В связи с обсуждаемым в настоящее время в Сенате США ежегодным законом о национальной обороне на 2019 год (2019 National Defense Authorization Act, NDAA), предусматривающем расходы на военные нужды, а также полномочия лиц и организаций по управлению обороной, FCW вычленяет из него ряд положений, касающихся кибербезопасности; среди прочего Сенат намерен дать министру обороны право вести операции в киберпространстве.
Сенат намерен «подтвердить полномочия главы Минобороны на проведение военных действий и операций в киберпространстве» для подготовки окружающей обстановки, влияния на противника, защиты своих войск, сдерживания враждебности и проведения контртеррористических операций, в которых задействованы вооруженные силы США. Сюда же входят и засекреченные операции. Закон, если он будет принят, введёт кибероперации в сферу «традиционной военной деятельностти».
NDAA включает ряд иных положений, касающихся кибербезопасности – от защиты цепочки IT-поставок до повышения способности Пентагона реагировать на кибератаки и подготовки специалистов.
Ниже подборка рекомендаций из законопроекта, относящихся к кибербезопасности военного ведомства и военным действиям США в Сети.
1. Назначить в Минобороны США ответственного чиновника, курирующего интеграцию кибербезопасности и системы управления [оборонной] промышленностью. На сегодняшний день в министерстве нет ответственного за стандарты кибербезопасности в промышленности, отмечается в документе – и это мешает комплексному подходу к киберзащите самого министерства обороны и его критической инфраструктуры.
2. Обеспечить малые компании поддержкой их IT-безопасности. Сюда входит поиск бизнесов, которые нуждаются в помощи; «развитие самооценки бизнеса» в сфере кибербезопасности; предоставление бизнесу необходимых техник, технологий и информации об угрозах; создание сертификационных программ и консультирование персонала, который сможет разрабатывать планы по кибербезопасности для производителей.
3. Следовать инструкциям министерства внутренней безопасности (Department of Homeland Security, DHS) по стандартам интернет-безопасности и безопасности электронной почты. Минобороны обязано подчиняться инструкциям DHS в области кибербезопасности, в частности, соблюдать запрет на использование ПО «Лаборатории Касперского», специально говорится в документе.
4. Создать комиссию по киберпространству (Cyberspace Solarium Commission) – для усиления кибербезопасности США и продвижения стратегии поведения Минобороны в киберпространстве. В комиссию должны войти заместители глав национальной разведки, DHS и Минобороны, плюс ещё десять человек, избираемых Конгрессом. В полномочия комиссии будет входить рассмотрение инцидентов, связанных с нарушением правил кибербезопасности.
5. Разработать политики США в отношении киберпространства, кибербезопасности, кибервойны и «киберсдерживания». Авторы документа подчеркивают, что отсутствие эффективной стратегии и политики в отношении киберугроз ведёт к неудовлетворительной реакции на них.
6. Обеспечить подготовку специалистов в области кибербезопасности [для Минобороны] в колледжах и университетах. Вузы будут предоставлять свои площади для существующих программ тренингов для резервистов, чтобы увеличить количество необходимой рабочей силы.
7. Усилить слежку и активную защиту от русских кибератак. Верховное командование получает полномочия отдавать приказы главе киберкомандования совершать «надлежащие и пропорциональные действия в киберпространстве, чтобы подорвать, разрушить и остановить систематические и непрерывные атаки Российской Федерации в киберпространстве»; отчёты о таких действиях следует составлять ежеквартально.
8. Увеличить финансирование киберкомандования более чем втрое, с 75 до 250 миллионов долларов – с 2019 по 2025 год.
9. Запустить пилотную программу имитации кибератак на критическую инфраструктуру. Для такой имитации следует использовать (представляющей собой учения вооружённых сил в киберпространстве. – ред.) передовые коммерческие решения, искусственный интеллект и «гипермасштабируемые» облачные технологии.
10. Снизить риски использования иностранных IT-провайдеров и продуктов. Минобороны запретят использовать «любую информационную технологию, решение по кибербезопасности, систему индустриального контроля, систему вооружения или антивирус», пока их производитель не представит данные о том, не связан ли он с иностранным правительством, или не изучало ли иностранное правительство программный код продукта.
Деятельность Сената США имеет акцентированную антироссийскую направленность. В 620-страничном отчёте, подготовленном в обоснование положений NDAA, «Russia» встречается почти 100 раз (в два с лишним раза чаще, чем «China»). Сенат США прибегает к пассажам вроде «коррумпированная сеть клептократов Владимира Путина» («Vladimir Putin’s corrupt network of kleptocrats»).
Однако проблемы с обеспечением кибербезопасности военно-промышленного комплекса США действительно существуют, хотя и обусловлены не только существованием России. Например, в пятницу «Коммерсант» со ссылкой на Washington Post сообщил, что хакеры, «работающие на правительство КНР», зимой этого года получили доступ к секретным сведениям о разработке сверхзвуковых противокорабельных ракет для американских подлодок. Нападению подвергся некий подрядчик, занимающийся разработкой вооружений.
