Администрация Байдена представляет амбициозный указ о кибербезопасности

Несмотря на отсутствие ясности, новый указ может оказаться более эффективным, чем предыдущие усилия, особенно в свете атаки на Colonial Pipeline.
В конце драматической недели, в ходе которой крупный оператор нефтепроводов Colonial Pipeline пострадал от атаки вымогателей, администрация Байдена представила долгожданный, далеко идущий и сложный для воприятия указ об улучшении национальной кибербезопасности Executive Order on Improving the Nation's Cybersecurity. Он должен наметить «новый курс на укрепление национальной кибербезопасности и защиту федеральных правительственных сетей».

В амбициозном документе фигурируют взломы цепочек поставок SolarWinds и Microsoft Exchange, а также заражение компьютеров Colonial Pipeline с целью вымогательства. Указ призван стать основой для реализации последующих инициатив, направленных на минимизацию частоты возникновения и уровня воздействия подобных инцидентов. В рамках декларированных инициатив предполагается реализовать следующее.

1. Исключить барьеры для информационного обмена между правительством и частным сектором, гарантировав поставщикам услуг обмен с федеральным правительством сведениями о нарушениях.

2. Модернизировать и внедрить в федеральном правительстве более строгие стандарты, включая переход на облачные сервисы и архитектуры с нулевым доверием, а также многофакторную аутентификацию и шифрование.

3. Повысить безопасность цепочек поставок программного обеспечения, включая установление базовых стандартов безопасности для разработки программного обеспечения, продаваемого государственным органам. Министерство торговли должно опубликовать необходимый минимум спецификаций программного обеспечения с цель отслеживания отдельных его составляющих.

4. Сформировать комитет по надзору за вопросами кибербезопасности, состоящий из экспертов правительственных структур и частного сектора. Комитет должен собираться после любого крупного инцидента в области кибербезопасности и выдавать рекомендации подобно тому, как сейчас это делает Национальный совет по транспортной безопасности после каждой крупной аварии на транспорте.

5. Выработать стандартный план действий по реагированию на инциденты, с тем чтобы все федеральные агентства в такой ситуации придерживались определенного порядка и выполняли стандартный план мероприятий.

6. Повысить уровень выявления инцидентов в области кибербезопасности в федеральных правительственных сетях путем создания общегосударственной системы обнаружения целевых атак на конечных точках сети и улучшения обмена информацией с федеральным правительством.

7. Расширить возможности для проведения расследования и устранения последствий путем определения требований к журналу событий кибербезопасности для всех федеральных агентств.

Высокая оценка законодателей

Первая реакция законодателей на указ была положительной. Конгрессмен Джим Лэнджевин, председатель подкомитета палаты представителей по вооруженным силам, занимающийся вопросами кибербезопасности, инновационных технологий и информационных систем, а также член Комиссии США по киберпространству, заявил: «Кибербезопасность – это самая приоритетная область национальной безопасности США, и я приветствую принятие президентом Байденом в самом начале срока его полномочий неотложных мер по устранению наиболее критичных уязвимостей».

Председатель сенатского комитета по разведке Марк Уорнер назвал указ «хорошим первым шагом». Сенатор Эдвард Марки и конгрессмен Тед Лью высоко оценили принятие новой пилотной программы по «разъяснению общественности вопросов обеспечения безопасности устройств Интернета вещей».

Эксперты указывают на проблемы с определенностью

В указе, где намечены 46 сроков достижения различных целей, нет полной ясности того, каким образом все это предполагается реализовывать. «Многое остается неопределенным и отдается на откуп Национальному институту стандартов и технологий и Совету по регулированию государственных закупок», – пояснила партнер Wiley Rein Меган Браун. Национальному институту стандартов и технологий предлагается разработать план внедрения архитектуры с нулевым доверием, определить критически важное программное обеспечение и представить руководства по оценке безопасности программного обеспечения.

В рамках указа институту поручено также решить ряд задач по определению наиболее важных компонентов маркировки потребительских товаров Интернета вещей в целях безопасности, включая разработку пилотных программ и поиск критериев кибербезопасности Интернета вещей, которые можно было бы использовать в программе. На Совет по регулированию государственных закупок возложены многочисленные задачи по определению формулировок в договорах с учетом требований к информационному обмену.

Определение нарушений в системе безопасности субъективно

Бывший ИТ-директор Белого дома и нынешний генеральный директор занимающейся вопросами кибербезопасности компании Fortalice Solutions Тереза Пейтон приветствовала создание Совета по анализу вопросов, связанных с кибербезопасностью (Cybersecurity Safety Review Board), но высказала опасения в отношении выполнения указа. «В нем требуется, чтобы поставщики ИТ-услуг сообщали правительству о нарушениях кибербезопасности, которые могут оказывать воздействие на американские сети, – заметила она. – А это очень субъективная тема. Получается, что нужен кто-то, кто будет управлять исполнителями. Я воспринимаю это как очень субъективную вещь, и непонятно, как будут решаться соответствующие вопросы. Не уточняется, какое управление или агентство будет отвечать за все это. Куда направлять правительственные обращения? В ФБР? В АНБ? В ЦРУ?»

Оставляя в стороне возможные последствия отправки в правительство информации о нарушениях кибербезопасности и появлении весьма интересных для киберпреступников целей, Пейтон обращает внимание на трудности с определениями. «Несанкционированный доступ или вход в систему считается киберинцидентом, – заметила она. – Допустим, мне приходит звонок от клиента, сообщающего об обнаружении нарушений в операционном центре безопасности. Задействовав группу реагирования на инциденты, мы выясняем, что причиной всему является программное приложение, в которое необходимо внести изменения. Да, несанкционированный доступ присутствовал, но нет никаких свидетельств того, что данные оказались в руках злоумышленников. Нужно ли об этом сообщать?»

Пейтон обеспокоена также необходимостью согласования регламентируемых указом отчетов об обнаруженных в системе безопасности уязвимостях с требованиями к безопасности данных, которые выдвигаются во всех штатах и юрисдикциях. «Законодательство США об уведомлениях о нарушении безопасности данных напоминает лоскутное одеяло, – подчеркнула она. – Мы являемся одной из немногих стран, которые действуют таким образом. Должны ли мы следовать правилам штатов или же у нас появляется новое правило, регламентирующее, что представляет собой инцидент, о котором необходимо сообщать?»

Майкл Хэмилтон, бывший заместитель председателя координационного совета министерства внутренней безопасности, бывший директор по информационной безопасности Сиэтла и бывший директор по информационной безопасности компании CI Security, многие разделы указа назвал «совершенно незамысловатыми и очевидными для всех». Например, требование к федеральным агентствам управлять уязвимостями и инцидентами стандартным образом. Кроме того, администрации Байдена придется кое-что отшлифовать. Некоторые определения необходимо прояснить и уточнить.

АНБ отводится весьма заметная роль

Важная роль во многих аспектах реализации указа президента отводится Агентству национальной безопасности, в том числе и в определении того, что относится к нарушениям безопасности, о которых организации должны сообщать правительству.

«АНБ обладает достаточным опытом, чтобы выследить преступников и назвать их имена, – отметил Хэмилтон. – При этом агентству запрещено осуществлять внутреннюю слежку. И коль скоро именно АНБ поручено разрабатывать набор правил, определяющих, когда поставщикам услуг следует передавать данные для расследования, можно предположить, что агентство стремится преодолеть барьер, мешающий ему следить за тем, что происходит внутри США, в том числе и за сетевым трафиком, проходящим через операторов связи и провайдеров. Думаю, что таким путем они пытаются решить свои проблемы. А раз у них появилось место за столом, значит есть вещи, о которых им хотелось бы получать уведомления, и они знают, как все это использовать».

Отличается ли указ президента от того, что было раньше?

Не вполне понятно, чем нынешний указ президента отличается от тех усилий в области кибербезопасности, которые правительство предпринимало в прошлом.

«Хотелось бы видеть больше, поменьше говорить о каких-то рамках и информационном обмене, потому что все это считалось незыблемой святыней еще со времен администрации Клинтона, – указала Пейтон. – Поиски Святого Грааля всегда предусматривают удвоение усилий. Давайте бросим туда больше людей и выстроим новые границы. Возможно, на проблему имеет смысл посмотреть по-другому. Быть может, нам нужны свежие умы из области криптовалют и токенов. Возможно, сюда придется привлечь других новаторов, не имевших ранее исполнительных функций».

>>> «Нам еще никогда не намыливали шею так, как в последние полгода»

Майкл Хэмилтон <<<

По мнению Хэмилтона, на этот раз федеральная инициатива по разрешению сложных проблем кибербезопасности отличается от того, что было раньше, и может сработать. «Нам еще никогда не намыливали шею так, как в последние полгода, – заявил он. – Все происходит по-другому. Конечно, только этим ситуация не исчерпывается, но принимаемые меры направлены непосредственно на то, с чем мы столкнулись за последние шесть месяцев, в частности, в плане обеспечения безопасности цепочек поставок. Тратя такие деньги, федеральное правительство может предъявлять к поставщикам и продуктам любые требования. И те, кто хочет получить соответствующие заказы, должны сделать шаг вперед. Вот почему ситуация отличается от того, что было прежде. Сегодня не просто выдвигаются требования, которые должны быть выполнены. Чтобы получить желаемый результат в сфере кибербезопасности, активно используются экономические меры, рыночные силы, мощь кошелька и конкурентная дифференциация».