Идеальное сочетание

Идеальное сочетание

Киберучения и национальные правила и процедуры 

Вероника Нетолицка и Петр Новотны Национальное агентство компьютерной и информационной безопасности Чешской Республики

BЧешской Республике киберучения считаются одним из наилучших инструментов укрепления кибербезопасности. Они позволяют проводить моделирование реалистичных кризисных ситуаций в контролируемой обстановке – а разве существует лучший способ обучить и подготовить сотрудников к кризисной ситуации, чем дать им возможность пережить ее в ходе смоделированного сценария? Существует много полезных и нужных инструментов (например, семинары, учебные курсы и конференции), но ни один из них не дает такой возможности реально прочувствовать кризисную ситуацию как киберучения.

Подобно многофункциональному швейцарскому армейскому ножу, учения выполняют множество задач (см. Рисунок 1), что еще больше подтверждает их эффективность. Способность обнаружить и высветить слабые места в национальных правилах и процедурах может быть достигнута на учениях различных видов, таких как технические, теоретические, процедурные и коммуникационные учения. Некоторые учения могут быть специально организованы для проверки и оценки национальных правил и процедур, в то время как для других учений такие проверки и оценки будут всего лишь побочным результатом.

Почему необходимо оценивать эффективность правил и процедур путем проведения учений? Во-первых, потому что некоторые правила и процедуры могут быть уже устаревшими. Возможно, национальные правила и процедуры были приняты задолго до того, как критически важные объекты вступили в киберэпоху. Хорошим примером могут служить юридически закрепленные правила поведения в случае чрезвычайной ситуации. Они уже существуют не одно десятилетие, но пригодятся ли они в случае кризисной ситуации в киберпространстве? Во-вторых, даже если предположить, что существуют обновленные процедуры принятия мер активной обороны, как вы можете убедиться в том, что они будут эффективны и применимы во время кибернападения на объекты критически важной инфраструктуры? Естественно, это хотелось бы знать до того, как возникнет реальная кризисная ситуация. И наконец, кибербезопасность – это динамичная, быстро эволюционирующая сфера.

Правила и процедуры должны обновляться постоянно, и необходимость в новых правилах и процедурах неоспорима. Возьмем хотя бы внедрение сетей 5G: телекоммуникационные сети следующего поколения служат наглядным примером того, как новые технологии создают необходимость в принятии обновленных национальных правил и процедур. Учения могут помочь выявить такую необходимость.

К учениям мы применяем комплексный подход. Приглашаются участники всех уровней (стратегический, оперативный и тактический) и охватываются все соответствующие аспекты (технический, политический, экономический, медийный, юридический, этический и т.д.). Последние несколько десятилетий вопрос кибербезопасности выходил далеко за рамки чисто технической области и напрямую затрагивал политическую, военную, экономическую, юридическую и медийную сферы. Все эти сферы имеют прямое отношение к национальным правилам и процедурам. Если в ходе учений планируется охватить эти аспекты, то необходимо приглашать и соответствующих участников – квалифицированных юристов и экспертов из СМИ, служащих вооружённых сил и особенно людей, отвечающих за принятие решений. Кроме того, желательно вводить в сценарии учений новые и ожидаемые тенденции. Это помогает сделать их эффективным инструментом в решении назревающих проблем.

Сочетание киберучений и национальных правил и процедур 

Как указывалось выше, обнаружение слабых мест на ранних стадиях приносит пользу при составлении и корректировке национальных правил и процедур. Каждые учения должны стремиться отразить самые последние события, уделяя особое внимание подготовленности персонала к реагированию на нападение, что отвечает требованиям хорошо отлаженной и скоординированной системы. Найденные недостатки оцениваются с точки зрения их влияния на функционирование национальной системы обеспечения кибербезопасности. Опыт Чехии показывает, что процесс обнаружения этих слабых мест представляет собой замкнутый круг с исходными данными и получаемыми результатами. Исходные данные поступают из многих источников, например, из результатов предыдущих учений или от их организаторов. Однако, наибольший объем исходных данных поступает от специалистов по национальным правилам и процедурам. Все эти исходные данные помогают лучше продумывать сценарии учений и сделать их более реалистичными. Получаемые результаты учений должны иметь прямое отношение к вопросам по национальным правилам и процедурам, рассматриваемым на стратегическом уровне. За этот процесс отвечают люди, хорошо знакомые как с существующими правилами и процедурами, так и с особенностями проведения учений − люди, которые могут предоставить исходные данные, подходящие для конкретных учений, и указать те результаты проведенных учений, которые помогут усовершенствовать национальные правила и процедуры.

Чехия: полученный опыт и извлеченные уроки

В 2016 г. чешскому правительству был представлен первый документ, описывающий слабые места в национальных правилах и процедурах, относящихся к кибербезопасности. Документ был основан на наблюдениях за функционированием системы обеспечения национальной кибербезопасности и содержал анализ наиболее серьезных проблем в действовавшей системе. Полученные в ходе киберучений результаты являются основным источником данных, приведенных в этом документе. Анализируя выявленные слабые места, можно извлечь уроки, благодаря которым можно сделать весь процесс успешным:

Развитие трудовых ресурсов — Основой успешного сотрудничества между инстанцией, отвечающей за национальные правила и процедуры, и организаторами учений, являются люди. Необходимо сделать так, чтобы представители этих двух групп специалистов понимали планы и задачи друг друга и поддерживали постоянную связь. Чем больше исходных данных смогут предоставить те, кто отвечает за правила и процедуры, тем больше ценных результатов смогут им выдать организаторы учений. Давайте специалистам по разработке национальных правил возможность участвовать в учениях или хотя бы присутствовать на них, поскольку если эти специалисты осознают отдельные аспекты киберпространства посредством участия в учениях и поймут технические основы проблемы, то у них будет больше знаний при выработке правил и процедур. Однако, организаторам учений пойдет на пользу, если они сами будут обладать знаниями о соответствующих правилах и процедурах. Давайте им возможность повышать свою квалификацию и поддерживайте их стремление получить образование и знания в областях, не связанных с организацией учений. Такой подход окупится сторицей в будущем.

Отбор — Выбор недостатков, которые затем войдут в список задокументированных слабых мест, должен соответствовать природе национальных правил и процедур и составляться по принципу приоритетности. Когда система далека от завершенности, принцип приоритетности очень важен.

Всеправительственный подход — Национальная система обеспечения кибербезопасности охватывает многие заинтересованные стороны (например, операторов объектов национальной критически важной инфраструктуры, регулирующие органы, Интернет-провайдеров и правоохранительные органы). По этой причине все соответствующие организации должны быть включены в процесс обсуждения обнаруженных слабых мест. Кибербезопасность на национальном уровне не может быть обеспечена каким-то одним назначенным органом. В ходе этого процесса должно устанавливаться доверие между участвующими сторонами, что в случае с Чешской Республикой было крайне важно.

Систематичность — В идеале, документ, указывающий на слабые места, должен издаваться регулярно, поскольку во время учений также выявляются новые недостатки. Ежегодные обновления такого документа обеспечат достаточно частое и стабильное представление соответствующей информации.

Предложение решения — Этот продукт должен не только обратить внимание на выявленные недостатки в системе. Также очень важно представлять и варианты решений обнаруженных проблем, основываясь на проведенных обсуждениях с соответствующими субъектами. Такой подход важен для дальнейшей реализации принятых решений. Неудивительно, что учения могут занимать соответствующее место в этом процессе. Когда в ходе учений участники обнаруживают слабое место и порождаемую им проблему, они пытаются тут же найти ее решение. Иногда участники из других стран делятся своим передовым опытом. Это может быть еще одним ценным результатом, включенным в документ, указывающий на недостатки в существующей системе.

Постоянная оценка — Оценка должна проводиться ретроспективно и предоставлять честные отзывы об эффективности ранее принятых и реализованных решений. Эффективность новых правил и процедур может быть хорошей темой для будущих учений.

Не прекращайте работу — Экосистема обмена информацией об исходных данных и полученных результатах должна представлять собой непрерывный процесс, комплексный и динамичный, поскольку недостаточный обмен информацией или неполная оценка могут привести к появлению новых слабых мест в системе.