Потребность в «супергероях» аналитики

Потребность в «супергероях» аналитики

Обращаясь к нетехническим аспектам киберугроз

Ондрей Ройчик руководитель отдела стратегической информации и анализа, Национальное управление кибернетики и информационной безопасности Чехии

Мы склонны рассматривать кибербезопасность как чисто технический вопрос. В последние годы десятки докладов указывают на нехватку экспертов в области кибербезопасности, что объясняется в целом недостаточным количеством специалистов с образованием в сфере информационных технологий. Упор на относительную нехватку технических экспертов, однако, представляется довольно узким подходом, который не принимает в расчет потребность в специалистах других категорий, у которых опыт и образование не являются чисто техническими. Например, на рынке труда востребованы менеджеры в сфере кибербезопасности, аудиторы, юристы, эксперты в области внутренней и международной безопасности, специалисты по региональным проблемам, работники образования и аналитики. Нетехнические аналитики занимаются контекстуализацией инцидентов в сфере кибербезопасности и текущими тенденциями, и именно эту функцию в течение последних четырех лет неоднократно выполняло Национальное управление кибернетики и информационной безопасности Чехии (NÚKIB). Какими же профессиональными навыками должен обладать сотрудник, чтобы стать нетехническим аналитиком в сфере кибербезопасности?

Контекстуализация

В декабре 2018 г. NÚKIB выпустило предупреждение относительно использования технологий китайских телекоммуникационных компаний «Хуавей» и «ЗТЕ». В предостережении говорилось, что использование продуктов этих компаний представляет угрозу безопасности, поскольку китайское законодательство требует от китайских граждан и компаний сотрудничества с государственными органами, включая разведывательные службы. После получения такого предупреждения системные администраторы критически важных объектов в Чешской Республике по закону обязаны признать наличие такой угрозы и принять соответствующие меры.

NÚKIB также является активным сторонником Пражских инициатив – схемы кибербезопасности, появившейся в результате конференции по вопросам безопасности технологий 5G, проведенной в Праге в 2019 г. Основная идея Пражских инициатив заключается в том, что помимо технической природы киберугроз при оценке безопасности информационных технологий необходимо принимать во внимание особые политические, экономические и иные действия злоумышленников. У кибербезопасности есть политические аспекты. В Чехии опыт анализирования нетехнических/контекстуальных сторон кибербезопасности привел к появлению многочисленных сторонников такого инклюзивного подхода к кибербезопасности.

Ситуация с технологиями «Хуавей» и «ЗТЕ» и Пражские инициативы были не первыми случаями, когда NÚKIB видело необходимость в развитии нетехнических аналитических возможностей при решении вопросов, относящихся к кибербезопасности. С 2015 г. агентство проводит детальные тренинги для руководящих работников, в основном из государственных учреждений. Один из важных выводов, полученных в ходе этих тренингов, состоит в том, что изучение одних только технических деталей инцидентов без анализа более широкого контекста делает почти невозможным для ответственных руководителей определение и принятие соответствующих ответных мер и выбор оптимального направления действий.

Внутренние аналитические возможности

Для предоставления контекстуальной информации и анализа всех обстоятельств относительно конкретной кибератаки и юридического, политического и экономического окружения отдельных субъектов необходимо собрать все соответствующие данные и иметь сложные аналитические процедуры и навыки. Будет крайне непрактичным полагаться на внешних партнеров, таких как разведслужбы или частные компании. У разведслужб отсутствует гибкость в двух аспектах: во-первых, у них редко есть именно та информация, которая в данный момент необходима, и во-вторых, большинство информации засекречено, что создает трудности в ее немедленном получении и использовании. Что касается частных компаний, то государственной организации сложно доверять субъекту из частного сектора и в своих действиях полагаться исключительно на информацию, полученную от него. Тем не менее, информация, предоставленная частной компанией, может внести определенный вклад в общую копилку данных на более поздней стадии аналитического процесса.

Вот уже более четырех лет NÚKIB создает собственные нетехнические аналитические возможности в сфере кибербезопасности. Их основная задача в том, чтобы поддерживать установленный рабочий цикл и предоставлять аналитические материалы по вопросам кибербезопасности ключевым руководящим работникам в правительстве и других стратегически важных учреждениях. На самом деле NÚKIB является национальным агентством в области кибербезопасности в Чехии. Помимо других сфер деятельности, агентство отвечает за выработку политики и правил, относящихся к кибербезопасности. Для того, чтобы принятые правила и процедуры отражали текущую ситуацию, ежедневно должен проходить процесс обновления информации и «сканирования горизонта». Любое государственное учреждение с общенациональными полномочиями в сфере кибербезопасности получит пользу от обладания такими возможностями.

NÚKIB извлекает выгоды из того, что персонал, отвечающий за технические аспекты, и специалисты в области политики и существующих правил работают под одной крышей. Это эффективно работающая схема, однако в силу организационных или исторических причин она может оказаться неподходящей для многих стран. Во многих национальных экосистемах кибербезопасности эти две составные части кибербезопасности разделены, если они вообще существуют. Может существовать на национальном уровне независимая компьютерная группа реагирования на чрезвычайные ситуации (CERT) в то время как политическими аспектами кибербезопасности занимаются в министерстве внутренних дел, в министерстве промышленности или ином ведомстве. Если специалисты по политическим вопросам создают подразделение по кибербезопасности в одном из этих министерств, то это подразделение будет анализировать только стратегические тенденции. Если такое подразделение создано в составе технической службы – CERT – то естественным стремлением будет обращать основное внимание только на контекстуализацию конкретных технических инцидентов.

При любой схеме аналитический отдел должен быть составной частью организации. Аналитический аспект работы должен пронизывать всю организацию и охватывать инфраструктуру полностью – базы данных, аналитическое программное обеспечение и сотрудников. Специальные отделы, генерирующие соответствующие данные, должны обмениваться этими данными с аналитиками, которые потом смогут их связать с данными, полученными из других частей организации и с более широким контекстом внешних тенденций. Такой обмен данными между различными частями организации чрезвычайно важен. Если данные не объединяются в единый пул, то тогда знания становятся изолированными в стенах разных отделов организации, что в результате приводит к снижению ценности данных и неудовлетворительному качеству аналитики.

Считайте это отдельным проектом

Любая организация, заинтересованная в создании специализированного аналитического подразделения для оценки нетехнических аспектов киберугроз, должна принимать во внимание множество факторов. В их числе – высокоспецифичные профессиональные навыки аналитиков. Однако, все эти ключевые условия должны быть соблюдены еще до того, как начнут подбираться сотрудники.

Отнеситесь к созданию нетехнического аналитического подразделения как к отдельному проекту. Для успешного выполнения этого проекта крайне важно определить цели, которых вы хотите достичь, например, какой вид услуг будет предоставляться и кому. Ключевой аспект такого проекта заключается в том, чтобы найти целеустремленного спонсора, известного на жаргоне руководителей проектов как «спонсор». Внутри организации этот убежденный сторонник проекта является его разработчиком, ожидает от него существенной пользы и стремится к его полной реализации. Роль спонсора не сводится к просто официальному представительству. Эффективное спонсорство возможно лишь тогда, когда спонсор лично убежден в ценности проекта и стремится продвигать его и поддерживать участвующих в нем сотрудников всеми официальными и неофициальными способами на всех стадиях реализации проекта.

Необходимо иметь абсолютно четкое представление о процессе создания аналитического подразделения, чтобы доказать вышестоящему руководству организации необходимость выделения ресурсов. Высококачественные аналитические подразделения стоят недешево, необходимы большие затраты на аналитическое программное обеспечение, возможности сбора и хранения данных, получение данных, а также на текущее обслуживание и другие периодически необходимые процедуры. И конечно же, штат сотрудников нового подразделения. Помимо зарплат, будут затраты на их постоянное обучение и образование. Любому проекту необходим менеджер, отвечающий за координацию, но еще больше нужны сотрудники, которые осознают свою миссию и не только поддерживают ее, но и постоянно совершенствуют внутренние процедуры и аналитическое мастерство подразделения.

Аналитики в вопросах кибербезопасности из отдела стратегической информации и анализа Национального управления кибернетики и информационной безопасности Чехии (NÚKIB) в главном офисе NÚKIB в г. Брно, Чешская Республика. Национальное управление кибернетики и информационной безопасности

Необходимая компетентность

Для эффективного функционирования аналитической единицы необходима слаженная работа двух групп сотрудников − аналитиков и команды, отвечающей за сбор данных и поддержание аналитического программного обеспечения. Для каждой из этих двух групп требуется специфический набор навыков и знаний. У аналитиков должны быть глубокие знания в вопросах национальной и международной безопасности. В отдельных случаях необходимо, чтобы их знание проблем региона подкреплялись владением несколькими иностранными языками. Они должны иметь базовые знания в технических аспектах кибербезопасности, а также знать основные правила и процедуры, относящиеся к информационной безопасности. Еще одним необходимым элементом этой работы является искусство анализа разведданных, инструменты и приемы анализа разведданных из открытых источников (OSINT), а также знание аналитического программного обеспечения, поддерживаемого группой сбора данных. В свою очередь, в группе сбора данный должны быть специалисты двух категорий – разработчики данных с опытом управления крупными инфраструктурами данных и ученые с глубокими знаниями в таких областях как интегрирование данных, информатика и инструменты визуализации данных.

Что касается должностей аналитиков, то нынешний рынок труда вряд ли сможет предоставить кандидатов с полным набором необходимых знаний и навыков, и поэтому будет необходимо идти на компромисс и определять ключевые профессиональные качества, к которым потом будут прибавляться новые. Для дальнейшего профессионального развития необходимы следующие ключевые условия: безграничная пытливость и энтузиазм в отношении предмета своей деятельности; желание постоянно учиться чему-то новому; способность постигать сложные и эволюционирующие концепции; способность понять взаимосвязь между киберпространством и физическим миром; профессиональные навыки письменных и устных презентаций на родном языке; хорошее знание английского языка, а если речь идет об исследовании конкретного региона, то и приличное знание языка, доминирующего в этом регионе. Имея эту основу, уже можно будет добавлять другие навыки и знания.

Будучи относительно небольшой организацией, NÚKIB активно использует обучение сотрудников на рабочем месте, а также внешние тренинговые программы, предоставляемые Школой НАТО в г. Обераммергау, натовским Центром мастерства в области совместной киберобороны, а также частными компаниями. В течение примерно трех лет сотрудники проходят обучение по таким аспектам как OSINT, аналитические навыки, разведдеятельность и киберугрозы, специализированное программное обеспечение и иностранные языки. В этот период у всех аналитиков есть достаточно возможностей принять участие в десятках аналитических проектов и в расследовании серьезных инцидентов и реагировании на них, а также создать собственную сеть коллег для межведомственного сотрудничества. После достаточного периода такого повышения квалификации может рассматриваться вопрос о переводе сотрудника на должность старшего аналитика.

Профессиональное совершенствование в сфере кибербезопасности представляет собой нескончаемый процесс, поскольку все приобретенные сегодня знания в вопросах OSINT, разведки и киберугроз, аналитического программного обеспечения и т.д. через два или три года рискуют стать устаревшими. Для того, чтобы идти в ногу с развитием кибербезопасности, мировой политики и некоторых других ключевых сфер, помянутых выше, нужно быть поистине супергероем аналитической работы.

На первоначальном этапе обучения и общего понимания сути работы, возникает новая проблема: как мотивировать сотрудников-аналитиков и не допустить их ухода из организации. Здесь не существует простого решения, хотя вовлечение аналитиков в решение серьезных вопросов, стоящих перед организацией, и возможность воочию увидеть результаты своей работы доказали свою эффективность в NÚKIB. Еще одной долгосрочной стратегией является ротация сотрудников при сотрудничестве с CERT вашей организации и другие горизонтальные возможности профессионального роста.

Технологии способствуют выполнению миссии
Люди являются наиболее важным достоянием, которое не способны заменить никакие технологии. Именно поэтому правильно выбранные технологии помогают автоматизировать как можно больше процессов, чтобы аналитики с максимальной отдачей могли сосредоточиться на своей работе и исключить любые возможные повторные действия. Однако, у внедрения новых технологий есть определенные пределы. Группа сбора данных и группа аналитиков могут иметь дело лишь с каким-то ограниченным числом инструментов программного обеспечения и максимально использовать их. Именно поэтому в начале процесса планирования следует особенно тщательно выбирать технологии, которые наилучшим образом способствуют выполнению поставленной задачи. Особенно важно, чтобы основные компоненты аналитического программного обеспечения были теми инструментами, которые помогают сотрудникам-аналитикам, а не перегружают их мозг своей сложностью. В группе по сбору данных будут сотрудники с техническим образованием и ученые, специализирующиеся на обработке данных. Крайне важно, чтобы они понимали основную задачу подразделения и нужды сотрудников-аналитиков.

В поисках одаренных людей

С момента своего основания аналитическое подразделение NÚKIB проводит мероприятия по привлечению к своей работе и к работе агентства в целом новых одаренных сотрудников. В отличие от некоторых других ведомств из сферы безопасности, NÚKIB может и должен находиться на виду. В числе проводимых мероприятий лекции в университетах, организация программ по безопасности и кибербезопасности в «мозговых трестах» и других институтах, а также выступления на конференциях.

Это подразделение сотрудничает с программой исследования вопросов безопасности в Университете им. Масарикa в г. Брно в Чехии, из которой поступило довольно много заявок на программу интернатуры и вакантные должности в NÚKIB. Программа интернатуры оказалась отличной возможностью для ознакомления с профессией студентов, планирующих работать в правительственных органах, а также хорошим способом на практике протестировать потенциальных будущих сотрудников нашего подразделения.

Заключение

Учитывая направления международного развития и существующие инициативы, такие как Инструментарий ЕС по безопасности 5G или Пражская инициатива, важность нетехнического аспекта кибербезопасности и контекстуализации киберугроз в последующие годы будет только возрастать. Если институты национального уровня, отвечающие за кибербезопасность, планируют эффективно работать без привлечения помощи со стороны, то они должны создать свои собственные аналитические возможности. NÚKIB уже более четырех лет развивает такие возможности, чтобы поддерживать рабочий цикл агентства и снабжать аналитическими материалами руководящих работников в правительственных учреждениях и других институтах стратегической важности.

К созданию аналитического подразделения необходимо относиться как к проекту, требующему долгосрочной целеустремленности как со стороны сотрудников, так и со стороны руководства организации. Группы аналитиков и группы сбора данных являются основным достоянием такого подразделения. Очень редко кандидаты на аналитические должности обладают полным набором всех необходимых навыков и знаний, и поэтому отбирают сотрудников, обладающих ключевыми навыками, к которым позже прибавляются дополнительные. Именно такие супергерои аналитической работы и поддерживают развитие как технических, так и нетехнических аспектов кибербезопасности.