Комплексные учения являются необходимым инструментом в обеспечении безопасности киберпространства
Дэниэл П. Багге и Мартина Улманова Национальный центр кибербезопасности Чешской Республики
Благодаря стремительным темпам технологических инноваций людям, не являющимся специалистами в сфере кибербезопасности, трудно в полной мере понять угрозы, исходящие от компьютерно грамотных террористов и преступников. Это особенно верно в отношении правительств и частных организаций, которые в большинстве своем не осознают возможных последствий от обращения этих технологических инноваций против них. Новые методы и изощренность атак, а также растущий круг их целей являются частыми объектами открытых докладов и обсуждений. Общество, получающее такую информацию, ожидает от своих властей создания жизнестойкого и безопасного киберпространства. Но как могут власти оставаться на шаг впереди развивающихся технологий, особенно учитывая, что бюрократические системы обычно имеют низкую скорость реакции на вызовы, с которыми принимающие решения лица большей частью незнакомы?
Следовательно, чтобы быть в курсе технического прогресса и иметь возможность быстро адаптироваться к новым угрозам, необходимо быть хорошо подкованным в киберсфере. Однако эксперты в области информационных технологий (IT) и работники технологической сферы не могут в полной мере представлять себе все влияние IT-продуктов и решений на национальную безопасность. Технический персонал оперативного уровня и менеджеры в области кибербезопасности незнакомы с процессами принятия политических, дипломатических и стратегических решений. Они зачастую живут в узком мире технологий. Схожим образом, высшее руководство, сотрудники правоохранительных органов и лица, определяющие политический курс, сталкиваются в свой работе со значительными трудностями без знания технологических последствий и воздействий киберинцидентов.
Добиться того, чтобы квалифицированные технические специалисты понимали стоящие перед правительством вызовы, а представители власти углубили свое понимание возможных последствий инцидентов, связанных с киберпространством, является трудной задачей. Ввиду ограниченности по времени и нехватки ресурсов на национальном уровне для проведения крупномасштабной и своевременной образовательной работы, наилучшим способом решить эту задачу являются учения по кибербезопасности.
Они не только имеют непосредственное влияние на набор навыков их участников, но также одновременно позволяют оценить выученные уроки. Учения по кибербезопасности можно разделить на несколько типов: командно-штабные, технические, гибридные или процедурные, с небольшими наложениями между указанными типами. Все типы учений позволяют их участникам поработать над важными аспектами реагирования на инциденты, такими как командная работа, обмен информацией и межорганизационное сотрудничество.
В то время как широкой публике легко представить себе технические учения – группа IT-специалистов и компьютерные группы реагирования на чрезвычайные ситуации ведут борьбу за инфраструктуры друг друга и защищают свои периметры при помощи клавиатур и экранов, – лица, принимающие решения на более высоких уровнях, не могут разрешить все трудности, связанные с киберкризисом, при помощи нажатия одной кнопки на клавиатуре. Высшее руководство не сталкивается с кибервызовами на ежедневной основе и может оказаться неспособным произвести адекватную оценку кризиса и дать правильные указания низшим эшелонам. Таким образом, учения, направленные на процессы принятия решений, являются уникальной возможностью познакомить высшее руководство с соответствующими вопросами кибербезопасности. Вместе с использованием реалистичных сценариев это является наилучшим способом просветить высшее руководство в отношении важности кибербезопасности и ее актуальности в плане национальной безопасности. Можно возразить, что обладания необходимым техническим потенциалом достаточно для разрешения инцидента или кризиса в сфере кибербезопасности, но это не так. Хотя технические / оперативные эксперты по кибербезопасности владеют нужными навыками и новейшими технологиями, без соответствующего командования и управления они бесполезны.
Более того, существует еще одна тенденция, о которой мы должны знать в этот цифровой век. Параллельно с разрывом в знаниях между техническим персоналом и принимающими решения лицами нам приходится иметь дело с различными способностями и навыками у более молодого и у более старшего поколения. В то время как более молодые люди хорошо знакомы с открытым интернетом и находят его легкодоступным, многие руководители высшего звена не могли и представить себе интернет-век в начале своей карьеры.
ЧЕШСКИЙ ОПЫТ И ПРАКТИКА
В Чешской Республике признается потребность в непрерывном обучении как техническим навыкам, так и коммуникационным и процедурным аспектам кибербезопасности. Поэтому Национальный центр кибербезопасности (НЦКБ) регулярно принимает участие в учениях на международном уровне, включая «Учения по кризисному реагированию» и учения «Киберкоалиция», проводимые НАТО; учения «Сомкнутые щиты», организованные Центром передового опыта в области коллективной киберобороны; и учения «КиберЕвропа», организованные Европейским агентством сетевой и информационной безопасности. Кроме участия в указанных международных учениях, НЦКБ организовал и принял участие в двух национальных учениях в 2015 г.: в командно-штабных учениях, предназначенных для стратегических лидеров и принимающих решения лиц, и в технических учениях для администраторов и специалистов в области информационных и коммуникационных технологий.
Проведенные в Праге в июне 2015 г. «Учения по принятию стратегических решений» и «Учения по урегулированию киберкризисов» были совместной инициативой Управления национальной безопасности Чешской Республики, Европейкой инициативы по кибербезопасности (Эстония) и Европейского оборонного агентства. В ходе учений исследовалась способность государства принимать решения и эффективно использовать имеющиеся ресурсы для противодействия киберкризису. В ходе данного трехдневного мероприятия почти 40 участников, представляющих правительство страны, вооруженные силы, разведывательные службы, частный сектор, полицию, прокуратуру и другие правоохранительные органы, имели дело с обостряющимся и вполне реалистичным сценарием. Сценарий был разбит на шесть фаз и на непрерывные сюжетные линии с представлением различных форм киберугроз. У каждой рабочей группы был свой набор информации, что требовало от участников эффективного сотрудничества. Результаты, включая графическую визуализацию учений, были тщательно проанализированы, а затем с основными заинтересованными лицами и участниками было проведено итоговое мероприятие. Целью учений было не выявить победителя, а определить пробелы и недостатки в процессе принятия решений и произвести проверку каналов связи в ходе основанного на реальных сценариях кризиса, который обострился от незначительных инцидентов до военного вмешательства и чрезвычайного положения.
В сентябре 2015 г. перед НЦКБ была поставлена задача по разработке и проведению специально разработанных командно-штабных учений, основанных на реальной угрозе, для Министерства обороны США и Кибернетического командования США в Вашингтоне, округ Колумбия. Помимо прочего, в учениях рассматривалась кибер- и информационная война, кампании по кибершпионажу, предвыборная пропаганда, утечка чувствительной информации, а также взлом компьютерных программ и данных. Целью учений было повышение осведомленности о последствиях в области политики и национальной безопасности, связанных со значительными киберинцидентами, и рассмотрение трудностей в процессе принятия решений. Учения были оценены их участниками как успешные и будут проведены повторно в 2016 г. Специально разработанные командно-штабные учения были обновлены в начале 2016 г. и проведены в июне в штабе командования по трансформации объединенных вооруженных сил НАТО в Норфолке. Учения также проводились в рамках Саммита по кибербезопасности Вышеградской четверки, организованного председательствующей в данной структуре Чешской Республикой, в Вашингтоне, округ Колумбия. Чешская Республика хочет и может делиться своим опытом в сфере проведения учений по кибербезопасности на стратегическом уровне. В конце 2015 г. НЦКБ провел специальные командно-штабные учения для студентов магистерской программы в области исследований по безопасности и стратегии Университета им. Масарика в городе Брно.
ТЕХНИЧЕСКИЕ УЧЕНИЯ
Первые национальные технические учения в области кибербезопасности, «КиберЧехия – 2015», были проведены в прошлом году. Они были организованы Управлением национальной безопасности, являющимся для НЦКБ вышестоящим органом, совместно с Институтом компьютерных наук (ИКН) Университета им. Масарика. Они проводились в ИКН в специальной виртуализированной учебной среде, называемой «киберполигоном». Противники взаимодействовали в рамках этой уникальной, изолированной от внешнего мира компьютерной системы, в которой можно протестировать любой программный код или решение без риска для внешних сетей. Целью учений было подвергнуть участников реальным кибератакам. По сценарию учений команды являлись частью вымышленных сил быстрого реагирования Чешской Республики. Командам была поставлена задача оказать помощь атомной электростанции, чьи информационно-коммуникационные системы подверглись массивной атаке. Хотя обороняющиеся команды соревновались друг с другом, учения поощряли обмен информацией и сотрудничество.
Это были первые технические учения, в которых могли принимать совместное участие представители ключевых органов власти и других компетентных структур Чешской Республики. В дальнейшем, в марте 2016 г., была проведена еще одна стадия учений. Аналогичная возможность участия была предоставлена частным компаниям, представляющим критическую информационную инфраструктуру, особенно в энергетическом секторе. Чтобы подчеркнуть важность такого рода учений, премьер-министр Чешской Республики посетил их лично. Они были беспрецедентны как по своему масштабу, так и по тому, что позволили участникам и наблюдателям приобрести опыт защиты важного объекта критической инфраструктуры. Учения «КиберЧехия» были первой проверкой данного сценария, который также предназначен для использования в научных исследованиях, а также государственными учреждениями и частными компаниями. Участвовавшие в учениях команды не только реагировали на атаки и технические проблемы, но и давали оценку потенциальным правовым и медиапоследствиям. Эти два аспекта – правовой и медиа – включаются во все национальные учения, так как считаются неотъемлемыми элементами разрешения возможных кризисов и необходимы для обеспечения кибербезопасности.
На сегодняшний день было проведено два вида учений. Однако накопленный в ходе их проведения опыт помог НЦКБ понять, что пришло время гибридного подхода. Это означает соединение технических учений с командно-штабными учениями стратегического уровня и с традиционными процедурами кризисного реагирования для обеспечения готовности всех органов национальной безопасности к крупномасштабному кризису. Сюда входят органы антикризисного управления, разведывательное сообщество, органы национальной безопасности, а также заинтересованные лица из вооруженных сил, научного сообщества и частного сектора.
ДАЛЬНЕЙШЕЕ РАЗВИТИЕ УЧЕНИЙ
В прошлом учения в основном делились на две сферы: технические и командно-штабные. Однако эти сферы тесно переплетены в плане трудностей и инструментов, необходимых для решения стоящих задач. Недостаточно обучать только технический персонал или только высшее руководство при помощи специфических учений в соответствии с их родом деятельности. В условиях киберкризиса им придется координировать ответные меры и действия и осуществлять обмен информацией не только горизонтально, но и вертикально. Следует поощрять проведение учений, в рамках которых эти два мира сотрудничают друг с другом. Кроме того, следует привлекать частный сектор, научное сообщество и СМИ. СМИ являются значимой заинтересованной стороной, обладающей ключом к разрешению киберкризисов. Они играют решающую роль не только в ходе информирования общественности о происходящих киберинцидентах, но и в формировании общественного мнения в целом. Это имеет важное значение в свете растущей роли стратегических коммуникаций и общей устойчивости общества в понимании кампаний по информационным операциям. Наконец, СМИ играют значительную роль после завершения киберкризиса. События зачастую оцениваются не по тому, как с ними справились с технической точки зрения, а по тому, как их представили обществу. Поэтому НЦКБ планирует серию семинаров для журналистов с целью их ознакомления с техниками и значением стратегических коммуникаций и со способами выявления техник информационной войны. Представителей СМИ постоянно приглашают участвовать в учениях или наблюдать за ними. Зачастую необходимой для разрешения кризиса информацией владеет частный сектор, однако власти все равно не признают его положения за столом.
Помимо проведения гибридных учений на национальном уровне, будущее кибербезопасности также заключается в более тесном международном сотрудничестве и в учениях, задействующих разнообразные технические и культурные традиции. Эти цели могут быть достигнуты при помощи расширения международного сотрудничества между государствами, научным сообществом и частным сектором. В Чешской Республике существует упомянутый выше «киберполигон», имеющий научное происхождение и основанный на исследованиях и сотрудничестве в области безопасности с Управлением национальной безопасности. Еще одной ареной проведения киберучений является частный «Кибертренажерный зал» – европейский филиал израильской компании «Cyber Gym». Соединение этих двух полигонов проведения киберучений с аналогичными объектами по всему миру значительно повысит возможности проведения совместных учений с командами, которые – несмотря на универсальность языка информационных и коммуникационных технологий – обладают различными культурными подходами к решению проблем, а также потенциалами, направленными на защиту от различных угроз.
Объединение частных, правительственных и научных учреждений в рамках глобальных учений по кибербезопасности может и не являться новой идеей; однако включение как технической, так и командно-штабной частей, а также использование киберарен, расположенных по всему континенту, на самом деле являются новшествами. Такие учения могут наилучшим образом симулировать будущие конфликты между государственными и негосударственными игроками.
Расширение сферы учений и включение в них сценариев, основанных на недавних событиях, полезны, но более недостаточны. Учения, использующие в качестве модели прошлые инциденты, хороши для повышения ситуационной осведомленности участников. Однако для того, чтобы наилучшим образом использовать преимущества учений по кибербезопасности, критически важно предвидеть неожиданные ситуации и готовиться к ним. Поэтому в рамках рабочей группы по планированию учений НЦКБ создает гибкую структуру под названием «красная клетка». Ее целью является улучшение предвидения возможных тенденций и инцидентов и разработка событий, маловероятных в рамках обычных структур планирования. Другой крайне важной задачей является включение разведывательных служб в технические учения. Поэтому НЦКБ стремится облегчить удаленное участие в учениях, учитывая секретный характер деятельности своих клиентов.
ЗАКЛЮЧЕНИЕ
Если лица, определяющие политический курс, получают понимание различных аспектов киберпространства в результате участия в учениях и таким образом овладевают техническими основами, они могут лучше решать задачу определения политического курса. При помощи учений по кибербезопасности сокращается разрыв между миром политики и техническим миром, а результаты политического планирования привязываются к техническим возможностям. Участие высшего руководства в принятии решений во время учений приводит к лучшим решениям во время кризисов. Обретя в ходе учений более глубокое понимание киберсферы, они не воспринимают ее как нечто относящееся исключительно к IT-сфере и совершенно не поддающееся пониманию. При подготовке комплексных учений НЦКБ стремится включить в них все уровни взаимодействия: оперативный, тактический и стратегический. ο
Комментарии закрыты.