Киберготовность Германии 2.0: Реагирование на инциденты.

Являясь органом, ответственным за национальную кибер-безопасность Германии, BSI формирует политику и план действий в области информационной безопасности в рамках всего правительства и всей страны для предотвращения, определения и реагирования на инциенты, а также является ведущим подотчетным органом в правительстве по вопросу кибер-инцидентов. BSI выпускает предупреждения и оповещения о вирусах и вредоносных программах в ИТ-продуктах и услугах, распространяет информацию как для заинтересованных организаций, так и для общественности, а также дает рекомендации по противодействию вредоносным программам и действиям.

Оглавление (показать/скрыть): Введение
Национальная стратегия
Реагирование на инциденты
Киберпреступность и охрана правопорядка
Обмен информацией
Инвестиции в исследования и разработки (R&D)
Дипломатия и торговля
Оборона и кризисное реагирование
Заключение: Индекс Киберготовности CRI 2.0

BSI также несет ответственность за организацию информационного обмена с более чем 50 000 негосударственных и частных организаций. Несмотря на то, что система раннего оповещения BSI еще не полностью завершена, она повторяет структуру и основные элементы системы оповещения, которую использует Центр информационного обмена и анализа финансовых органов США (FS-ISAC).

Многочисленные команды экстренного реагирования (CERTs) и подобные им организации создавались в Германии с 1991 года. В 1994 году BSI создает свою собственную команду экстренного реагирования (BSI-CERT) для обслуживания федеральных агентств и ориентированную в основном на сбор информации. В 2001 году BSI-CERT был преобразован в правительственную команду и получил название CERT-Bund. За прошедшее время CERT-Bund превратился в настоящую национальную структуру, которая служит платформой и центральным контактным узлом для превентивных, проактивных мер, а также действий по реагированию на кибер-инциденты. Сегодня CERT-Bund тесно сотрудничает с государственными и негосударственными командами по широкому кругу вопросов. Он активно занимается мониторингом с целью предупреждения инцидентов, по желанию партнеров, их сфер ответственностей, в том числе это касается и поставщиков, и производителей ИТ-решений, а также частных и коммерческих пользователей. Он также готовит и рассылает предупреждения, предоставляет информационные услуги, а также ведет базу данных и лог инцидентов в области кибер-безопасности. В 2006 году BSI также создало «Гражданский» CERT (Bürger-CERT) специально для повышения осведомленности общественности и малого бизнеса в вопросах кибер-безопасности.

Несмотря на то, что в Германии нет единого сводного национального плана реагирования на инциденты, существует два документа: «Национальный план защиты информационной инфраструктуры» (National Plan for Information Infrastructure Protection) от 2005 года, актуальный как для правительства, так и для бизнеса, и «План реализации защиты критических элементов инфраструктуры» (Critical Infrastructure Protection (CIP) Implementation Plan) от 2007 года, определяющий стратегию реагирования на кризисы в сфере ИТ, и содержащий рекомендации бизнес-сообществу в плане реализации определенных процессов в случае крупных кибер-инцидентов. В соответствии с последним планом (от 2007 г.), операторы критических элементов инфраструктуры уже «создали и применяют соответствующие процедуры раннего оповещения, в раках которых четко определяются структуры и лица, информируемые в первую очередь после определения кризисной ситуации, а также содержатся критерии дифференциации форм и методов оповещения». Кроме прочего, этот план содержит указания по созданию рабочих групп по различным аспектам кибер-безопасности, таких как кризисное управление, антикризисные учения и постоянная доступность критически важных сервисов. В нем также содержатся указания по структуре соглашений между правительством и частными операторами о создании кризисной информационной структуры и ее функциях по защите критически важных элементов инфраструктуры и реагированию на ИТ-инциденты в области безопасности.

Национальная стратегия кибер-безопасности от 2011 года содержит указания BSI создать Национальный центр кибер-реагирования (Nationales Cyber-Abwehrzentrum, NCAZ), который будет ответственен за координацию деятельности по реагированию на кибер-инциденты между правительством и частным сектором. В роли национального командного, контрольного и аналитического центра NCAZ обеспечит «быстрое реагирование всеми компетентными органами на серьезные инциденты и предоставит анализ таких инцидентов и оценку потенциальных рисков всем соответствующим органам; будет координировать сотрудничество с секторальными и региональными командами по кризисному управлению». В работе этого контрольного и аналитического центра напрямую и в непосредственном сотрудничестве с компаниями частного сектора принимают участие Федеральная служба защиты Конституции (Bundesamt für Verfassungsschutz, BfV), Федеральная служба гражданской обороны и преодоления последствий катастроф (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, BBK), а также другие государственные органы, ответственные за обеспечение безопасности, в т.ч. Федеральное ведомство уголовной полиции (Bundeskriminalamt, BKA), Федеральная полиция Германии (Bundespolizei, BPOL), Ведомство криминальных расследований таможни (Zollkriminalamt, ZKA), Федеральная разведывательная служба (Bundesnachrichtendienst, BND), Вооруженные силы Германии и др. Повестка развития NCAZ предусматривает дальнейшее расширение возможностей Центра в области экстренного реагирования на угрозы и инциденты.

В Германии были организованы несколько учений национального масштаба в области цифровой безопасности для тренировки реализации планов кризисного реагирования правительственными организациями и операторами критически важных элементов инфраструктуры. Одно из этих учений по реагированию и готовности к кризисным ситуациям в 2011 году, имело своей целью тренировку процедур реагирования правительственных структур в случае многоуровневой атаки, включая DDoS-атаки в отношении критически важных элементов инфраструктуры, внедрения вирусных программ в банковскую систему, а также имитации несуществующего трафика в рамках системы контроля воздушных передвижений. Германия также принимает участие в международных учениях, организуемых в рамках Европейского Союза и НАТО. Несмотря на количество учений, проведенных в последние годы, план CIP содержит рекомендации «проведения большего количество учений для реализации и совершенствования современных концепций обеспечения безопасности».

Наконец, Федеральная служба защиты Конституции (BfV) – внутреннее разведывательное агентство Германии – публикует ежегодные отчеты о современных угрозах в области информационной безопасности. Отчет 2016 содержит информацию о том, что Россия и Китай являются ведущими источниками кибер-атак в Германии. Также в отчете сообщается, что германские спецслужбы обнаружили возможные кибер-угрозы ряду немецких объектов со стороны Ирана.

Читать далее: Киберготовность Германии 2.0: Киберпреступность и охрана правопорядка