Под защитой критической инфраструктуры понимаются меры по обеспечению безопасности взаимозависимых систем, сетей и активов, лежащих в основе служб, жизненно необходимых для функционирования общества. В качестве примеров жизненно важной материальной инфраструктуры можно назвать дороги, мосты, аэропорты, сооружения связи и электростанции. Все остальные виды инфраструктуры невозможны без инфраструктуры информационной, т. е. без компьютеров и сетей, представленных в первую очередь системами диспетчерского управления и сбора данных (SCADA), взаимосвязанность которых позволяет им обмениваться информацией и выполнять анализ по всем критически важным функциям. К этим остальным видам инфраструктуры относятся банковская сфера, производство и распределение электроэнергии, медицинские услуги, государственные аварийно-спасательные службы, а также воздушные и наземные перевозки.

Поскольку в большинстве стран критически важная информационная инфраструктура в основном принадлежит частному сектору, который также занимается ее эксплуатацией, нам необходим динамический набор решений, отражающий тот факт, что нормативное регулирование не успевает за развитием как новейших угроз, так и технологий, необходимых для их сдерживания. Присущая Интернету быстрая и постоянная переменчивость в сочетании с его глобальным охватом требуют гибких решений, быстро адаптируемых к новым и меняющимся обстоятельствам.

Значение для McAfee

Уничтожение или выведение из строя физических и (или) информационных инфраструктур в результате стихийных бедствий, кибератак или иных причин может нанести большой ущерб населению, компаниям и административным органам. Задача обеспечения защиты критических информационных систем и сетей имеет общемировое значение. Современная информационная инфраструктура всецело зависит от взаимосвязанности и совместимости информационных систем по всему миру. В силу этого задача обеспечения защиты критически важной информационной инфраструктуры в глобальном масштабе требует внедрения эффективных международных стратегий и решений.

Цель McAfee — повысить уровень защищенности взаимосвязанного мира. Мы считаем, что ни один человек, ни один продукт и ни одна организация не способны бороться с киберпреступностью в одиночку. Особенно это касается объектов критической инфраструктуры, которые изо дня в день подвергаются атакам со стороны государств и международных преступных группировок. Сегодня McAfee имеет серьезную клиентскую базу в ряде ключевых секторов критической инфраструктуры, включая здравоохранение, госсектор и финансовые институты. Мы также наращиваем свое присутствие в других критически важных секторах, таких как связь и энергетика. Служа интересам наших клиентов, мы горячо заинтересованы в создании и развитии такой среды публичной политики, которая позволила бы нашим существующим и потенциальным клиентам работать в рамках более масштабной беспроигрышной стратегии.

Рекомендации по выработке политики

Соблюдение принципа добровольности

Руководство каждой страны законным образом заинтересовано в обеспечении безопасности критически важной инфраструктуры, которая в значительной степени принадлежит частному сектору. В этой связи McAfee считает, что ведущую роль в защите критически важной инфраструктуры должен играть именно частный сектор. Государственным структурам следует позволить предприятиям отрасли и далее добровольно внедрять инновации для защиты критически важной инфраструктуры. Распоряжения и предписания не будут способствовать задачам защиты критически важной инфраструктуры.

  • Если попытаться с помощью нормативных актов заставить производителей объектов инфраструктуры обеспечивать защиту от угроз сегодняшнего дня, то они могут оказаться не готовыми к защите от угроз дня завтрашнего.
  • Если государство возьмется выдавать предписания по техническим вопросам, то это, скорее всего, приведет к тому, что компании начнут формально обеспечивать соответствие этим предписаниям, а не подлинную безопасность. Регулирование такой области, как кибербезопасность, — задача очень непростая, поскольку все преимущества регулирования могут быть сведены на нет непредвиденными последствиями.

Намного эффективнее, чем жесткое регламентирование, работает, например, институт добровольного государственно-частного партнерства, позволивший создать концепцию NIST Framework. Концепция NIST (National Institute of Standards and Technology — Национальный институт стандартов и технологий США) оказалась успешной, потому что руководству страны и частному сектору удалось сформулировать реально имеющуюся потребность: повышение уровня безопасности критически важной инфраструктуры. В рамках открытого процесса создатели NIST учли пожелания частного сектора и завоевали доверие ключевых заинтересованных сторон, что позволило создать гибкую концепцию, основанную на добровольном сотрудничестве, а не на жестких правилах. Сотрудничество позволяет внедрять интегрированные и проверенные решения для промышленных процессов намного быстрее, причем без ущерба для безопасности и надежности. Для политических кругов успех концепции NIST должен служить положительным примером достижения желаемого результата.

Как поощрять включение защитных механизмов на этапе проектирования систем

Политикам следует поощрять включение защитных механизмов еще на этапе проектирования систем для любых объектов критически важной инфраструктуры. Упреждающий подход, предусматривающий учет требований безопасности на ранней стадии процесса разработки, т. е. встраивание защитных механизмов в инфраструктуру с самого начала ее проектирования, намного предпочтительнее подхода, при котором установка исправлений/обновлений и модификация систем выполняется постфактум.

  • Добавление или «прикручивание» функций безопасности к системам, сетям или устройствам уже после их запуска и ввода в эксплуатацию имеет ряд имманентных уязвимых мест и недостатков, из которых не последним является необходимость отключать системы во время обновления — трудновыполнимое требование, если речь идет об энергосистемах.
  • Производителям следует учитывать требования безопасности на ранних стадиях процесса проектирования всех устройств с сетевым подключением и встраивать в них механизмы, позволяющие безопасно устанавливать обновления и новые версии уже после выпуска изделия.

Стимулирование дальнейших инвестиций в средства киберзащиты

Находясь на переднем фронте кибербезопасности, мы знаем, как неохотно раскошеливаются наши клиенты на инвестиции в технологии, необходимые для нормального функционирования организаций. Инвестиции в кибербезопасность нередко отходят на второй план, уступая место инвестициям в новые продукты, сбыт или маркетинг. Учитывая важность этой темы для национальной безопасности и тот факт, что критически важная информационная инфраструктура в основном принадлежит частному сектору, который также занимается ее эксплуатацией, политикам следует помочь таким организациям оптимизировать имеющиеся у них возможности по обеспечению кибербезопасности, введя, например, следующие дополнительные стимулы:

  • налоговые льготы: налоговые льготы, поощряющие компании инвестировать в киберзащиту, в том числе ускоренный график амортизации и налоговые льготы за внедрение зарекомендовавших себя технологий безопасности;
  • реформы страхования: государство могло бы стимулировать рынок страхования, разработав комплекс мер его поддержки. Для этого Конгрессу следует рассмотреть возможность расширения сферы действия Закона о продлении срока действия программы страхования рисков терроризма (Terrorism Risk Insurance Program Reauthorization Act — TRIPRA) на кибератаки;
  • стимулы для преодоления «проблемы безбилетника» в сфере обмена информацией:  необходимо признать, что «проблема безбилетника», существующая в сфере информации об угрозах, не стимулирует обмен информацией в государственном и частном секторах. Получать информацию об угрозах выгодно всем организациям, однако предоставление такой информации не приносит им прямой выгоды, если не создать соответствующую организационную структуру, а также стимулы, позволяющие устранить «проблему безбилетника».
  • рассекречивание большего количества данных об угрозах: чтобы решить «проблему безбилетника», государственным структурам необходимо повысить качество и количество данных об угрозах, предоставляемых частному сектору. Это значит, что государственным структурам следует рассекретить больше категорий данных об угрозах и активно делиться такими данными с частным сектором. Государственным структурам следует предоставлять допуск к самым конфиденциальным и потенциально наиболее ценным массивам и категориям данных об угрозах гораздо большему числу уполномоченных представителей компаний.

Томас Ганн (Thomas Gann)

Директор по вопросам общественной политики

Адрес электронной почты

Кент Лэндфилд (Kent Landfield)

Главный специалист по разработке политики стандартов и технологий

Адрес электронной почты

Крис Хатчинс (Chris Hutchins)

Управляющий директор по вопросам общественной политики в регионе EMEA

Адрес электронной почты