Нужен новый подход к кибербезопасности (США)

248

Публикация с сайта Фонда «Heritage Foundation»  (США) :
 Нужен новый подход к кибербезопасности, считает Фонд. 

Фонд «Heritage Foundation» – это  стратегический исследовательский институт США, который занимается широким спектром исследования международной политики. Имеет консервативную направленность. Основан в 1973 году. 

Неудачи правительства в обеспечении кибербезопасности обнажают слабости регулирующего подхода к вопросам кибербезопасности.

В прошлом году Сенат дважды отклонял Закон о кибербезопасности 2012 г. (Cybersecurity Act) в связи с опасениями, что регулятивный подход может навредить усилиям США в области кибербезопасности.  Несмотря на эти опасения, Президент Обама издал указ о кибербезопасности, в основе которого лежит регулятивный или основанный на стандартах подход к требованию дополнительной безопасности в организациях частного сектора. Правительство, однако, уже заявляет о необходимости формирования собственных органов для контроля соблюдения существующих стандартов кибербезопасности. Наилучший способ оценить эффективность стандартов кибербезопасности – проследить, насколько хорошо работают принципы безопасности в самом правительстве.

Ниже приведен список случаев взломов и сбоев в системе кибербезопасности федерального правительства, начиная с ноября 2012 г. Этот список отнюдь не полный: о некоторых взломах могло не докладываться, другие только готовятся. Помимо этого, в список не включены многочисленные сбои в частном секторе. Тем не менее, число и серьезность нарушений кибербезопасности существенно ослабляют аргумент «за» регулятивный подход к кибербезопасности, предполагающий контроль правительства.

Министерство обороны США

1. Национальный реестр плотин Инженерного корпуса армии США, май 2013. Хакеры взломали базы данных по всей территории США и обнародовали внутреннюю информацию о 8 100 основных платинах (включая их слабые места).

2. Пентагон, апрель 2013. В результате взлома неизвестными злоумышленниками был получен доступ к 500 000 электронных писем, хранившимся на жестком диске Пентагона. В результате этого взлома прокуроры Гуантаномо имели возможность ознакомиться с конфиденциальными документами защиты.

 3. Сайт Сухопутных войск Национальной гвардии США, март 2013. Киберармия Туниса (Tunisian Cyber Army) совместно с Электронной Армией «Аль-Каиды» (al-Qaeda Electronic Army) и китайскими хакерами взломали сайт Национальной гвардии США. Всем участникам взлома удалось получить важные документы Министерства обороны США.

 4. Форт Монмут Армии США, декабрь 2012. Хакеры взломали базу данных с огромным количеством данных. Была раскрыта личная информация (включая номера социального страхования) сотрудников и посетителей. Помимо этого был получен доступ к информации центров командования, управления, связи, наблюдения и разведки.

Министерство энергетики США

5. Серверы и рабочие станции, январь 2013. Хакеры воспользовались слабым местом, о котором Министерству энергетики было известно с 2012 г., заразив вирусами 14 серверов и 20 рабочих станций и получив доступ к личной информации нескольких сотен сотрудников.

Министерство национальной безопасности

6. Личная информация, апрель 2013. Хакеры похитили информацию о социальном обеспечении и финансовую информацию новоназначенного руководителя Секретной службы и разместили ее в сети Интернет.

7. Анкетные данные, май 2013. Департаменту социального обеспечения недавно стало известно об уязвимости программного обеспечения, используемого для обработки анкетных данных сотрудников. В результате личная информация (такая как имена, даты рождения, номера социального страхования) десятков тысяч сотрудников  была потенциально доступна несанкционированным пользователям.

Министерство труда США

8. Сайт Министерства труда США, апрель 2013. Хакеры запустили на сайте Министерства труда вредоносный код. Вследствие этого были заражены вирусами компьютеры посетителей сайта.

Государственный департамент США

9. Сайт Госдепартамента США, март 2013. Киберармия Туниса совместно с Электронной Армией «Аль-Каиды» воспользовались уязвимостью сайта Госдепартамента США, что позволило им получить важную документацию. Они заявляют, что владеют секретной информацией с правительственных компьютеров и серверов.

10. Сайт Госдепартамента США, февраль 2013. Анонимная группа хакеров получила доступ к базе данных Госдепартамента США через интернет-сайт департамента. Впоследствии группа разместила добытые сведения в сети Интернет.

 Федеральная агентство по связи США

11. Система аварийного оповещения, февраль 2013. Хакеры проникли в систему аварийного оповещения населения и разослали сообщение, предупреждающее людей о вымышленной атаке зомби. Сотрудники, обслуживающие систему аварийного оповещения, поменяли все пароли и перепроверили все межсетевые экраны, прежде чем возобновить работу системы онлайн.

Федеральный резерв

12. Внутренние сайты, февраль 2013. Неизвестные злоумышленники получили доступ к сайту, воспользовавшись брешью в ПО сайта. Это позволило им похитить информацию о более чем 4 000 управляющих банками.

Управление общих служб

13. Система регулирования вознаграждений (SAM), март 2013. Уязвимость системы безопасности позволила пользователям системы регулирования вознаграждений увидеть финансовую информацию других пользователей системы. Неизвестно, как долго был открыт доступ.

Национальное управление по аэронавтике и исследованию космического пространства (НАСА)

14. Кража ноутбука и секретных документов, ноябрь 2012. Грабители вскрыли автомобиль сотрудника НАСА и выкрали ноутбук и секретные документы. Был получен доступ к информации о сотрудниках, подрядчиках и лицах, не являющихся сотрудниками НАСА.

Национальный институт стандартов и технологии

15. Национальная база данных уязвимостей США, март 2013. Хакеры получили доступ к базе Национального института стандартов и технологий, воспользовавшись брешью в ПО. После того, как база данных пробыла в режиме офлайн в течение недели, сотрудники обнаружили вирусы на двух веб-серверах. Было не похоже, чтобы сайт Национальной базы уязвимостей распространял вирусы среди пользователей, которые посещали сайт.

Пенитенциарная комиссия США

16. Сайт Пенитенциарной комиссии США, январь 2013. Протестуя против преследования программиста и хакера Аарона Шварца, анонимные злоумышленники захватили контроль над сайтом Пенитенциарной комиссии США. Группа разместила пригодную для игры версию видео-игры «Астероиды» на сайте Комиссии.

Нужен новый подход к кибербезопасности

Приведенный выше список является обоснованной причиной скептического отношения к тому, что правительство способно регулировать стандарты кибербезопасности. Такие стандарты способны навредить частному сектору, создавая культуру податливости, препятствуя нововведениям  и игнорируя экономически выгодные решения. Вместо подхода нисходящего регулятивного контроля, Конгрессу и Администрации следует:

Стимулировать обмен информацией о киберугрозах и уязвимости. Частный сектор обладает большим объемом информации и опыта, которые могли бы помочь США в усилиях по обеспечению кибербезопасности. Чтобы обеспечить обмен информацией, правительству следует обеспечить строгое выполнение обязательств, регулятивное использование и защиту, предусмотренную  Законом о свободном доступе к информации лицам, предоставляющим информацию. Помимо этого, необходимо создать общественно-государственное объединение, которое сможет выступить центром для обмена информацией между правительством и частным сектором.

Обеспечивать развитие рейтингов каналов киберпоставок. Опасные как для правительства, так и для частного сектора киберугрозы могут исходить от вредоносных программных средств. Поощрение создания рейтинга каналов киберпоставок может помочь как частному, так и  государственному сектору определить безопасность киберкомпонентов. Это позволило бы компаниям принимать ответственные решения на основе оценки рисков относительно своей кибербезопасности.

Занять главенствующую позицию в международном кибер-пространстве. Правительству следует занять ведущую роль в мире, заставив киберзлоумышленников прочувствовать на себе негативные последствия их отрицательного поведения. США должны назвать и осудить злоумышленников, прекратить взаимодействие с ними, а также предпринять юридические действия в отношении зарубежных компаний, торгующих украденной информацией или собственностью.

Отказаться от недостаточно эффективных предписаний в области кибербезопасности

Взломы и сбои в системе кибербезопасности правительства свидетельствуют о том, что предписания, стандарты и правила не гарантируют безопасность. Вместо того, чтобы навязывать эти стандарты частному сектору, Конгрессу следует придерживаться принципов кибербезопасности, которые являются гибкими, экономически выгодными и основанными на оценке рисков.