Совместный подход

Совместный подход

Стратегия Сербии в образовании, обучении и подготовке трудовых резервов в сфере кибербезопасности

Елика Вуядинович и д-р Марко Крстич Национальная группа реагирования на чрезвычайные компьютерные ситуации Сербии

Значительные усилия правительства Сербии по внедрению цифровых технологий создали условия для роста эффективности и прозрачности системы общественных услуг, но при этом привели к уязвимости страны к кибернападениям. Недостаточное внимание к этой проблеме может снизить благосостояние общества в результате уничтожения экономических достижений и дезорганизации системы услуг, жизненно необходимых для ежедневного функционирования общества, например, производства и снабжения электроэнергией.

Поскольку формальное образование в сфере кибербезопасности находится пока на стадии становления – в настоящее время имеется всего лишь несколько программ магистратуры – правительство, стремясь восполнить этот недостаток, назначило Национальную группу реагирования на чрезвычайные компьютерные ситуации Сербии (SRB-CERT) в качестве органа, ответственного за организацию неформального обучения операторов объектов критически важной инфраструктуры. SRB-CERT уже имеет определенный опыт образовательной деятельности; один из ее членов участвовал в разработке курса по кибербезопасности и в настоящее время является лектором по индустрии информационных технологий на курсе «Магистр 4.0 – Применение передовых информационных технологий в цифровых трансформациях», который читает группа кафедр высших учебных заведений.

Образовательная стратегия

Принятая SRB-CERT стратегия сочетает два принципа: действуй быстро и используй превентивный подход к возникающим угрозам. В 2019 г. были приняты новые поправки к Закону «Об информационной безопасности», предписывающие Министерству торговли, туризма и телекоммуникаций создать список операторов объектов критически важной инфраструктуры. Еще до того, как министерство разработало такой список, SRB-CERT начала проводить обучение сотрудников местных органов управления, являющихся заинтересованными сторонами с наименьшим объемом инфраструктуры в плане специфических информационных и коммуникационных технологий. Установлению связей и сотрудничеству с местными органами управления способствовал Национальный совет местного экономического развития. Сотрудничество и обмен информацией получили дальнейшее развитие благодаря партнерству общественного и частного секторов, в частности, с компанией «Microsoft», выбранной потому, что она является основным поставщиком операционных систем для местных органов управления.

Искусственный интеллект был признан в качестве зарождающегося технологического направления, которое может значительно повысить выгоды от использования цифровых платформ, но при этом создает новые возможности для организации кибератак. Чтобы подготовиться к будущим проблемам «электронного правительства», SRB-CERT начала анализировать последствия внедрения технологий искусственного интеллекта для возможной картины угроз. В то же время сформированная правительством рабочая группа работала над проектом «Стратегия разработки искусственного интеллекта в Республике Сербия в 2020-2025 гг.», и для нее было очень важно рассмотреть аспект безопасности, связанный с технологиями искусственного интеллекта. Сотрудники SRB-CERT выбрали самое подходящее время для представления результатов своих исследований в вопросе возможного влияния технологий искусственного интеллекта на кибербезопасность – проведение в 2019 г. в Белграде Международного форума по телекоммуникациям.

Образовательные мероприятия для местных органов управления

В обучении сотрудников местных органов управления присутствовал юридический компонент, рассчитанный на управленцев и технический персонал, и технический компонент для системных администраторов. Юридический компонент был посвящен теоретическим и практическим аспектам. У участников была возможность более детально ознакомиться с концепцией «конфиденциальность-целостность-доступность», с существующими сегодня угрозами, с примерами инцидентов в сфере кибербезопасности, с мерами, принимаемыми в сфере безопасности, с моделью «планируй-делай-проверяй-реагируй», а также с Законом «Об информационной безопасности». Практическая часть была сосредоточена на модели Закона «О кибербезопасности», разработанной SRB-CERT для помощи операторам объектов критической инфраструктуры в представлении этого документа, что в соответствии с законодательством является обязательным для их организаций. В ходе учебного курса у слушателей была возможность написать процедуру принятия одной из 28 мер безопасности, заимствованных Законом «Об информационной безопасности» из группы 27000 стандартов ISO/IEC (объединенного технического комитета Международной организации по стандартизации и Международной электротехнической комиссии) и описанных в модели Закона «О кибербезопасности».

Системные администраторы местных органов управления узнали о наиболее распространенных типах нападений в среде Windows, о протоколах аутентификации, о возможностях кражи учетных данных и о подходе системной защиты, предложенном экспертами «Microsoft» в ряде теоретических презентаций и практических упражнений с использованием Системы моделирования кибератак, созданной специально для этих целей.

Были отобраны концепции обучения, сочетающие пассивные и активные методы преподавания в пирамиде обучения. Слушатели могли посещать лекции, читать материалы, пользоваться аудио- и видеоконтентом, присутствовать при наглядной демонстрации и принимать участие в обсуждениях и практической работе. Более того, поскольку сотрудники SRB-CERT участвовали в преподавании на ротационной основе, то все они имели возможность побывать в роли работников образования, что дало им возможность повысить уровень своих знаний.

Особое внимание уделялось аспектам стандартизации, что соответствовало усилиям Глобального форума по киберзнаниям по адаптированию и принятию в Европе американской инфраструктуры трудовых ресурсов, разработанной Национальной образовательной инициативой в сфере кибербезопасности (NICE). Технический компонент обучения включал в себя важные знания, навыки и способности, которыми должны обладать системный администратор, аналитик киберзащиты, аналитик безопасности системы, сотрудник, реагирующий на инцидент в сфере киберзащиты, и специалист, оценивающий уязвимость системы. В результате этого учебного курса слушателям были привиты следующие знания, навыки и способности:

Знания в сфере:

  • Принципов кибербезопасности и конфиденциальности.
  • Киберугроз и уязвимых мест.
  • Особых оперативных последствий сбоев в системе обеспечения кибербезопасности.
  • Организационных правил безопасности для пользователя информационных технологий.
  • Методов укрепления системного администрирования, сетей и операционных систем.
  • Уязвимых мест приложений.
  • Возможностей, ограничений и вклада криптологии в кибероперации.
  • Имеющихся сегодня программ и методологий организации активной обороны и укрепления систем.
  • Методов и приемов обнаружения деятельности злоумышленников.

Навыки в сфере:

  • Поддержки функционирования службы каталогов.
  • Извлечения информации из захваченных пакетов данных.
  • Проверки целостности всех файлов.

Способности:

Применять принципы обеспечения кибербезопасности и конфиденциальности к требованиям конкретной организации.

Следить за работой системы и реагировать на сигналы аномалии и/или на наблюдаемые подозрительные тенденции или необычную работу системы.

В тренинге, организованном SRB-CERT, приняли участие почти 200 сотрудников из 79 местных органов управления. Доступ к этому тренингу обеспечивался во всех регионах Сербии: в Центральном и Западном регионе, в Южном и Восточном регионе, в Северном регионе и в Белградском регионе. После окончания каждой сессии среди слушателей проводился опрос, позволявший определить степень их удовлетворенности, а также те фрагменты учебного курса, которые нуждались в усовершенствовании.

Будущие угрозы, исходящие
от искусственного интеллекта

Возможные угрозы, связанные с искусственным интеллектом, были проанализированы путем использования возможного «обучения машин» в деятельности CERT. Эта тема была выбрана по трем причинам:

  • Проинформировать академическую аудиторию о функциях и задачах сотрудников CERT, отвечающих за кибербезопасность.
  • Объяснить, как «обучение машин» может повысить эффективность работы CERT.
  • Повысить информированность аудитории об аспектах безопасности, связанных с технологиями искусственного интеллекта.

И хотя в центре внимания по-прежнему остается развитие программ специализированного обучения, эта презентация выявила важные факты, касающиеся дальнейшего наращивания трудовых ресурсов в сфере кибербезопасности. Потенциал использования «обучения машин» в механизме оказания услуг CERT стал очевиден, включая потенциал в сфере распространения информации, относящейся к вопросам безопасности, реагирования на инциденты, анализа вирусных программ и проведения киберучений. Однако, использование этих технологий сопряжено с риском. Хотя Национальный институт стандартов и технологий все еще работает над систематизацией возможных типов нападений, связанных с «обучением машин», необходимо отметить, что не у всех видов нападений одинаковая степень вероятности и не все они приводят к одним и тем же последствиям. Это означает, что во время анализа угроз нужно рассматривать модели реалистичных возможностей злоумышленников, и что рабочий цикл создания безопасного программного обеспечения должен включать сканирование уязвимых мест и усиление модели.

И хотя пока что нынешняя версия инфраструктуры NICE признает теорию и принципы «обучения машин» только как важный аспект в обязанностях аналитика данных, оно обладает гораздо большим потенциалом и может трансформировать рабочие обязанности многих других сотрудников.

Позитивное влияние презентации трудно переоценить, и Стратегия развития искусственного интеллекта, принятая спустя несколько месяцев, должным образом учитывает аспекты безопасности.

Заключение

Сербия является единственной страной в Юго-Восточной Европе, принявшей стандартизационный подход к созданию учебных программ и разработке Стратегии развития искусственного интеллекта, предоставляя другим странам уникальную возможность использовать опыт Сербии и достигнутые ею результаты.

Организованный SRB-CERT тренинг для сотрудников местных органов управления привел к укреплению доверия, повышению степени информированности о киберугрозах и улучшению качества знаний. В результате местные органы управления теперь сообщают о большем количестве киберинцидентов. Этот процесс также позволил определить области, которые необходимо усовершенствовать в последующих обучающих курсах. Знания, навыки и способности членов SRB-CERT были значительно расширены, и было получено подтверждение того, что разработанная SRB-CERT модель Закона «О кибербезопасности» может быть применена и адаптирована к особенностям любой организации-участницы. Хотя о результатах стандартизации обучения говорить еще рано, ожидается, что более точная информация о рабочих обязанностях и требованиях к обучению будет подготовлена к началу следующей фазы обучения. В центре следующего этапа обучения будет организация более продвинутого уровня образования для сотрудников местных органов управления, а для другой группы операторов объектов критически важной инфраструктуры будет использоваться та же самая методология и базовый уровень преподавания.

Первый шаг в создании обучающих программ по вопросам безопасности, связанным с искусственным интеллектом, уже был сделан. Необходимо провести дополнительные исследования для того, чтобы окончательно определиться с учебным планом, целевой аудиторией и методами обучения. Исследование, проведенное недавно Институтом «Будущее человечества» при Оксфордском университете в Великобритании, показало, что научный анализ соотношения нападение-оборона технологий искусственного интеллекта отличается от анализа уровня компьютерной безопасности, поскольку сущеcтвует гораздо большая вероятность обнаружения методов, которые злоумышленники сами не откроют, но смогут использовать в своих интересах во время нападений. Поэтому рекомендуется обсуждать оборонительные и наступательные аспекты вместе и избегать предоставления информации о нападениях, содержащих трудно исправимые социальные компоненты, соблюдая при этом особую осторожность в ситуациях, когда вы делитесь кодами источников.