Что предпринимают США для киберзащиты своей инфраструктуры

Политика США в сфере регулирования IT-индустрии и киберпространства основана на следующих общих принципах.

1. Возврат к доктрине Монро, в основе которой лежит идея невмешательства иностранных государств в деятельность США и полного доминирования США в западном полушарии. Отсюда ориентация на развитие собственных производств, ресурсного и кадрового потенциала, усиление защиты критически значимой инфраструктуры.

2. Усиление инструментов влияния на глобальные технологические компании: создаются специальные организации, которые тесно взаимодействуют с технологическими компаниями, федеральными агентствами, спецслужбами и финансовыми структурами. Каждая из таких организаций имеет определённую сферу влияния: технологические стандарты, государственно-частные проекты противодействия кибератакам и др.

3. Принятие законов и стандартов, позволяющих расширить влияние США на производства и рынки, импортозамещение и обеспечения безопасности поставок. Так, в настоящее время реализован экспортный контроль над цепочками поставок полупроводников с целью сдерживания экономики Китая, недопущения КНР на стратегические рынки.

См. также: Принцип «ни одного Китая» >>> 

4. Повышение киберзащищённости малых и средних предприятий, контроль за соблюдением требований кибербезопасности как направления государственной политики.

5. Повышение квалификации специалистов в области информационной и кибербезопасности и подготовка новых кадров – государственная задача.

США официально провозглашают стремление сохранить лидирующие позиции в сфере ИКТ и ограничить участие других стран на IT-рынках, в том числе за счёт неконкурентных мер. Частью этой политики стали постоянные обвинения России и Китая в кибератаках на информационную инфраструктуру США и ограничения экспорта IT-продукции в РФ.

Усиление защиты КИИ США

Разработка и распространение технологий вообще и IT в частности в США курируется специально создаваемыми организациями, определяющими технологическую политику и тесно связанными с ведущими отраслями критически важной инфраструктуры, государственными ведомствами и финансовыми структурами. Это позволяет контролировать промышленные стандарты, аккумулировать необходимые кадры для обеспечения кибербезопасности, координировать межведомственное взаимодействие, выявлять таланты в области разработок информационного оружия, планировать и вести кибероперации.

В частности, деятельность организации Cyberspace Solarium Commission направлена на усиление государственно-частного партнёрства для противостояния кибератакам и увеличения роли государства. Cyberspace Solarium Commission предлагает правительству США совместно с частным сектором:

  • защищать себя и принимать ответные меры при кибератаках на критически важную инфраструктуру и прочих угрозах;
  • формировать устойчивую экономику как опору для сдерживания потенциальных угроз – для этого осуществляется стратегическое планирование, способное обеспечить восстановление национальной экономики после кибератаки;
  • реформировать государственные институты, расширив полномочия действующих учреждений, в задачу которых входит обеспечение безопасности в информационном пространстве, в частности, Агентство по кибербезопасности и безопасности инфраструктуры США (US Cybersecurity and Infrastructure Security Agency, CISA), а также создать центры для координации обеспечения кибербезопасности в органах исполнительной власти и Конгрессе США;
  • активизировать и укрепить позиции частного сектора в области ИБ, поскольку большая часть критической инфраструктуры США принадлежит частному сектору;
  • продолжить ведение эффективной политики привлечения финансирования для модернизации инфраструктуры на государственном и частном уровнях.

В обновлённой версии отчёта 2021 года Cyberspace Solarium Commission перечисляет первоочередные задачи. К ним относятся:

  • кодификация в федеральном законе концепции «системно важной критической инфраструктуры», такая концепция должна стать приоритетной с точки зрения киберзащиты;
  • создание государственно-частных партнёрств для обмена информацией об угрозах;
  • принятие законов, таких, как закон о кибердипломатии, для создания «киберотдела» при Государственном департаменте США.

Другая важнейшая организация – ICANN (произносится как «ай кэн», I can – «я могу»), ответственная за техническое управление Интернетом, включая функции IANA. Попытки поставить эту формально частную некоммерческую организацию под международный контроль сталкиваются с сопротивлением США на государственном уровне.

В Национальном институте стандартов и технологий США (National Institute of Standards and Technology, NIST) работает центр компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших IT-компаний США.

Сам NIST – подразделение Управления по технологиям США, одного из агентств Министерства торговли США. NIST вместе с Американским национальным институтом стандартов (ANSI) участвует в разработке стандартов и спецификаций в сфере IT. Эти стандарты используются как в государственном секторе США, так и во всех крупнейших коммерческих компаниях в Америке и по всему миру. Кооперация с союзниками через принятие единых стандартов усиливает позиции США как законодателя в мире IT.

На прикладном уровне NIST ведёт разработки по многим направлениям. Так, в областях Интернета вещей и кибербезопасности ведутся работы по измерению нейроморфных устройств, созданию доверенных сетей вещей, подходам к понятию композиции в IoT, фундаментальной метрологии связи. Имеются отдельные программы «Нулевое доверие» и «Кибербезопасность в IoT», изучаются методы защиты от DDoS-атак, тестирования программного обеспечения, проводится программа проверки криптографических алгоритмов и т.п.

В доктринальных документах США киберпространство рассматривается как полноценная сфера ведения военных действий, требующая принятия серьёзных мер для обеспечения защиты американских интересов и противодействия угрозам национальной безопасности США. Для этого США используют любые методы борьбы: контроль над экспортом полупроводников в Китай и Россию, давление на союзников по всему миру с целью не допустить ETH на стратегические рынки (в частности, 5G) и др.

США усиливают протекционизм совей промышленности. Президент Байден подписал указ о продолжающемся чрезвычайном положении в стране, объявленном в указе 13959 от 12 ноября 2020 года об угрозе со стороны военно-промышленного комплекса КНР. В документе перечислены 59 китайских компаний и иных организаций, в том числе AVIC, China Electronics, China Communication Construction и др. – импорт их продукции в США ограничивается.

Американская модель защиты КИИ включает три категории объектов:

  • инфраструктура – доступ и использование охватывает физическую инфраструктуру и устройства конечных пользователей, а также всё то, что обеспечивает цифровую грамотность и равный доступ к Интернету;
  • цифровые права и управление — сюда относятся законы, регулирующие цифровое пространство (например, конфиденциальность, кибербезопасность, интеллектуальную собственность) и цифровое взаимодействие между правительством, СМИ и гражданским обществом – включая цензуру, предотвращение дезинформации, обеспечение кибербезопасности, цифровую идентификацию, защиту персональных данных;
  • цифровая экономика – цифровые каналы для предоставления финансовых услуг, электронной коммерции и торговли цифровыми товарами и услугами; здесь активно используется импортозамещение, сервисы и услуги создаются на собственных технологиях или на технологиях союзников.

Протекционизм со стороны государства реализуется рядом институтов, среди которых одну из ключевых ролей играет CISA.

Так, ФБР и CISA в официальном докладе заранее предупредили об атаках программ-вымогателей, происходящих в праздничные и выходные дни.

Кибератаки на КИИ США

Январь 2018. Шифровальщик SamSam заблокировал файловую систему клиники Hancock Health в США, требуя выкуп за дешифровку. Все файлы в сетях больницы были зашифрованы. IT-служба больницы распорядилась выключить все компьютеры, чтобы не допустить дальнейшего распространения по сети.

Для восстановления данных руководство больницы заплатило вымогателям выкуп в размере 4 биткоинов, что на момент выплаты составило 55 тысяч долларов.

Декабрь 2019. Атака на сеть дата-центров в США. Компания CyrusOne была атакована версией вируса-вымогателя REvil (Sodinokibi). Выкуп заплачен не был, работоспособность сети восстановлена компанией самостоятельно.

Декабрь 2019. Атака на госорганы штата Луизиана в виде фишинга и вымогательства. Из-за заражения вредоносными программами государственные учреждения вынуждены были отключить некоторые IT-системы и веб-сайты.

Некоторые из пострадавших объектов были связаны с канцелярией губернатора, законодательным собранием штата Луизиана, управлением автотранспортных средств, департаментом транспорта штата и др.

Достоверной информации об этом происшествии мало, работоспособность систем была постепенно восстановлена.

Январь 2020. Шифровальщик Snake. Snake шифрует самые разные файлы, однако обходит системные папки. Примечательно, что перед началом шифрования вредоносная программа пытается завершить процессы системных утилит и инструментов для управления технологическими процессами. Исследователи из SentinelLabs также упомянули, что большинство атакованных Snake промышленных объектов были как-то связаны с продуктами компании General Electric. Например, программа-вымогатель завершала критический для работы сервера GE Digital Proficy процесс, что могло привести к остановке производства.

Первыми жертвами Snake стали автомобильный производитель Honda и гигант ТЭК — компания Enel.

Апрель 2020. Утечка данных пользователей Zoom. Специалисты компании IntSights обнаружили 2,3 тысячи скомпрометированных учётных данных пользователей Zoom, опубликованные на хакерском форуме. Помимо прочего, база данных содержит корпоративные логины и пароли, принадлежащие банкам, консультационным компаниям, образовательным учреждениям, организациям сферы здравоохранения и разработчикам ПО.

Разработчики Zoom признали наличие проблем с безопасностью и пообещали исправить их. Однако с ростом популярности сервиса стало очевидно, что он не обеспечивает должный уровень конфиденциальности пользовательских данных. В результате этого многие крупные компании рекомендовали своим сотрудникам не использовать Zoom для проведения служебных совещаний.

Декабрь 2020. Атака на SolarWinds. Злоумышленники получили доступ к системе сборки SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключается к удалённому серверу, который получает управление заражённым компьютером.

Последствия нападения неизвестны. Исследователи предполагают, что в ходе атаки через SolarWinds вредоносная DLL была распространена среди примерно 18 тысяч клиентов. Однако злоумышленники нацелены только на организации, чьи данные, по их мнению, имеют большую ценность. В настоящее время список организаций, пострадавших от атаки, включает FireEye; Министерство финансов США; Национальное управление по телекоммуникациям и информации США (NTIA); Государственный департамент США; Национальные институты здоровья (NIH) (часть Министерства здравоохранения США); Министерство внутренней безопасности США (DHS); Министерство энергетики США (DOE); Национальное управление ядерной безопасности США (NNSA); некоторые штаты США (какие именно, неизвестно); Microsoft; Cisco.

Февраль 2021. Хакер попытался отравить воду в американском городе Олдмар. Подобрав пароль, злоумышленник вошёл в компьютерную систему сооружения через TeamViewer, проник в систему очистки воды и увеличил концентрацию гидроксида натрия в 100 раз, что смертельно опасно. Жертвами могли стать 15 тысяч жителей города. Однако хакер был замечен в системе работником станции, трагедии удалось избежать.

Март 2021. Взлом Microsoft Exchange Server. Группа хакеров Hafnium смогла получить контроль над email-аккаунтами клиентов Microsoft через несколько 0day-уязвимостей на серверах почтовых ящиков Exchange Server. Доступ использовался для кражи информации из корпоративной сети.

По сведениям WSJ, число пострадавших организаций во всём мире может достигать или даже превосходить 250 тысяч. В США жертвами стало минимум 30 тысяч компаний и государственных структур.

Май 2021. Атака на Colonial Pipeline. В результате хакерской атаки злоумышленники похитили большой объём данных, а также заблокировали сети крупнейшей трубопроводной системы в США Colonial Pipeline. Инцидент был связан с не использующимся, но все еще активным аккаунтом для VPN со скомпрометированным паролем. Поскольку аккаунт не должен был использоваться, то для него было снято требование мультифакторной идентификации. Точного подтверждения способа, которым злоумышленники получили логин, пока нет.

Colonial Pipeline Co была вынуждена выплатить преступникам 75 биткоинов (4,4 миллиона долларов) и получила ключи для разблокировки сети. Однако ключ дешифрования, предоставленный хакерами, работал настолько медленно, что компания предпочла использовать собственные резервные копии данных для восстановления системы.

7 июня 2021. Министерство юстиции США сообщило, что власти сумели отследить денежные переводы, осуществленные в криптовалюте, и вернуть примерно 63,7 биткоина (2,3 миллиона долларов).

По утверждению американских властей, киберпреступники базируются в России, группировка носит название DarkSide. Согласно источникам телекомпании CNN, в инциденте участвовали также «независимые» хакеры.

Май 2021. Атака на американского производителя ядерного оружия. Американская компания Sol Oriens, связанная с производством ядерного оружия, подверглась атаке шифровальщика REvil.

В качестве доказательства взлома представители REvil опубликовали изображения документов о найме сотрудников, заработной плате и отчёты о выплатах.

Представители Sols Oriens подтвердили, что компания подверглась атаке.

Июнь 2021. Атаки Darkside. Первый замдиректора ФБР заявил, что расследования в отношении деятельности хакерской группировки Darkside ведутся с 2020 года. На данный момент ФБР обнаружило больше 90 жертв в целом ряде объектов критической инфраструктуры, включая производство, юриспруденцию, страхование, здравоохранение и энергетику.

Защита цепочек поставок для объектов инфраструктуры

В действиях по защите от кибератак особое внимание правительство США уделяет усилению защиты цепочек поставок.

Слабым звеном в цепочках поставок являются компании малого и среднего бизнеса. США активно разрабатывают и внедряют подходы к всесторонней защите цепочек поставок, т.к. большинство поставщиков малого и среднего бизнеса плохо понимают вопросы кибербезопасности, свидетельствуют выводы экспертов Национальной оборонной промышленной ассоциации (National Defense Industrial Association, NDIA).

Повышение защищённости цепочек поставок наравне с развитием производств внутри страны усиливает в США позиции в сторонников импортозамещения.

Импортозамещение как средство защиты инфраструктуры

Программа импортозамещения (Import Substitution Program, ISP) создана в США для американских производственных компаний, поставщиков технологий, торговых ассоциаций, организаций экономического развития (EDO) и производственных партнерств (MEP) с целью увеличить внутреннее производство примерно на 10% и обеспечить защищённость предприятий.

ISP поддерживается по четырём ключевым направлениям: замещение импортных товаров американскими, устранение пробелов в цепочках поставок (пробелы здесь – категории продуктов, которые не производятся в достаточных объёмах, и импортируются), экономическое развитие, повышение квалификации рабочей силы.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться:

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь