Киберготовность США 2.0: Обмен информацией

Киберготовность США 2.0: Обмен информацией.

Важность обмена информацией была формализована в конце 90-х годов в рамках Директивы Президента №63. Эта Директива устанавливала, что для защиты критически важных элементов инфраструктуры следует создать механизм обмена информацией и основать Центры обмена и анализа информации (ISACs). Директива №63 требовала от каждого сектора управления критически важными элементами инфраструктуры создать механизм обмена информацией о потенциальных уязвимостях указанного сектора.

Оглавление (показать/скрыть)

Введение
Национальная стратегия
Реагирование на инциденты
Киберпреступность и охрана правопорядка
Обмен информацией
Инвестиции в исследования и разработки (R&D)
Дипломатия и торговля
Оборона и кризисное реагирование
Заключение: Индекс Киберготовности CRI 2.0

Поскольку далеко не все критически важные элементы инфраструктуры создали собственные Центры обмена и анализа, те, у которых данные Центры отсутствуют, получают такие услуги от внешних поставщиков. В частности, Центр обмена и анализа информации финансовых институтов (Financial Services Information Sharing and Analysis Center, FS-ISAC) оказывает содействие в определении, предотвращении и реагировании в случае кибер-инцидентов и при попытках кибер-мошенничества. Этому Центру были предоставлены прямые контакты с поставщиками финансовых услуг; коммерческими компаниями, обеспечивающими безопасность; федеральными, на уровне штатов и местными правительственными органами; правоохранительными органами; а также другими надежными организациями с целью предоставления услуг по своевременному оповещению о возможных кибер-угрозах и других критических угрозах для клиентов в международном масштабе. В рамках своего сотрудничества с указанными организациями FS-ISAC использует особый протокол передачи данных (Traffic Light Protocol) для того, чтобы каждая из организаций-партнеров получала именно ту информацию, которая ей необходима и предназначается. В ходе координированных кибер-атак в отношении нескольких банков США в 2012-2013 гг. FS-ISAC оказал содействие некоторым из банков в оценке серьезности и защите от таких атак благодаря обмену информацией между ними в режиме реального времени. FS-ISAC также предпринимает усилия для распространения своей системы обмена информацией с участием организаций в Великобритании и Европе.

Правительство США уделяет особое внимание вопросам обмена информацией в последние два десятилетия, что нашло отражение в многочисленных политических документах и исполнительных указах президентов: Исполнительный указ №13636 «О повышении кибер-безопасности элементов критической инфраструктуры» (Improving Critical Infrastructure Cybersecurity), подписанный в феврале 2013 г. и Исполнительный указ №13691 «Об обмене информацией по кибер-безопасности в частном секторе» (Private Sector Cybersecurity Information Sharing), подписанный в феврале 2015 г. Эти документы указывают на необходимость увеличения объемов, своевременности и качества обмена информации о кибер-угрозах между частным сектором и правительством, а также необходимость более тесного сотрудничества в области анализа информации с участием всех заинтересованных сторон. В частности, Указ №13691 был призван стимулировать сотрудничество среди организаций частного сектора посредством создания организаций по обмену и анализу информации (Information Sharing and Analysis Organizations, ISAOs), которые должны были служить точками обмена информацией между предприятиями, честным сектором и правительством. Этот Указ также содержал требование уточнить полномочия Министерства внутренней безопасности с тем, чтобы тот мог заключать соглашения с организациями по обмену информацией, тем самым расширяя сотрудничество между организациями по обмену и анализу информации и Федеральным правительством, что позволило бы создать механизм, в рамках которого такие же соглашения об обмене информацией мог бы заключать и Национальный центр кибер-безопасности и интегрированных коммуникаций (NCCIC). Кроме того, Указ предусматривает включение Министерства внутренней безопасности в список федеральных агентств, которые могут выдавать одобрения и подписывать соглашения об обмене секретной информацией для того, чтобы позволить частным компаниям получить доступ к секретной информации о существующих кибер-угрозах. Указ №13691 также включал положения о необходимости создания сильных механизмов защиты приватности и гражданских свобод на основе набора общих стандартов и руководств, таких как принципы справедливого управления информацией (Fair Information Practice principles).

В то время как Министерство внутренней безопасности продолжает расширять сотрудничество и координацию действий с частным сектором через посредничество NCICC, а также разрабатывать более эффективные средства предоставления информации менеджерам частных компаний, стоит отметить, что все еще существуют серьезные проблемы в области такого обмена информацией, в частности: недостаток своевременной, надежной и полезной информации; опасения относительно возможного несоблюдения Закона о свободе информации особенно в случаях, когда речь идет об информации, являющейся коммерческой тайной или интеллектуальной собственностью или о данных о взломах сетей); вопросы о соблюдении приватности и гражданских свобод; возможная юридическая ответственность компаний; а также трудности в планировании реализации мероприятий.

В конце 2015 г. Акт о кибер-безопасности (CSA) был утвержден Конгрессом и организации, которые на добровольной основе обменивались информацией о кибер-угрозах между собой и Федеральным правительством получили право ограниченной ответственности. CSA наложил следующие обязанности на Министерство внутренней безопасности: 1) получать информацию о кибер-угрозах и оборонных мерах, предоставляемых любой организацией; 2) обеспечить получение всеми федеральными агентствами такой информации своевременно, в режиме реального времени и с использованием автоматизированных систем. В рамках исполнения Акта об обмене информацией в области кибер-безопасности (CISA) Министерство внутренней безопасности разработало систему Автоматического обмена индикаторами (Automated Indicator Sharing, AIS), которая позволяет получать новые индикаторы кибер-угроз от предприятий частного сектора и правительственных организаций автоматически, а также стимулирует сотрудничество частного сектора с NCCIC в вопросах подготовки их сетей к автоматическому обмену такими индикаторами. Цель программы AIS – автоматическое предоставление информации организациям-участницам, в т. ч. федеральным министерствам и агентствам, частным компаниям и Центрам обмена и анализа информации (ISACs). Тем не менее, до сих пор вопросы полной автоматизации процесса все еще не решены полностью. Для полного внедрения системы и полного выполнения требований AIS, Правительство США, вероятно, потребует использования в рамках программы протоколов, созданных Министерством внутренней безопасности — STIX, TAXII и/или CybOX – стандартизированных систем языков программирования, услуг и систем обмена информацией, используемых для кодирования и обмена высокосекретной информацией. Недавно Министерство юстиции и Министерство внутренней безопасности обнародовали руководства для частного сектора по вопросам обмена информацией об индикаторах кибер-угроз и оборонных мероприятий федерального правительства в этой области.

Министерство внутренней безопасности также стремится создать надежное пространство для обмена информацией о кибер-угрозах с частным сектором с использованием Соглашений о сотрудничестве в области исследований и разработок (Cooperative Research and Development Agreements, CRADA), которые являются частью реализации более всеобъемлющей Программы по сотрудничеству и обмену кибер-информацией (Cyber Information Sharing and Collaboration Program, CISCP). Кроме прочего, Совместная национальная оперативная группа кибер-расследований (NCIJTF), совместно с другими федеральными кибер-центрами и органами, работающими в этой области, совершенствуют систему кибер-безопасности ФБР — Cyber Guardian system, с целью повысить качество процесса создания и использования отчетов о кибер-угрозах, а также оповещения компаний, которые уже являлись целями вредоносной кибер-деятельности. В рамках этой деятельности различные кибер-центры создали и распространили более 10,000 отчетов о кибер-угрозах и разослали более 2,000 уведомлений о них по состоянию на июль 2015 г.⁵¹ Наконец, в феврале 2015 г. Президент Обама одобрил создание Национального центра интеграции разведки по кибер-угрозам (CTIIC) с целью повышения ситуационного информирования правительственных органов США о внешних кибер-угрозах. CTIIC в настоящее время служит национальным разведывательным центром, который связывает ответственных должностных лиц в правительстве страны и осуществляет анализ информации из всех источников с целью выявления кибер-угроз национального масштаба.

Другая модель обмена информацией осуществляется в Национальном альянсе кибер-криминалистики и кибер-подготовки (NCFTA) – некоммерческой корпорации, ответственной за поддержку сотрудничества между частным сектором, исследовательскими организациями и правоохранительными органами в целях определения, предотвращения и нейтрализации комплексных кибер-угроз. Помимо правоохранительных органов штатов и местного уровня, а также частного сектора, в этой некоммерческой инициативе принимают участие международные представители из Канады, Австралии, Великобритании, Индии, Германии, Нидерландов, Украины и Литвы. NCFTA обеспечивает своевременный и направленный обмен информацией о кибер-угрозах между корпорациями и другими партнерами, а также напрямую сотрудничает с экспертами в области охраны порядка, безопасности бизнеса, а также из исследовательских кругов, с целью предотвращения рисков и противоправной деятельности, а также для сбора информации, необходимой для преследования преступников.

Центр кибер-безопасности (Advanced Cyber Security Center) в Бостоне, штат Массачусетс, является региональной инициативой, направленной на обмен информацией. Подобно NCFTA, он является некоммерческим консорциумом, объединяющим частные фирмы, университеты, а также правительственные организации с целью предотвращения наиболее комплексных кибер-угроз. Центр поводит встречи раз в две недели для обмена информацией об индикаторах угроз и обмена мнениями по вопросам потенциально вредоносной деятельности в сети. Он также занимается операционализацией автоматического обмена информацией для того, чтобы участники могли обмениваться данными об угрозах и методах их предотвращения, а также принимает активное участие в исследовательской работе в этой области, сотрудничая с частным сектором и университетами.

Надо отметить, что существуют и другие модели обмена информацией, которые могут использоваться в других областях. Так, во-первых, Центр обмена и анализа информации финансовых институтов (FS-ISAC) создал специальный комитет – Комитет исследования угроз (Threat Intelligence Committee, TIC), в рамках которого члены организации могут обмениваться секретной информацией в области кибер-безопасности. Кроме прочего, восемь крупнейших банков США создали рабочую группу по вопросам кибер-защиты и объединили своих сотрудников, работающих в этой области, для повышения уровня своей общей безопасности. Общая цель этих банков – в максимально возможной степени обмениваться друг с другом сведениями об угрозах, совместно готовить мероприятия по противодействию им, а также проводить совместные учения по предотвращению атак против крупнейших организаций. Наконец, существуют секторальные инициативы в области обмена информацией, такие как Альянс кибер-угроз (Cyber Threat Alliance), чья задача – повысить осведомленность и защитить организации члены и их клиентов от современных кибер-угроз.

Читать далее: Киберготовность США 2.0: Инвестиции в исследования и разработки (R&D)