Вызовы защиты критически важной инфраструктуры: надежность систем в цифровой век
Сегодня утром меня попросили выступить с докладом о проблемах защиты критической инфраструктуры. Этот вопрос имеет глобальное значение и, таким образом, является достойным предметом обсуждения для такой международной группы экспертов, как та, что собралась здесь сегодня. Существует множество физических и кибер-рисков, от которых необходимо защищать критически важную инфраструктуру — от механических повреждений в результате стихийных бедствий до простых человеческих ошибок, и, конечно, злоумышленных действий, совершаемых преступниками или организациями. Защита должна быть устойчивой, надежной и долговечной — как в мирное время, так и во время кризиса или конфликта.
Сегодня давайте обратим внимание на защиту критически важной инфраструктуры от рисков, исходящих из киберпространства, или, если хотите, рисков в информационной сфере. Мы также можем рассмотреть и риски физических угроз, которые являются не менее серьезными, однако тематикой нашего Форума является информационная безопасность. Приступим.
1. Критически важная инфраструктура
Итак, что именно представляет собой критически важная инфраструктура? Как представляется, она многочисленна. Рассмотрим пару перефразированных определений — одно национальное и одно региональное:
- В США критически важная инфраструктура определяется как «системы и средства, которые настолько жизненно важны для США, что их неработоспособность или уничтожение оказали бы угнетающее воздействие на национальную безопасность, экономическую безопасность, здравоохранение и правопорядок».
- В Европейском союзе используется подобное определение. «Критически важная инфраструктура Европейского союза — это средства или системы, необходимые для поддержания работы жизненно важных общественных функций, таких как здравоохранение, безопасность, правопорядок и экономическое благополучие; их выведение из строя или разрушение окажет значительное влияние на государства-члены ЕС».
Что касается критически важной инфраструктуры США, Министерство национальной безопасности США выделяет 16 различных секторов критически важной инфраструктуры, в том числе: банковский сектор; химическая промышленность; связь; критически важные производства; плотины; оборонно-промышленный комплекс; образовательные учреждения; аварийные службы; энергетический сектор; сектор продовольствия и сельского хозяйства; государственные учреждения; общественное здравоохранение; информационные технологии; сектор ядерной промышленности; национальные памятники; водоснабжение.
Важно принять во внимание, что определение, что является критически важным, часто зависит от того, какое агентство вы об этом спрашиваете. В небольшом городке с единственным колодцем, или единственным мостом, или единственной телефонной линией, или единственной дорогой — все эти элементы инфраструктуры города, разумеется, считаются «жизненно важными», и их потеря окажет «разрушительное» воздействие на горожан и их выборных должностных лиц. Однако для государства нереалистично обозначить каждую небольшую дорогу, мост, телекоммуникационную сеть или источник воды, как национальную критически важную инфраструктуру, даже если политически оно иногда должно рассматривать их как таковую. Было бы невозможно вкладывать средства в защиту всех инфраструктур, зависящих от киберпространства. Более того, если всё считать критически важным, то ничто таковым не будет. Не будет приоритетов, согласно которым распределяются ресурсы. Таким образом, ответ «всё» не лучше, чем ответ «ничего». Необходимо принять ряд трудных решений, и даже среди них необходимо выделить приоритеты.
Вообще, значительная часть международной литературы по критически важной инфраструктуре содержит аналогичные списки важнейших секторов инфраструктуры, подобные вышеупомянутым. Однако необязательно иметь согласованный на международном уровне список того, что является критически важной инфраструктурой, а что нет. Скорее всего, на международном уровне будет нелегко договориться об общепринятом определении, и в любом случае такой «список» необходимо будет постоянно обновлять. Он будет бесполезным. Тем не менее, некоторая взаимная транспарентность была бы полезна — в отношении того, что каждая нация считает своей критически важной инфраструктурой. Речь идёт главным образом об указании категорий, но, возможно, также об указании ряда основных объектов и систем общего пользования.
Конечно, кроме двух вышеприведённых, существуют и другие национальные и международные определения, но и по этим определениям можно легко понять, что защита критической инфраструктуры будет непростой задачей, и, несомненно, всегда будут присутствовать элементы риска. В каждом государстве есть множество критически важных инфраструктур, есть также международные критически важные инфраструктуры, в первую очередь система подводных волоконно-оптических кабелей, которая в основном принадлежит транснациональным корпорациям, но в значительной степени находится в международных водах.
С какими угрозами мы сталкиваемся сегодня и в будущем, пытаясь обеспечить безопасность этих критически важных систем? Что должно вызывать беспокойство?
2. Угрозы критически важной инфраструктуры
Продолжая рассмотрение американской модели, США при обеспечении безопасности инфраструктуры, для охвата как физического, так и киберпространства, используют «всеобъемлющий подход к защите инфраструктуры». Недавно стало понятно, что это абсолютно правильный подход. Когда в 2012 году ураган Сэнди обрушился на район Карибского моря, восточную часть США и Канады, угроза критически важной инфраструктуре проявилась в виде крупномасштабного физического уничтожения, вызванного природой — штормовым ветром, грозами и сильным наводнением. В результате урагана Сэнди 10 миллионов человек на восточном побережье США остались без электричества, некоторые из них находились в таком состоянии на протяжении многих недель, без тепла, воды или электричества. И это несмотря предпринятые на всех уровнях власти (федеральном, местном и на уровне штатов) меры по предупреждению и ликвидации аварий в виде множества электроремонтных бригад со всей территории Соединенных Штатов и Канады. За 48 часов было отменено более 5000 коммерческих рейсов авиакомпаний. Из-за наводнения были закрыты станции метро в центре Нью-Йорка и Вашингтона. Беспрецедентно на два дня прекратила работу Нью-Йоркская фондовая биржа. Погибло 285 человек. Общие потери составили более $ 10 млрд. Значительная часть критически важной инфраструктуры была разрушена.
Но является ли защита критически важной инфраструктуры от угроз, исходящих из киберпространства, на самом деле настолько же, или даже более важной, чем защита от угрозы физического ущерба от естественных причин? Центр стратегических и международных исследований и компания компьютерной безопасности McAfee, в своём исследовании 2013 года, пришли к выводу, что ежегодные потери от киберпреступлений, затрагивающих критически важную инфраструктуру, в США составляют $ 100 млрд. Эта оценка является радикальным пересмотром и составляет 1/10 от предыдущей оценки McAfee в $ 1 трлн ежегодных потерь. Таким образом, по материалам Wall Street Journal, ежегодные потери от киберпреступности, целью которой часто становится сектор финансовых услуг, находятся на одном уровне с ежегодным ущербом от происшествий на автотранспорте. Однако в исследовании ЦСМИ и McAfee не были учтены такие долгосрочные потери, как утрата конкурентоспособности из-за кражи информации, составляющей коммерческую тайну.
Давайте не будем обманывать себя: исходящие из киберпространства риски для критически важной инфраструктуры являются реальными и возрастают по мере того, как неуклонно увеличивается и становится всё более необратимой наша зависимость от этих систем. Для того, чтобы подчеркнуть всю серьёзность рисков, приведём несколько громких дел.
Произошедшие в конце 2012 года кибератаки типа распределенный отказ в обслуживании (DDoS) на американские банки стали для США тревожным сигналом. После этих атак в июле 2013 года были проведены учения под названием «Квантовый рассвет — 2», в которых приняли участие более 50 банков, а также Комиссия по ценным бумагам и биржам, ФБР, Министерство финансов и Министерство внутренней безопасности США. Существует реальная вероятность, что с увеличением количества совершаемых пользователями транзакций в Интернете, возрастёт число онлайн-атак.
Кроме DDOS-атак, угрозу нашей инфраструктуре представляют: преступники, которые хотят украсть деньги; «Хактивисты», которые посредством нарушения работы критически важных систем хотят сделать политические заявления; а также иностранные правительства, целью которых является шпионаж, направленный против транснациональных компаний США и других государств.
Кроме этого, из последних примеров можно привести вирус Shamoon, который в 2012 году поразил ключевые компании энергетической инфраструктуры (нефти и природного газа) на Ближнем Востоке — Saudi Arramco (Саудовская Аравия) и Ras Gas (Катар). Как утверждается, эти нападения были осуществлены каким-то государством или от его имени.
Еще одним широко освещённым примером нападения на инфраструктуру является атака вируса Stuxnet на программируемые логические контроллеры (ПЛК) на территории комплекса по обогащению урана в иранской Натанзе. Считается, что эта атака является первым примером использования специализированного кибероружия, хотя для подтверждения этого необходимо гораздо больше информации и исследований.
Другой важной и растущей проблемой являются продвинутые постоянные угрозы (Advanced Persistent Threat). Они являются хорошо организованными, направлены, как правило, на цели, имеющие наибольшее значение, в том числе системы инфраструктуры, и их вредоносный код трудно обнаружить и устранить внутри сети. Эти угрозы зачастую не оставляют обнаружимых следов своего присутствия, они просто находятся внутри сети и либо извлекают данные, наблюдают за сетевой активностью, или внедряют вредоносные программы для последующего использования, в том числе для выведения сети из строя в решающий момент.
Мы стали свидетелями политически мотивированных атак на государства, например, нападений на эстонские банковские, информационные и правительственные веб-сайты весной 2007 года. В этом случае, несмотря на то, что некоторые считали его нападением на эстонское государство, было установлено, что это были «кибербеспорядки», осуществленные «хактивистами». Они действовали самостоятельно или в качестве прокси в ответ на неприемлемое для русских решение правительства Эстонии по перемещению памятника с центральной площади Таллинна.
И, естественно, будут иметь место такие нападения на инфраструктуру в рамках кинетических межгосударственных конфликтов как, например, атаки на грузинские системы во время российско-грузинской войны 2008 года. Еще только предстоит определить, как эти атаки могут нарушать законы вооруженных конфликтов с точки зрения их потенциала непропорциональных гражданских потерь или неизбирательного уничтожения. Во второй половине дня на эту тему будет более обширный доклад д-ра Санджая Гоэла.
Похожими, но, в связи с отсутствием обычной военной кампании, другими были кибератаки против информационных систем Украины и НАТО во время недавней российской подрывной деятельности и аннексии Крымской области Украины. Несомненно, можно сделать вывод, что любая будущая деятельность по всему спектру военных операций будет включать в себя киберкомпонент.
Таким образом, выше перечислен спектр возрастающих угроз, и этот короткий список без сомнения является неполным. Единственное, что мы можем сказать с практически полной уверенностью: угрозы никуда не уходят, а становятся все более распространенным явлением и всё более изощренными. Далее мы обратим внимание на то, что государства и международные организации делают для противодействия этим угрозам.
3. Основные элементы системы защиты критически важной инфраструктуры США.
За каждым из шестнадцати секторов критической инфраструктуры США был закреплён соответствующий орган федеральной власти. Большинство секторов находятся в ведении Министерства внутренней безопасности. Некоторые сектора работают с другими ведомствами, например, оборонно-промышленный сектор с Министерством обороны, а банковский сектор с Министерством финансов.
В каждом секторе есть соответствующий Центр обмена информацией и анализа, в ведении которого находится государственно-частное партнерство и добровольный обмен информацией об угрозах и методах защиты. Этот обмен очень важен, поскольку примерно 85% критически важной инфраструктуры США находится в частном секторе, а стороны, участвующие в этих партнерствах от государства, как правило, лучше осведомлены об общих угрозах, чем любая частная корпорация или предпринимательский сектор.
Для каждого выделенного сектора был разработан Национальный план по защите инфраструктуры и ряд Специальных секторальных планов. Они разработаны с учетом Национальной программы по чрезвычайным ситуациям, которая является всеобщим планом США по реагированию на различные бедствия и чрезвычайные ситуации, не только в киберпространстве.
В феврале 2014 года президент Обама представил первые добровольные стандарты кибербезопасности, чтобы бизнес использовал их при защите своей критически важной инфраструктуры. Стандарты также поощряют более широкий обмен информацией между секторами бизнеса и соответствующими государственными органами. Это первый шаг. Трудно и потенциально экономически вредно заставлять конкурирующие компании обмениваться информацией об успешных нападениях на них. Тем не менее, следование стандартам со временем должно стать нормой. В конце концов, возможно, также появится закон, предписывающий соблюдать эти требования.
В рамках своих обязанностей по оказанию помощи оборонно-промышленному сектору Министерство обороны выдвинуло Расширенную инициативу по кибербезопасности. Её целью является обмен информацией об угрозах и защите с оборонными подрядчиками, являющимися частью критически важной инфраструктуры. Аналогичные инициативы для оказания помощи другим секторам в настоящее время разрабатываются другими ведомствами, в первую очередь Министерством национальной безопасности.
Наконец, Международная стратегия для киберпространства США направлена на «предоставление государствам, стремящимся создать свой собственный технический потенциал и потенциал кибербезопасности, необходимого опыта, знаний и других ресурсов». Поддержка США ранжируется от поддержки национального потенциала в области ликвидации последствий инцидентов до создания государственно-частных партнерств, повышения безопасности систем управления, помощи в создании эффективных законов по киберпреступности. США работают с другими странами как самостоятельно, так и в рамках форумов под эгидой ОАГ, АТЭС, НАТО и ООН.
4. Краткий обзор деятельности международных организаций по защите инфраструктуры
Организация Объединенных Наций
C 2004 года растёт доверие к работе Группы правительственных экспертов ООН (ГПЭ), как одной из наиболее многообещающих инициатив по международному сотрудничеству. Достигнутые в 2010 и 2012 годах в рамках ГПЭ договоренности были скромными, но примечательными — как обычно и бывает в начале такой работы. Каждый из докладов был более содержательным, чем предшествующее (принятию доклада в 2010 году предшествовала неудача), и мы должны с оптимизмом надеяться, что очередной раунд переговоров продолжит эту тенденцию, несмотря на то, что он будет проводиться среди более широкой группы экспертов. Говорить что-либо о положительной динамике ГПЭ более не стоит, потому что нам повезло, и со следующим пленарным докладом будет выступать посол Андрей Крутских. Он хорошо известен всем нам как один из первоначальных членов ГПЭ, председатель ГПЭ 2010 года, и закаленный ветеран, который этим летом будет снова участвовать в переговорах во время очередного раунда дискуссий. Без сомнения, Андрей сообщит нам некоторые ценные сведения, о том, что ожидать на протяжении очередных двух лет работы ГПЭ, и что ожидать в будущем. Важно четко понимать, что ООН активно участвует в развитии международной кибербезопасности.
Международный союз электросвязи
МСЭ представил проект Глобальной программы кибербезопасности в 2007 году, который основывается на пяти столпах, это: нормативно-правовая база; технические меры; организационные структуры; наращивание потенциала; и международное сотрудничество. МСЭ является ведущей глобальной действующей силой по мерам укрепления доверия в секторе ИКТ. Одним из его наиболее заметных проектов является Индекс глобальной кибербезопасности, в котором даётся оценка возможностей кибербезопасности государств по пяти критериям: правовые, технические и организационные меры, наращивание потенциала и сотрудничество. МСЭ поддерживает партнерские отношения с другими организациями: с Управлением ООН по наркотикам и преступлениям для обмена передовым опытом по нормотворческой деятельности в области киберпреступлений; с Международным многосторонним партнерством против киберугроз, для работы над глобальными решениями проблем противодействия киберугрозам; и с Форумом групп обеспечения безопасности и реагирования на инциденты для обмена передовым опытом о возможностях реагирования на компьютерные инциденты.
Европейский союз
В вопросе международной кибербезопасности, ЕС является, пожалуй, наиболее активной региональной организацией, что является следствием крепких бюрократических основ. В 2004 году в ЕС было создано Европейское агентство сетевой и информационной безопасности с центральным офисом на Крите — в этом году агентство отмечает свое 10-летие. Также с 2004 года в ЕС начали заниматься вопросами защиты инфраструктуры, а в 2009 году для развития обмена информацией было создано Государственно-частное партнерство для повышения устойчивости. В начале прошлого года была принята Стратегия кибербезопасности ЕС, а в августе 2013 года обновлена Европейская программа защиты критически важной инфраструктуры, и выделено три направления работы: предупреждение, повышение готовности и реагирование.
В Европейской программе защиты критически важной инфраструктуры выделено четыре приоритетных общеевропейских сектора: система организации воздушного движения Евроконтроль; глобальная навигационная спутниковая система Galileo; Сеть электропередач и Европейская газотранспортная сеть.
В ЕС разработана Информационная сеть предупреждения критически важных инфраструктур — основанная на Интернете, эта система предназначена для обмена идеями по защите критически важной инфраструктуры, исследованиями и передовым опытом между странами-членами ЕС и их учреждениями. Портал Информационной сети начал работу в середине января 2013 года. В соответствии с программой Цифровой повестки дня для ЕС, под руководством Европейского агентства сетевой и информационной безопасности, были дважды проведены общеевропейские учения по кибербезопасности, в ходе которых были проверены системы обеспечения безопасности критически важной инфраструктуры на всей территории Европейского союза. Также были определены минимальные базовые возможности, услуги и политические рекомендации, необходимые для эффективного функционирования национальных/государственных Групп быстрого реагирования на компьютерные инциденты.
Организация Североатлантического договора (НАТО)
НАТО принимает участие в защите критически важной инфраструктуры с 2001 года. В 2003 году Главный комитет по планированию использования гражданских служб в чрезвычайных ситуациях принял план из шести пунктов для помощи государствам в ликвидации последствий химических, биологических, радиологических и ядерных атак, особенно террористического характера. В 2006 году главы государств и правительств подтвердили роль Альянса по защите критически важной инфраструктуры для защиты населения, территории, инфраструктуры и вооруженных сил стран-участниц от последствий террористических атак, а также для защиты собственных интересов безопасности от прерывания потока жизненно важных ресурсов.
В 2011 году в рамках Альянса началась работа по выявлению зависимостей критически важной инфраструктуры стран-участниц и работа с ними по оценке уязвимости систем, жизненно важных для миссий и операций Альянса. Как ожидается, в 2014 году министры Альянса утвердит новую политику киберобороны, которая за несколько ближайших лет поспособствует укреплению программ НАТО.
Совсем недавно, 5-8 апреля, Североатлантический совет принял решение удовлетворить просьбу Украины, страны- партнера НАТО. Для оказания помощи Украине в разработке гражданских планов действий в чрезвычайных ситуациях и антикризисных мер была направлена Консультативная группа поддержки НАТО по защите критически важной инфраструктуры и гражданского населения. Это связано с критически важной энергетической инфраструктурой и угрозами безопасности жизнедеятельности в случае дальнейшего ухудшения там условий безопасности.
Организация по безопасности и сотрудничеству в Европе (ОБСЕ)
ОБСЕ проявила всеобщий интерес к кибербезопасности, как транснациональной проблеме, на саммите в 2010 году, а также на специальной конференции по кибербезопасности в 2011 году. В декабре 2013 года в ОБСЕ было согласовано «Решение о первоначальном перечне мер укрепления доверия в рамках ОБСЕ с целью сокращения рисков возникновения конфликтов в результате использования информационных и коммуникационных технологий». В этот перечень входит, кроме прочего, добровольное проведение консультаций на соответствующем уровне для снижения риска неправильного восприятия… и защиты критически важной национальной и международной инфраструктуры ИКТ, в том числе обеспечения их целостности.
Организация исламского сотрудничества
Организация исламского сотрудничества является еще одной региональной организацией, которая предпринимает шаги для решения проблемы защиты критически важной инфраструктуры, однако путём консультирования заинтересованных стран-участниц для укрепления их потенциала на национальном уровне. В 2008 году была создана Группа экстренного реагирования на компьютерные происшествия Организации исламского сотрудничества, и на сегодняшний день в неё вошли соответствующие группы 19 из 57 стран- участниц. Ежегодно ими проводится 2-5 конференций для обмена передовым опытом, нормами и сведениями об угрозах. Только некоторые из этих обсуждений посвящены защите критически важной инфраструктуры, но это хорошее начало. Необходимо всемерно приветствовать даже небольшие шаги и способствовать развитию их содержательности и прозрачности. И все большему количеству стран-участниц Организации исламского сотрудничеств следует принимать в этом участие. Это особенно важно для Афганистана, который стремится обеспечить надежность ИКТ-инфраструктуры для поддержания экономики, пытающейся встать на предпринимательские рельсы по мере ухода Международных сил содействия безопасности к концу этого года.
Африканский союз
В январе 2012 года Африканский союз разработал проект Конвенции по доверию и безопасности в киберпространстве. Заявленной целью Конвенции является создание надежной основы для кибербезопасности в Африке. Это первый обнадеживающий шаг к участию Африканского союза в защите критически важной инфраструктуры. Конвенция должна была быть принята в январе 2014 года, но это не было сделано из-за возражений Кении по вопросу конфиденциальности. На следующем этапе Кения представит свои письменные возражения к маю 2014 года.
Организация американских государств (ОАГ)
В 2004 году члены ОАГ одобрили резолюцию, в соответствии с которой Секретариат начал работу над вопросами кибербезопасности. Целью этой работы стало создание Групп экстренного реагирования на компьютерные происшествия в каждом государстве-члене, и Группы экстренного реагирования на компьютерные происшествия ОАГ, как механизма координации региональных инициатив в области кибербезопасности. Согласно последним данным, большинство членов ОАГ в 2011 году имели Группы экстренного реагирования на компьютерные происшествия. Это свидетельствует, что программа в значительной степени была успешной. Пока неясно, насколько активно Группа экстренного реагирования на компьютерные происшествия ОАГ консультирует членов организации или организует перспективные программы помощи, подобные программам Организации исламского сотрудничества.
Ассоциация государств Юго-Восточной Азии (АСЕАН)
В Сингапурской декларации 2003 года содержался призыв к созданию информационной инфраструктуры АСЕАН и Групп экстренного реагирования на компьютерные происшествия во всех государствах-членах к 2005 году. В 2010 году был принят Генеральный план развития связи в странах АСЕАН. В 2011 году был согласован Генеральный план развития ИКТ в АСЕАН до 2015 года. В 2012 году, для оказания поддержки Совету АСЕАН по сетевой безопасности, странами АСЕАН было принято решение о продолжении учений, проводимых Группой экстренного реагирования на компьютерные происшествия АСЕАН. В 2013 году была обновлена программа сотрудничества по сетевой безопасности 2005 года.
Азиатско-Тихоокеанское экономическое сотрудничество (АТЭС)
Начиная с 2002 года, АТЭС принял ряд документов по кибербезопасности, в том числе Стратегию кибербезопасности 2005 года, в которой была признана важность безопасности инфраструктуры связи, и, в частности, Интернета в регионе АТЭС.
Шанхайская организация сотрудничества (ШОС)
В марте 2013 года странами ШОС были подписаны соглашения по борьбе с использованием или потенциальным использованием компьютерных сетей в террористических, сепаратистских или экстремистских целях. Хотя эти соглашения, как представляется, не предназначены для совместного решения проблем защиты критически важной инфраструктуры, они, тем не менее, свидетельствуют о текущей деятельности ШОС в этой области.
Без сомнения, во всём мире существуют и другие инициативы, и присутствующие здесь в зале могут дополнить этот список в ходе обсуждения. Вышеприведенные примеры демонстрируют, в какой степени ООН и многие региональные организации начинают решать неизменную задачу защиты критически важной инфраструктуры. Есть ли среди них такие, которые делают всё от них зависящее? Полагаю, все согласятся, что они могут и должны делать больше. А все, что они уже делают, должно осуществляться более эффективно, и в соответствии с более высокими стандартами, к которым они сами стремятся. Необходимо взаимодействовать с ними, и способствовать тому, чтобы движение вперёд было энергичным, транспарентным и совместным.
5. Заключение
Этот краткий обзор критически важной инфраструктуры и некоторых действующих инициатив по её защите должен стимулировать обсуждение, а в идеале, и новое мышление о том, как бороться с соответствующими проблемами на международном уровне.
Позвольте мне предложить для такого обсуждения три направления работы, которые, как представляется, являются первостепенными. Прежде всего, мы должны работать над повышением устойчивости наших критически важных систем, как новых, так и старых, и вкладывать средства в улучшение систем по мере возникновения рисков, или упреждая ожидаемые. Мы должны работать над этим на национальном уровне через государственно-частное партнерство, а также на региональном и глобальном уровнях
Мы также должны вкладывать средства в противодействие организации и распространению ботнетов, в том числе сетей, арендуемых для криминальных целей. Это потребует от государств принятия на себя ответственности по недопущению противоправного поведения на их территории. Для этого также потребуется повысить скорость и качество сетевой судебной экспертизы, и найти способы осуществлять фильтрацию интернет-трафика, скорее всего, на уровне Интернет- провайдеров. Есть множество веских причин, почему фильтрация не получила широкого распространения — задержки, затраты, конфиденциальность, и т.д. Нам необходимо найти такие решения, которые бы удовлетворили различных участников, в том числе Интернет-провайдеров и самих пользователей.
Что касается компьютерной экспертизы, предмет которой шире, чем вышеприведенный пример, а также политики фильтрации, нам нужны гораздо более образованные и осведомленные трудовые ресурсы — которые в совокупности намного лучше разбираются в передовой практике и компьютерной гигиене. Это человеческое измерение защиты критически важной инфраструктуры слишком часто упускается из виду. Не это приносит прибыль технологическим компаниям, продающим решения сетевой безопасности. Однако, мало кто сомневается, что это самое слабое место в системе обеспечения безопасности. Честные и имеющие соответствующий допуск пользователи неосознанно просто сами допускают хищение данных своих учетных записей — по причине использования плохих паролей, посторонних устройств в сетях, непроверенных механизмов аутентификации, или будучи жертвами целевого фишинг-мошенничества. Будет ли следующее поколение пользователей, выросшее в сети, лучше разбираться в вопросах безопасности? Возможно, но это неочевидно, принимая во внимание ту лёгкость, с которой личная информация размещается в социальных сетях. Необходимо внедрить компьютерную безопасность в каждый метод и образовательную дисциплину. Конечно, технология может в этом помочь, если безопасность будет встроена по умолчанию.
Активная оборона и разведка внутри критически важных информационных сетей является еще одним важным элементом защиты. Сетевые администраторы должны иметь возможность обнаружения вредоносных программ не только на граничных порталах, но также и в пределах своих сетей для обнаружения скрывающихся в них несанкционированных агентов, маскирующихся под зарегистрированных пользователей.
Как было отмечено в начале этого доклада, мы также не можем игнорировать физическую угрозу в отношении информационных систем, будь то стихийное бедствие, как ураган Сэнди, террористический акт или какая-либо другая разрушительная сила. Так же, как и меры защиты киберпространства, меры физической защиты должны включать в себя повышение надёжности, резервирование и необходимые барьеры, а также динамическую защиту, например активные системы наблюдения — автоматизированные или управляемые оператором.
Чтобы со временем защита стала и оставалась адекватной, нам нужно расставить приоритеты и вложить достаточные ресурсы. Мы должны решать проблемы на двух направлениях — на уровне конечных пользователей, посредством таких образовательных программ, как Stop-Think-Connect; а также посредством усиления защиты ключевых узлов инфраструктуры, где мы можем одновременно оградить от угроз миллионы систем и IP-адресов. Мы должны активно работать и на том, и на другом направлении, а не просто вкладывать средства в одно из них.
Наконец, для своевременного восстановления систем и ограничения последствий отказа инфраструктуры, необходимо совместное реагирование, которое потребует от нас соответствующих возможностей, взаимодействия и развития устойчивости. Когда у нас будут все эти возможности, мы будем двигаться в нужном направлении и будем хорошо подготовлены для решения существующих и будущих проблем защиты критически важной инфраструктуры.
Отказ от ответственности: в настоящей статье изложена личная точка зрения Чарльза Барри, которая не обязательно отражает политику Национального университета обороны, Министерства обороны или Правительства США.
Материал подготовлен на основе доклада, представленного на Девятой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 21-24 апреля 2014 года г.Гармиш-Партенкирхен, Германия.
