Защита критически важной инфраструктуры

Краткая справка

business-discussions-2males-laptop-2

Под защитой критической инфраструктуры понимаются меры по обеспечению безопасности взаимозависимых систем, сетей и активов, лежащих в основе служб, жизненно необходимых для функционирования общества. В качестве примеров жизненно важной материальной инфраструктуры можно назвать дороги, мосты, аэропорты, сооружения связи и электростанции. Все остальные виды инфраструктуры невозможны без инфраструктуры информационной, т. е. без компьютеров и сетей, представленных в первую очередь системами диспетчерского управления и сбора данных (SCADA), взаимосвязанность которых позволяет им обмениваться информацией и выполнять анализ по всем критически важным функциям. К этим остальным видам инфраструктуры относятся банковская сфера, производство и распределение электроэнергии, медицинские услуги, государственные аварийно-спасательные службы, а также воздушные и наземные перевозки.

Поскольку в большинстве стран критически важная информационная инфраструктура в основном принадлежит частному сектору, который также занимается ее эксплуатацией, нам необходим динамический набор решений, отражающий тот факт, что нормативное регулирование не успевает за развитием как новейших угроз, так и технологий, необходимых для их сдерживания. Присущая Интернету быстрая и постоянная переменчивость в сочетании с его глобальным охватом требуют гибких решений, быстро адаптируемых к новым и меняющимся обстоятельствам.

Значение для McAfee

Уничтожение или выведение из строя материальной и (или) информационной инфраструктуры в результате стихийных бедствий, кибератак или иных причин может нанести большой ущерб населению, компаниям и административным органам. Задача обеспечения защиты критических информационных систем и сетей носит глобальный характер. Современная информационная инфраструктура всецело зависит от взаимосвязанности и совместимости информационных систем по всему миру. В силу этого задача обеспечения защиты критически важной информационной инфраструктуры в глобальном масштабе требует внедрения эффективных международных стратегий и решений.

Цель McAfee — повысить уровень защищенности взаимосвязанного мира. Мы считаем, что ни один человек, ни один продукт и ни одна организация не способны бороться с киберпреступностью в одиночку. Особенно это касается объектов критической инфраструктуры, которые изо дня в день подвергаются атакам со стороны государств и глобальных преступных группировок. Сегодня McAfee имеет серьезную клиентскую базу в ряде ключевых секторов критической инфраструктуры, включая здравоохранение, госсектор и финансовые институты. Мы также наращиваем присутствие в других критически важных секторах, таких как связь и энергетика. Служа интересам наших клиентов, мы заинтересованы в создании и развитии такой среды публичной политики, которая позволила бы нашим существующим и потенциальным клиентам работать в рамках более масштабной беспроигрышной стратегии.

Рекомендации по выработке политики

Соблюдение принципа добровольности

Руководство каждой страны законным образом заинтересовано в обеспечении безопасности критически важной инфраструктуры, которая в значительной степени принадлежит частному сектору. В этой связи McAfee считает, что ведущую роль в защите критически важной инфраструктуры должен играть именно частный сектор. Государственным структурам следует позволить предприятиям отрасли и далее добровольно внедрять инновации для защиты критически важной инфраструктуры. Распоряжения и предписания не будут способствовать задачам защиты критически важной инфраструктуры.

  • Если попытаться с помощью нормативных актов заставить производителей объектов инфраструктуры обеспечивать защиту от угроз сегодняшнего дня, то они вполне могут оказаться не готовыми к защите от угроз дня завтрашнего.
  • Если государство возьмется выдавать предписания по техническим вопросам, то это, скорее всего, приведет к тому, что компании начнут просто обеспечивать соответствие этим предписаниям, а не подлинную безопасность. Регулирование такой области, как кибербезопасность, — задача очень непростая, поскольку все преимущества регулирования могут быть сведены на нет непредвиденными последствиями.

Намного эффективнее, чем жесткое регламентирование, работает, например, институт добровольного государственно-частного партнерства, позволивший создать концепцию NIST Framework. Подход NIST (National Institute of Standards and Technology — Национальный институт стандартов и технологий США) оказался успешным, потому что руководству страны и частному сектору удалось сформулировать реально имеющуюся потребность: повышение уровня безопасности критически важной инфраструктуры. В рамках открытого процесса NIST учел пожелания частного сектора и завоевал доверие ключевых заинтересованных сторон, что привело к созданию гибкой концепции, основанной на добровольном сотрудничестве, а не на жестких правилах. Сотрудничество позволяет внедрять интегрированные и проверенные решения для промышленных процессов намного быстрее, причем без ущерба для безопасности и надежности. Успех NIST Framework должен служить лицам, определяющим политику, положительным примером достижения желаемого результата.

 

Поощрение включения требований безопасности еще на этапе разработки проекта

Лицам, определяющим политику, следует поощрять включение требований безопасности еще на этапе разработки проекта для любых объектов критически важной инфраструктуры. Упреждающий подход, предусматривающий учет требований безопасности на ранней стадии процесса разработки, т. е. встраивание защитных механизмов в инфраструктуру с самого начала ее проектирования, намного предпочтительнее подхода, при котором установка исправлений/обновлений и модификация систем выполняется уже после выявления факта нарушения безопасности.

  • Добавление или «прикручивание» функций безопасности к системам, сетям или устройствам уже после их запуска и ввода в эксплуатацию имеет ряд имманентных уязвимых мест и недостатков, из которых не последним является необходимость отключать системы во время обновления — трудновыполнимое требование, если речь идет об энергосистемах.
  • Производителям следует учитывать требования безопасности на ранних стадиях процесса проектирования всех устройств с сетевым подключением и встраивать в них механизмы, позволяющие безопасно устанавливать обновления и новые версии уже после выпуска изделия.

 

Стимулирование дальнейших инвестиций в средства киберзащиты

Находясь на переднем фронте кибербезопасности, мы знаем, как непросто нашим клиентам даются решения об инвестировании в технологии, необходимые для нормального функционирования организаций. Инвестиции в кибербезопасность зачастую отходят на второй план, уступая место инвестициям в новые продукты, сбыт или маркетинг. Учитывая важность этой темы для национальной безопасности и тот факт, что критически важная информационная инфраструктура в основном принадлежит частному сектору, который также занимается ее эксплуатацией, лицам, определяющим политику, следует помочь таким организациям оптимизировать имеющиеся у них возможности по обеспечению кибербезопасности, введя, например, следующие дополнительные стимулы:

  • налоговые льготы:  налоговые льготы, поощряющие компании инвестировать в киберзащиту, в том числе ускоренное начисление износа и налоговые льготы за внедрение зарекомендовавших себя технологий безопасности;
  • реформы страхования:  государство могло бы стимулировать рынок страхования, разработав комплекс мер поддержки данного рынка. Для этого Конгрессу следует рассмотреть возможность расширения сферы действия Закона о продлении срока действия программы страхования рисков терроризма (Terrorism Risk Insurance Program Reauthorization Act — TRIPRA) на кибератаки;
  • стимулы для преодоления «проблемы безбилетника» в сфере обмена информацией:  необходимо признать, что «проблема безбилетника», существующая в сфере информации об угрозах, не стимулирует обмен информацией в государственном и частном секторах. Получать информацию об угрозах выгодно всем организациям, однако предоставление такой информации не приносит им прямой выгоды, если не создать соответствующую организационную структуру, а также стимулы, позволяющие устранить «проблему безбилетника».
  • рассекречивание большего количества данных об угрозах: чтобы решить «проблему безбилетника», государственным структурам необходимо повысить качество и количество данных об угрозах, предоставляемых частному сектору. Это значит, что государственным структурам следует рассекретить больше категорий данных об угрозах и активно делиться такими данными с частным сектором. Государственным структурам следует предоставлять допуск к самым конфиденциальным и потенциально наиболее ценным массивам и категориям данных об угрозах гораздо большему числу уполномоченных представителей компаний.