security Center (September 2013): 12.

[xi] Ingvar Hellquist (Colonel retd.), Senior Advisor and Lars Nicander, Director, Center for Asymmetric Threat Studies, Swedish Defence University, “CATS Course and Cyber Exercise,” (interview by Melissa Hathaway in Stockholm, Sweden, 17 October 2012) and Swedish National Defence College, “CATS Newsletter,” CATS Center for Asymmetric Threat Studies (Spring 2013).

[xii] Dusan Navratil, Director Czech Republic National Security Authority and Robert Kahofer, Special Assistant, “Cyber Czech 2015 — National Technical Cyber Security Exercise,” (interview by Melissa Hathaway in Washington DC, October 2015).

[xiii] “South Korea says Nuclear Worm is nothing to worry about,” TheRegister. co.uk, 30 December 2014, http://www.theregister.co.uk/2014/12/30/south_korea_says_nuclear_worm_is_nothing_to_worry_about/ and “Activists Hack KNHP’s computer systems,” World Nuclear News, 22 December 2014, http://www.world-nuclear-news.org/C-Activists-hackKHNPs-computer-systems-2212141.html.

[xiv] Department of Homeland Security, “Cyber Storm: Securing Cyber Space,” http://www.dhs.gov/cyber-storm-securing-cyber-space.

[xv] European Commission, “Cyber Strategy of the European Union: An Open, Safe, and Secure Cyberspace,” Joint Communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, (July 2013): 7 and European Union Agency for Network and Information Security, “Cyber Europe,” https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation/cce/cyber-europe.

[xvi] Doug Drinkwater, “Hundreds of companies face two thousand cyber-attacks in EU exercise,” SC Magazine, 31 October 2014 in ENISA, “ENISA Cyber Europe 2014: Media Coverage,” https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation/cce/cyber-europe/ce2014/cyber-europe-2014-information/cyber-europe-2014-media-coverage.

[xvii] European Defense Agency, “Complex Cyber Crisis Management Exercise in Vienna,” 16 September 2015, https://www.eda.europa.eu/info-hub/press-centre/latest-news/2015/09/16/complex-cyber-crisis-management-exercise-in-vienna and NATO, “Largest ever NATO cyber defence exercise gets underway,” 21 November 2014, http://www.nato.int/cps/en/natohq/news_114902.htm?selectedLocale=en.

[xviii] Katie Bo Williams, “US, UK to test finance sector cybersecurity this month,” The Hill, 2 November 2015, http://thehill.com/policy/cybersecurity/258827-us-uk-to-test-finance-sector-cybersecurity-this-month.

[xix] CNCERT/CC, “2nd China-Japan-Korea CSIRT Annual Meeting for Cybersecurity Incident Response was held in Korea,” www.cert.org.cn/publish/english/55/2014/20140916145739295996084/20140916145739295996084_.html.

[xx] Carnegie Mellon University, “List of National CSIRTs,” CERT Division, http://www.cert.org/incident-management/national-csirts/national-csirts.cfm.

[xxi] European Network and Information Security Agency (ENISA), “ENISA- CERT Inventory: Inventory of CERT teams and activities in Europe,” ENISA Version 2.16 (June 2014), http://www.enisa.europa.eu/activities/cert/background/inv/files/inventory-of-cert-activities-in-europe.

[xxii] Forum of Incident Response and Security Teams (FIRST), “FIRST Members,” http://www.first.org/members/teams.