Время подготовиться к кибератаке на критическую инфраструктуру США уходит – аналитики

Вика Рябова
25.08.2017
Категории: За рубежами, Кибербезопасность, Новости
Теги: критическая инфраструктура, США

Консультационный совет при президенте США по безопасности национальной инфраструктуры (NIAC) опубликовал отчет об угрозах критической информационной инфраструктуре. Основной вывод: с точки зрения кибербезопасности, критическая инфраструктура может стать объектом атаки, столь же разрушительной, как и нападение 9/11, причём времени на построение защиты у правительства и индустрии всё меньше.

Для предотвращения угрозы власти и участники рынка должны создать изолированные и высокозащищённые коммуникационные сети, предназначенные исключительно для особо важных команд и систем управления, говорится в отчёте.

О NIAC

NIAC сформирован вскоре после теракта 11 сентября 2001 года и консультирует министерство внутренней безопасности США по вопросам безопасности (как виртуальной, так и физической) национальной критической инфраструктуры. Официально к критической инфраструктуре относятся 16 секторов, включающие (кроме финансовых систем и электросетей) транспортные узлы (например, аэропорты), химические фабрики, объекты нефтегазового хозяйства, водоочистные станции и пр.

Правительству также необходимо кардинально упростить процесс обмена информацией о киберугрозах между властями и индустрией. Это включает ускорение рассекречивания данных о таких угрозах, полученных спецслужбами – чтобы компании и эксперты могли вовремя ознакомиться с информацией (классифицированной как «секретная» и «совершенно секретная»). В идеале, в штате каждого объекта критической инфраструктуры должны быть как минимум два сотрудника, имеющие доступ высшего уровня к данным с таким грифом.

Президент подписал законы о безопасности критической информационной инфраструктуры РФ

Как отмечают авторы отчёта, многие из 11 рекомендаций, сформулированных в документе, не новы, однако до сих пор ни правительство, ни индустрия серьезно к ним не прислушались. На этот раз, чтобы усилить посыл, NIAC перечисляет агентства и даже конкретных людей, которые в силу должностных обязанностей должны взять на себя ответственность за исполнение рекомендаций. В случае инцидента каждый из пропустивших советы NIAC мимо ушей может быть признан лично ответственным за катастрофу, считают аналитики.

Также рекомендации NIAC включают следующее:

создать рыночные стимулы, включая налоговые льготы, для помощи инфраструктурным компаниям в модернизации их киберзащиты;
усилить возможности штата специалистов по ИБ, запустив программы обмена кадрами между правительством и индустрией;
провести реорганизацию управления информационной безопасностью (как в правительстве, так и в частном секторе), чётко определив полномочия, ответственность и последовательность действий при кибератаке;
воспользоваться сценариями Gridex (учения, организуемые раз в два года, с имитацией атаки на электросети), чтобы проверить готовность правительства к нападению и выработать рекомендации по итогам проверки готовности;
поддержать пилотный проект (который должен быть реализован представителями индустрии) по обмену информацией о киберугрозах с помощью Интернета вещей.