В центре подхода - человек

В центре подхода — человек

Португалия делает упор на человеческий фактор

Д-р Педро Хавьер Мендоса, Даниела Сантос, Изабель Баптиста и Лино Сантос Национальный центр кибербезопасности Португалии

Tермин «кибербезопасность» представляется несколько расплывчатым. В докладе Агентства кибербезопасности Европейского союза (ENISA) «Различия и совпадения в определении кибербезопасности в процессе стандартизации» говорится, что различные международные институты стандартов используют разные значения этого термина. Они разнятся от «конфиденциальность, целостность и доступность информации» в киберпространстве (Международная организация по стандартизации – ИСО) и «набор инструментов, правил, концепций и гарантий безопасности, рекомендаций, подходов к управлению рисками, мероприятий, программ обучения, передового опыта, мер страхования и технологий, которые могут использоваться для защиты киберсреды, а также активов организации и пользователя» (Международный союз электросвязи – МСЭ) до «способность защищать или оборонять использование киберпространства от кибератак» (американский Национальный институт стандартов и технологий – NIST). Эти различные точки зрения особое значение придают защите информации и сетей, причем некоторые из них ограничиваются только угрозами, исходящими из интернета (NIST), в то время как другие охватывают и все возможные виды угроз (МСЭ).

Мы признаем эти различные определения, но при этом считаем, что кибербезопасность выходит далеко за пределы информационной безопасности. Такие события, как скандал с фирмой «Cambridge Analytica», показывают, что кибербезопасность должна учитывать слабые стороны общественного устройства, вызванные изменениями в том, как люди общаются между собой, потребляют информацию и действуют. Поэтому важно и дальше совершенствовать нынешние определения этого термина, например, данное МСЭ, и сделать именно человека центральным элементом кибербезопасности. Информация и сети, которые мы стремимся защитить, принадлежат людям и являются творением человеческой воли и деятельности. И когда мы поставим в центр нашего подхода именно человека, то важность развития трудовых ресурсов существенно возрастает. Человеческий элемент не должен быть второстепенным или равнозначным другим аспектам кибербезопасности; наоборот, он должен быть центральным компонентом, вокруг которого должны объединиться все остальные. Этот подход не следует интерпретировать таким образом, что он принижает значение технических аспектов, защиты информации или архитектуры компьютерных систем. Он просто подразумевает, что все эти элементы должны рассматриваться с точки зрения человеческого фактора. Например, информационная система может иметь современную защиту от вирусов, но в то же время ее архитектура все же может нести угрозу ключевым ценностям организации или общества.

Подход к кибербезопасности, в центре которого находится человеческий фактор, также подразумевает преодоление подхода, в центре которого находится национальная безопасность, и при котором кибербезопасность рассматриваются с точки зрения национальной территории и ее жизненно важных услуг. Такому пониманию свойственно реалистичное толкование безопасности, указывающее на угрозы, представляющие объективную опасность для национального суверенитета. Человекоцентричный подход основывается на индивидуумах и их сетях общения, представляя собой концепцию кибербезопасности, основывающуюся на человеческом факторе и теории космополитизма. В отличие от доводов реалистов, этот подход признает конструктивистский характер безопасности в качестве сферы, определенной выражением воли социальных субъектов в процессе секьюритизации, выбирающей и включающей различные области в зависимости от предполагаемой ситуации – тезис, соответствующий трансверсальной и многосторонней природе кибербезопасности. Таким образом, аспект развития трудовых ресурсов в организации кибербезопасности должен занять центральное место, поскольку он признает важность человеческого фактора, учитывает необходимость совершенствования навыков для эффективной защиты людей и призывает к выработке стратегий, направленных на распространение кибербезопасности путем идентификации поведения в качестве вектора, являющегося основным «связным» с другими векторами.

Центры профессиональной подготовки, средние школы и университеты должны понять важность введения в учебные программы по ИТ предметов и контента, связанных с кибербезопасностью. iStock

Стратегия Португалии

В Португалии прилагаются большие усилия для выработки общественной политики в сфере кибербезопасности. В этом процессе центральную роль играет принятая в 2019 г. Национальная стратегия Португалии в сфере безопасности киберпространства, являющаяся второй по счету стратегией в этой области в Португалии. Первая стратегия была принята в 2015 г. Стратегия 2019 г. совершенно четко признает важность развития трудовых ресурсов. В этой стратегии заложено несколько осей воздействия. В числе наиболее важных и, конечно же, имеющих больше всего направлений действий, находится ось, относящаяся к «предотвращению, обучению и информированности». Развитие трудовых ресурсов включено в три сферы воздействия: обучение и переквалификация специалистов, обучение и информированность руководителей и повышение уровня информированности общественности. Признавая трансверсальный характер цифровой трансформации и, соответственно, ее человекоцентричную нагрузку, эта стратегия способствует внедрению образовательных и обучающих программ, дающих работникам первоначальную квалификацию или обеспечивающих их переквалификацию как в организациях, занимающихся вопросами кибербезопасности, так и в масштабах широкой общественности, частного сектора и общественного управления, включая поставщиков жизненно важных услуг. С ее помощью также можно выделить одаренных работников в ходе соревнований с заданием «захвати флаг», а также в ходе компьютерных учений на национальном уровне и на уровне отдельных организаций.

Для того, чтобы определить, реализовать и оценить стратегию, мы должны установить точку отсчета, реально отображающую нынешнюю ситуацию, отслеживать действия по выбранным направлениям и смотреть, выполняются ли поставленные задачи. Исходя из этих соображений, португальский Национальный центр кибербезопасности (CNCS) создал Наблюдательный центр по кибербезопасности, задача которого заключается в том, чтобы удовлетворять эти потребности, а также накапливать знания о состоянии кибербезопасности в стране, используя междисциплинарный метод, охватывающий различные области, в которых человек выступает в качестве ключевого элемента кибербезопасности.

Развитие трудовых ресурсов является центральным аспектом. Наблюдательный центр разрабатывает и собирает показатели количества проведенных в Португалии курсов по вопросам кибербезопасности, количества человек, прослушавших эти курсы, процента женщин, прошедших обучение, уровня занятости в каждой области с учетом спроса и предложения, количества записавшихся на неформальные обучающие курсы и других аспектов, дающих информацию о развитии трудовых ресурсов. Эти знания являются частью того, что можно назвать «триангуляцией», включающей в себя исследования и развитие, знания и становление трудовых ресурсов. Центр способствует проведению исследований и развитию, распространяя знания, которые могут быть использованы для достижения реальных и полезных для общества результатов, например, для разработки программ развития рабочей силы.

Учения и Программа обучения и повышения информированности 

Одними из ключевых аспектов стратегии CNCS по развитию трудовых ресурсов являются киберучения и Программа обучения и повышения информированности, в которых участвуют все заинтересованные стороны. Учения проводятся ежегодно, и на каждом из них ставится цель обучить отобранных сотрудников из критически важных организаций моделям поведения в конкретных ситуациях. Например, в 2019 г. в стране прошли три различных выборных кампании, которые и стали темой киберучений, на которых отрабатывалось реагирование на гипотетические кампании дезинформации. С этой целью к учениям привлекли несколько организаций, в том числе Национальную избирательную комиссию и Регулирующее агентство для СМИ Португалии. Обмен совместно полученным опытом на этом уровне способствовал улучшению подготовки профессионалов к реагированию на киберинциденты в ходе выборов и передаче информации этим организациям.

Программа обучения и повышения информированности предоставляет работникам и менеджерам уникальную возможность для повышения своей квалификации. Планируется проводить усовершенствование квалификации специалистов, однако пока что эта сфера деятельности в основном реализуется при помощи структур и инструментов под эгидой CNCS. Первоначальный проект Программы обучения и повышения информированности был представлен на рассмотрение работникам образования, исследователям и бизнес-институтам. Окончательный проект включал в себя сделанные предложения, которые относились к трем основным направлениям: масштабные открытые курсы в режиме онлайн (MOOC) по вопросам кибербезопасности для всех работников, но также и для отдельных институтов; курсы обучения инструкторов, на которых будут обучаться и затем оцениваться сотрудники различных организаций, которые затем сами будут обучать других сотрудников, таким образом расширяя круг кадров, прошедших обучение; и очные обучающие сессии для работников общего профиля и руководителей старшего звена.

В 2019 г. в рамках направления МООС был разработан курс «Гражданин в кибербезопасности». Это бесплатный простой курс с рекомендациями относительно практических шагов в сфере «кибергигиены», и его слушателями являются простые граждане из состава рабочей силы различных пересекающихся секторов экономики. В первый год в нем приняли участие более 30 тыс. граждан, и примерно 20 тыс. из них успешно прослушали весь курс. Основываясь на их отзывах, содержащих замечания и пожелания, была определена тематика следующих курсов MOOC: дезинформация, покупки в режиме онлайн и безопасное использование социальных сетей.

Модель «Обучение инструкторов» требует сотрудничества со стороны работников – в основном, из учреждений общественного управления и крупных компаний – которые становятся частью большой группы инструкторов, использующих материалы CNCS для проведения обучающих занятий по кибербезопасности у себя в организациях. Эта модель была представлена всем заинтересованным сторонам как общественный долг без каких-либо затрат. Являясь поставщиком жизненно важных услуг и объектом многих кибернападений, сектор здравоохранения стал одним из первых и наиболее заинтересованных участников этой программы обучения. По тем же причинам Налоговая служба также стала важным партнером. Большую важность представляют университеты, поскольку они хорошо осознают необходимость в повышении информированности и обучении персонала учебного заведения и местных жителей, в среде которых они функционируют. Чем дальше вглубь страны, тем большую роль играют эти институты в экономическом и социальном развитии, а также в развитии трудовых ресурсов.

Если говорить о формальном образовании, CNCS оказал помощь в разработке профессионального курса совместно с несколькими заинтересованными сторонами, названного «Технический сотрудник сферы кибербезопасности». Основываясь на списке слабых мест, обнаруженных в сфере компьютерной безопасности группой реагирования «Национальная сеть» в ходе своей деятельности, CNCS также подготавливает аспирантские и специализированные курсы (очные и в режиме онлайн) с наиболее обновленным содержанием, как того требует процесс развития рабочей силы в этой сфере знаний.

Структуры и инструменты

Еще одним важным компонентом стратегии CNCS по развитию трудовых ресурсов является четкое понимание того, что автономные и независимые организации должны предпринимать шаги для достижения максимально высокого уровня зрелости своей кибербезопасности. Для этой цели CNCS создал структуры и инструменты, ориентирующие все организации на обеспечение полного соответствия требованиям – от первых шагов до самого высокого уровня. Национальный справочник по вопросам кибербезопасности является одним из таких документов и, возможно, наиболее важным. Основываясь на международных стандартах, таких как ISO 27001 и NISTSP-800-53, он дает четкие указания относительно того, что организация должна делать, чтобы обнаруживать инциденты, защищаться от них, реагировать на них и восстанавливаться с учетом национальных реалий и возможных дополнительных сведений о других международных стандартах. Одна из поставленных целей – развитие трудовых ресурсов со ссылками на Программу обучения и повышение информированности и дополнительные потребности в обучении, определяемые рынком. В качестве первого шага в развитии трудовых ресурсов CNCS предоставляет документ «Дорожная карта к минимальным возможностям в кибербезопасности», который позволяет субъектам с начальным этапом развития структур в этой сфере достичь минимально необходимого уровня кибербезопасности. Этот документ особенно важен для организаций малого и среднего размера с ограниченными ресурсами в сфере кибербезопасности.

Проблемы и рекомендации

Подход CNCS начинается с концептуального уровня, затем переходит на стратегический и завершается операционализацией по двум направлениям: обучение и структуры для автономных действий. Эти два направления пересекаются в том смысле, что обучение должно отражать структуры, а последние должны включать в себя обучение как часть процесса обеспечения соответствия стандартам.

На сегодняшний день наибольшего успеха удалось добиться в аспекте распространения знаний благодаря Программе обучения и повышения информированности, продемонстрировавшей, что гражданское общество с готовностью приняло этот вид деятельности. Кроме того, успеха удалось добиться в динамике создания структур, в котором участвовали отдельные заинтересованные стороны, и в ходе которого происходил очень интересный процесс адаптации международных стандартов к контексту Португалии. Это сплотило все заинтересованные стороны, что, в свою очередь, укрепило всю систему в целом.

Одна из основных проблем развития трудовых ресурсов состоит в необходимости расширении возможностей подготовки технического персонала в ответ на требования, порождаемые современными технологиями, а также в насущной потребности переквалификации профессионалов в сфере информационных технологий (ИТ) в специалистов в области кибербезопасности. Еще одна серьезная задача состоит в том, чтобы настойчиво доказывать центрам профессиональной подготовки, средним школам и университетам важность разработки большего количества курсов и введения их в учебные программы по ИТ предметам, относящихся к кибербезопасности. В центрах профессиональной подготовки и в средних школах также важно вводить предметы, относящиеся к кибербезопасности, с целью повышения информированности и пробуждения интереса молодых людей к этой сфере, в которой они смогут выбрать свою будущую специальность. Значительную трудность представляет также переход от разработки структур к практической деятельности. Учитывая ограниченность имеющихся ресурсов, здесь потребуются крупные вложения со стороны частного бизнеса и гражданского общества.

Для того, чтобы применять передовой опыт в сфере развития трудовых ресурсов, национальные ведомства, отвечающие за кибербезопасность, должны максимально вовлекать в решение этой задачи все заинтересованные стороны. На то есть две причины: во-первых, заинтересованные стороны лучше других в состоянии определить свои нужды и потребности и во-вторых, их участие вызывает у них мотивацию и порождает чувство ответственности, что повышает качество результатов их работы. В числе заинтересованных сторон должны находиться известные представители академических кругов, квалифицированные специалисты в сфере кибербезопасности и промышленные ассоциации. Кроме того, при создании структур необходимо ставить развитие трудовых ресурсов на одно из первых мест, а также задействовать школы и обучающие организации для обеспечения распространения специализированного обучения и переквалификации.

Развитие кадров в сфере кибербезопасности, как потребность, в которой пересекаются много аспектов, должно реализовываться по восходящему принципу с использованием всех субъектов, которые могут получить от этого пользу. С этой точки зрения, в этом процессе необходимо поставить во главу угла именно человеческий фактор, определив аспекты безопасности, включая кибербезопасность, на то место, которое они заслуживают – внесение вклада в обеспечение более безопасной и процветающей жизни всех людей на земле.