Индекс Киберготовности 2.0 — Часть 6: Обмен информацией

Индекс Киберготовности 2.0 — Часть 6: Обмен информацией

Четвертой категорией, определяющей киберготовность страны, является ее способность создать и поддерживать функционирование механизмов обмена информацией, которые позволят обеспечивать эффективное взаимодействие и обмен важными сведениями между правительством и бизнесом. Ключевая деятельность, такая как выявление, оценка и реакция на целевые атаки, которые могут иметь серьезные последствия для глобальных телекоммуникаций, торговли и деловых операций, требует гораздо большего, чем обычный мониторинг и применение традиционных защитных механизмов. В глобальном масштабе, большинство правительств, организаций и бизнесов создали и используют программы обмена информацией для лучшего понимания угроз, исходящих от официальных и неофициальных игроков, а также управления своим потенциалом по устранению уязвимых мест и исправления последствий заражения вредоносным ПО и взломов.

Оглавление (показать/скрыть)

Часть 1: Введение
Часть 2: Методология
Часть 3: Национальная стратегия
Часть 4: Системы реагирования
Часть 5: Киберпреступность и охрана правопорядка
Часть 6: Обмен информацией
Часть 7: Инвестиции в исследования и разработки
Часть 8: Дипломатия и торговля
Часть 9: Оборона и кризисное реагирование
Часть 10: Заключение

Формальные механизмы обмена информацией, подобные тем, которые создаются национальными КРКБ и ККР, могут значительно повысить степень координации действий в случае реагирования в кризисной ситуации, облегчить обмен информацией об угрозах и развединформацией в режиме реального времени, а также повысить понимание того, какие секторы экономики находятся под угрозой, какая информация была утеряна в ходе инцидента, и какие средства и методы могут использоваться для защиты информационных активов. Существуют как минимум четыре модели реагирования на киберугрозы и защиты всеми заинтересованными своих информационных активов:

1. инициированная правительством;
2. инициированная секторными предприятиями;
3. инициированная НПО;
4. гибридная модель, инициированная и созданная при сотрудничестве правительства, предприятий, НПО и исследовательских центров.

У каждой из этих моделей есть свои достоинства и недостатки, такие, например, как необходимость сбалансировать своевременный обмен актуальной информацией о ситуации в области кибербезопасности с необходимостью сохранить конфиденциальность данных, защитить гражданские свободы, а также грамотно распорядиться часто соревнующимися людскими и финансовыми ресурсами или интересами сторон. Тем не менее, для успеха каждой из моделей важны два фактора: доверие и взаимные обязательства всех сторон, что должно обеспечиваться четко артикулированными целями и задачами, ролями, ответственностью сторон и ожидаемыми результатами. Если говорить проще, если одна из сторон участвует в сотрудничестве с неохотой или «из-под палки», положительного результата не достичь.[i]

Более того, все заинтересованные стороны должны иметь возможность обмениваться всей имеющей ценность информацией о серьезных инцидентах, что предполагает наличие четких определений того, какого рода информацией они могут и должны обмениваться, кто будет иметь доступ к такой информации, а также какие защитные меры будут применяться в отношении этой информации после ее предоставления владельцем остальным сотрудничающим сторонам. Сложность процесса обмена такой чувствительной информацией возрастает пропорционально с ростом группы заинтересованных и участвующих в обмене сторон и, пожалуй, экспоненциально в случаях, когда участниками такой группы являются суверенные государства со своими определенными национальными интересами.

Многие страны уже разработали и внедрили надежные национальные программы обмена информацией, которые могут использоваться как удачные примеры другими странами. Эти программы обычно сосредотачиваются на распределение всех похожих игроков по группам и затем сведение всех этих групп в единую программу сотрудничества. В Нидерландах, к примеру, создан Национальный центр кибербезопасности (НЦКБ) – инициатива правительства, которая возникла на основе голландского правительственного центра GOVCERT и превратилась в успешное государственно-частное партнерство, которое несет ответственность за кибербезопасность и обмен информацией в стране[ii]. Одна из задач центра – постоянный мониторинг всех (потенциальных) источников угрозы в интернете и своевременное оповещение властей и заинтересованных организаций в случае обнаружения реальности такой угрозы. НЦКБ также напрямую связан со всеми Центрами обмена и анализа информации (ЦОАИ) в стране. Обмен информацией производится с использованием Traffic Light Protocol (TLP), с классификацией информации по четырем уровням конфиденциальности: красный, желтый, зеленый и белый. Нидерландская программа обмена информацией была создана по образу британского Национального центра координации безопасности систем инфраструктуры (NISCC), который консультировал национальный бизнес в Великобритании по вопросам информационной безопасности[iii]. Похожая ситуация и в Японии, где Агентство развития информационных технологий (АРИТ) действует как орган власти, наделенный полномочиями регулировать обмен информацией между правительством и предприятиями критически важных секторов экономики. Это агентство продемонстрировало отличные результаты работы и сумело наладить доверительные отношения со всеми крупными предприятиями страны, одновременно делясь с ними ценными и важными релевантными разведданными и результатами анализа. Кроме того, АРИТ тесно сотрудничает с Министерством экономики, торговли и промышленности, национальным центром информационной безопасности и Командой по консультациям и экстренной киберпомощи (J-CRAT) в деле преодоления всех крупных инцидентов, которые могут нанести ущерб важным элементам национальной инфраструктуры[iv].

В США, напротив, Центр обмена и анализа информации о финансовых услугах (FS-ISAC) является бизнес-инициативой, разработанной финансовыми институтами для определения, предотвращения и реагирования на киберинциденты и мошенничество в сети. Этот центр наработал тесные связи с поставщиками финансовых услуг; коммерческими компаниями, предоставляющими услуги в области кибербезопасности; федеральными, национальными, местными властями и властями штатов; правоохранительными органами; а также с другими пользующимися доверием и авторитетом организациями. Центр предоставляет своевременные и надежные оповещения о потенциальных угрозах своим партнерам по всему миру. Помимо прочего, FS-ISAC использует особую версию TLP для того, чтобы определять какие игроки могут и должны получать соответствующую информацию[v]. FS-ISAC расширяет свою сеть партнерства по обмену информацией на международный уровень, включая в нее организации из Великобритании и Европы. Подобные центры обмена и анализа информации существуют и в других секторах, не только в финансовом, однако они менее эффективны.

Национальный альянс киберэкспертизы и обучения (NCFTA) США является некоммерческой корпорацией, целью которого является облегчение сотрудничества между частными компаниями, исследовательскими центрами и правоохранительными органами в области определения, минимизации и нейтрализации комплексных киберугроз. Помимо представителей государственных органов, правоохранительных ведомств и бизнеса, это некоммерческое партнерское предприятие также работает на международном уровне, работая с представителями Канады, Австралии, Великобритании, Индии, Германии, Нидерландов, Украины и Литвы. Для обеспечения снижения уровня рисков и противоправных действий, NCFTA обеспечивает прямой и своевременный обмен информацией и аналитикой о киберугрозах с корпорациями и другими партнерами, а также с экспертами в различных секторах: НПО, частный бизнес, правоохранительные органы, исследовательские организации. Кроме того, альянс помогает в сборе необходимой информации для преследования преступников по закону[vi].

Наконец, норвежский Центр киберинформации и безопасности (ЦКИБ) при Университете Йёвика является совместной инициативой (исследователи, правительство и бизнес-круги) и представляет еще один подход к обмену информацией и сотрудничеству в области кибербезопасности. ЦКИБ поддерживает единый в рамках страны подход в области информационной и кибербезопасности, а также разработал и использует схему обмена информацией для обеспечения возможностей общества определить, подготовиться и справиться с серьезными киберкризисами и инцидентами. Кроме того, он оказывает поддержку исследованиям и разработкам в области кибербезопасности.

Помимо различных программ обмена информацией, которые разрабатывают разные страны, происходит также сбор информации, связанной с кибербезопасностью, различными разведывательными и военными ведомствами в этих странах. Многие из таких организаций уже начали снимать гриф секретности с собираемой ими информации этого рода и делиться ею не только с органами власти, но и с представителями бизнеса. Действительно, своевременное информирование всех заинтересованных зачастую – важнейший элемент предотвращения или снижения остроты киберугроз. Некоторые страны, такие как Бразилия, разработали механизмы де-классификации (снятия грифа секретности) с актуальной информации, имеющей важность для безопасности других организаций (государственных и негосударственных), такие как их слабые места, относящиеся к ним угрозы, а также возможные тактики и способы преодоления таких угроз[vii]. Повышение киберобороноспособности страны является очень важной задачей, и многие страны готовы к снижению уровня секретности информации для того, чтобы повысить уровень безопасности в обществе.

Способность страны наладить обмен своевременной, практической и аккуратной информацией между заинтересованными государственными и негосударственными организациями помогает устранить уязвимые точки и слабые места, что впоследствии приведет к снижению уровня рисков. С ростом частоты и качества обмена информацией все участвующие в этом процессе организации оказываются способны более быстро и эффективно справляться с угрозами их сетевым инфраструктурам. Создание и поддержание программ обмена актуальной информацией является фундаментальной инвестицией в будущий экономический рост.

Среди основных элементов действенной национальной системы обмена актуальной информацией должны присутствовать:

Заявление:

1. Формализация и распространение положений о политике обмена информацией между различными секторами общества и экономики, которая позволит наладить эффективный обмен информацией и аналитикой между правительствами и соответствующими секторами экономики;

Организационные вопросы:

1. Определение ответственной организации, которая будет заниматься передачей достоверной информации от правительственных источников правительственным агентствам и критически важным предприятиям (уровень правительство-правительство);
2. Определение ответственной организации, которая обеспечит реализацию механизма (формат и схема отчетности, технологии и проч.) обмена информацией между различными секторами общества и экономики (во всех направлениях), как актуальной (в режиме реального времени), так и юридически-процессуальной (постфактум) (уровень правительство – предприятия / предприятия-предприятия);
3. Создание исследовательского центра или некоммерческого механизма для обмена информации об уязвимостях, инцидентах или кризисных решениях (альтернативная модель, например, NCFTA или Национальная база данных инфраструктурных уязвимых мест)[viii];

Ресурсы:

1. Определение и выделение необходимых человеческих и финансовых ресурсов, требуемых для реализации схемы обмена актуальной информацией инициируемой правительством, либо для любой другой формы или структуры такого обмена;

Реализация:

1. Продемонстрировать, что кросс-секторный и межорганизационные механизмы координации направлены на исправление проблем в критических областях, где существует взаимозависимость между двумя и более заинтересованными сторонами, включая оповещение о критических ситуациях и механизмы управления кризисными ситуациями на кроссекторном и межорганизационном уровнях; а также, что эти механизмы поддерживаются на должном уровне эффективности и постоянно тестируются;
2. Продемонстрировать, что правительство приняло и готово использовать процесс своевременной деклассификации (рассекречивания) аналитической и разведывательной информации по кибербезопасности, имеющей отношение к третьим сторонам, и предоставлять ее другим государственным органам и негосударственным организациям[ix].

Оценка успешности страны в этой категории будет основываться на том, созданы ли и действуют ли в стране механизмы обмена информацией и координации действий. На основе информации из первичных и вторичных источников авторы ИКГ 2.0 определяют факт наличия таких механизмов и достаточность их финансирования. Существенные и значительные изменения будут тщательно отслеживаться, оцениваться и включаться в отчет.

Читать далее: Часть 7 — Инвестиции в исследования и разработки

[i] Melissa Hathaway, “Why Successful Partnerships are Critical for Promoting Cybersecurity,” The New New Internet, 7 May 2010.

[ii] Netherlands Ministry of Security and Justice, “National Cyber Security Centre (NCSC),” https://www.ncsc.nl/english.

[iii] В феврале 2007 года Национальный центр координации сил безопасности объединился с Национальным консультационным центром в области безопасности, образовав Центр защиты национальных инфраструктур (CPNI). Чтобы узнать больше, смотри: Center for Protection of National Infrastructure, http://www.cpni.gov.uk.

[iv] Information-technology Promotion Agency (IPA), Japan IT Security Center, Initiative for Cyber Security Information sharing Partnership of Japan (J-CSIP) Annual Activity Report FY2012, (April 2013).

[v] Financial Services-Information Sharing and Analysis Center, “Overview of the FS-ISAC,” accessed 17 September 2015, https://www.fsisac.com/sites/default/files/FS-ISAC_Overview_2011_05_09.pdf.

[vi] National Cyber-Forensics & Training Alliance, “Become a NCFTA Partner,” https://www.ncfta.net/become-ncft-partner.aspx.

[vii] Raphael Mandarino, “MT2: Private Public Partnership,” Institucional Security Cabinet, Department of Information Security and Communications, Office of the President, (presentation at 1st INTERPOL Security Conference, Hong Kong, 15-17 September 2010).

[viii] National Institute for Standards and Technology, “National Vulnerability Database,” https://nvd.nist.gov.

[ix] В Великобритании и Бразилии существуют механизмы деклассификации (публикации или предоставления партнерам) разведывательной или аналитической информации и предоставление ее критически важным предприятиям коммерческого сектора. Эта практика намного эффективнее, чем используемая в США.