Снижая риски

Чешская Республика отвечает на растущие угрозы

Вероника Нетолицка и Мартин Конечны

Фотографии Рейтер

Нанесение ущерба критически важной информационной инфраструктуре (CII) Чешской Республики может негативно сказаться на национальной безопасности, поскольку под угрозой оказываются общие условия жизни населения, здравоохранение и экономика государства. Национальная стратегия кибербезопасности страны на период 2015-2020 гг., Ежегодный отчет Службы информационной безопасности за 2015 г. и Аудит национальной безопасности — все три документа признали существование серьезных угроз в этой области. Как свидетельствуют эти документы, кибершпионаж представляет серьезную угрозу CII. Однако, это не единственная угроза. Непроверенные и ненадежные поставщики аппаратного и программного обеспечения, засылки вирусов ради получения выкупа и кибертерроризм также представляют значительную опасность.

Кибершпионаж

Кибершпионы стремятся получить ограниченного доступа стратегическую или важную информацию от отдельных лиц или организаций с использованием средств коммуникаций или при помощи нападения на них. Кибершпионы могут обеспечить политические, экономические или военные преимущества для вероятного противника, создавая значительную угрозу национальной безопасности.

Как указано в отчете Службы информационной безопасности Чешской Республики за 2015 г., основная опасность для страны в плане кибершпионажа исходит от России и Китая. В том году объектами российской кампании кибершпионажа стали два чешских министерства. Эти две страны занимались кибершпионажем и раньше, и их мишенями становились также и CII. В области CII, например, мишенью для нападения могут стать ведущиеся в Чешской Республике передовые исследования в сфере нанотехнологий, чем и известна страна. Соблазн получения исключительно важной информации технологического или политического характера делает эти исследования привлекательным объектом нападения.

Низкий риск обнаружения делает кибершпионаж особенно опасным. Во многих случаях идущая кампания шпионажа обнаруживается через месяцы, а то и годы после ее начала. Государства должны активно защищать себя от таких кампаний. Кроме того, полученная информация может использоваться не только в целях шпионажа, но иногда и в целях вымогательства или для дальнейшего распространения. Кибершпионаж также может функционировать в качестве основы для более изощренных кибернападений. Получение секретной информации может проходить посредством использования логина и персональных данных известных людей, которых впоследствии можно использовать в неблаговидных целях. По мере роста цифровых технологий и расширения CII количество и интенсивность кампаний кибершпионажа будет возрастать.

Безопасность цепочки поставок

Как указывается в отчете Службы информационной безопасности за 2014 г., для создания угрозы для национальной безопасности может использоваться взлом системы безопасности цепочки поставок. Например, в компьютерные системы, обслуживающие CII, можно проникнуть, используя аппаратное обеспечение, в котором есть уязвимые места. В данном случае источник риска в полной зависимости государства от закупок аппаратного и программного обеспечения у внешних поставщиков, которые, в свою очередь, могут быть связаны с кибершпионажем. 

Пример такого случая: в 2010 г. ВМФ США закупил у Китая тысячи микрочипов для широкого применения — от боевых ракет, ретрансляторов до пусковых установок гражданских ракет. Эти микрочипы, однако, имели «чёрный ход», позволяющий выключить всю систему, использующую эти чипы. В 2013 г. американский Конгресс официально охарактеризовал деятельность Китая как кибершпионаж. США запретили правительственные закупки у китайских компаний, а также рекомендовали, чтобы частные американские компании ограничили закупку программного обеспечения в Китае. Поскольку микрочипы могут быть запрограммированы таким образом, чтобы активно вмешиваться в работу системы, то важно проверять аппаратное и програм-мное обеспечение, которое собираетесь использовать. В Чешской Республике, как и во многих других странах, подозрения падают на китайских поставщиков, таких как Huawei или ZTE.

Вирусы-вымогатели

Нанесение ущерба не ограничивается только аппаратным обеспечением. Могут также применяться злонамеренные программы, такие, как вирусы-вымогатели, которые блокируют компьютерные системы или шифруют записанную информацию и держат их в таком состоянии, пока не будет уплачен выкуп. Такие нападения также представляют значительную угрозу для CII.

Самые крупные вирусы этого типа (WannaCry, Petya), использовавшиеся для нападения на государственные инфраструктуры, напрямую не повлияли на Чешскую Республику. Однако, нет гарантий, что эта ситуация не изменится, поскольку такое криминальное использование вирусов очень прибыльное дело. Наилучшей защитой от заражения вирусом-вымогателем является, как минимум, копирование важных документов на носители, которые независимы от компьютеров, на которых хранятся данные. После нападения с применением такого типа вирусов, в большинстве случаев заблокированная информация не возвращается. Даже если она будет возвращена, после уплаты выкупа конфиденциальность уже нарушена.

Кибертерроризм

Кибертерроризм — явление относительно новое, и среди специалистов по безопасности нет единого мнения относительно его точного определения. Недавние нападения не подпадают под характеристики обычного терроризма. Согласно результатам Аудита национальной безопасности Чехии за 2015 г., кибертерроризм представляет меньшую угрозу для безопасности, чем кампании кибершпионажа. И хотя в настоящее время риск кибертерроризма не актуален для Чешской Республики, можно ожидать, что этот риск появится в будущем. Однако, обсуждение этого явления не стоит игнорировать, поскольку его потенциальные последствия для CII могут быть катастрофическими.

Законодательный аспект

Комплексная законодательная база представляет прочный фундамент для защиты CII. Закон о кибербезопасности, этот краеугольный камень законодательства в сфере кибернетики, вступил в силу 1 января 2015 г., спустя два года в него были внесены поправки.

Закон с внесенными в него поправками регулирует следующие сферы:

• Критически важную информационную инфраструктуру
• Операторов ключевых услуг (OES) (в соответствии с указанием службы сетевой и информационной безопасности (NIS))
• Важные информационные системы (IIS) общественных учреждений
• Провайдеров цифровых услуг (DSP) (в соответствии с указанием NIS)
• Провайдеров интернет-услуг (ISP)
• Крупные сети (или крупных ISP) с безопасными сетевыми соединениями за границей или с CII
• Внедрение соответствующих подзаконных актов регулирует следующие аспекты: 
• Требования к кибербезопасности 
• Определяющие критерии OES
• Определяющие критерии IIS
• Безопасность правительственного «облака» (определение требований к безопасности для госучреждений) 

Правительственным учреждением, отвечающим за кибербезопасность, является Национальное агентство компьютерной и информационной безопасности, при котором функционирует Национальный центр кибербезопасности (NCSC). NCSC имеет две составные части — Правительственную группу быстрого реагирования на компьютерные инциденты (CERT) и Отдел политики в сфере кибербезопасности. В соответствии с Законом о кибербезопасности, дополнительная CERT, отвечающая за кибербезопасность всей остальной страны — национальная CERT. Правительственная CERT защищает CII, OES и IIS и реагирует на инциденты в сфере кибербезопасности; остальные регулируемые субъекты (ISP, крупные сети и DSP) находятся в ведении национальной CERT.

Еще одним законодательным актом, относящимся к CII, является Закон о кризисных ситуациях, который определяет процесс детерминации для элементов CII. Закон о кризисных ситуациях находится в компетенции Министерства внутренних дел. NCSC сотрудничает с Министерством внутренних дел по вопросам детерминации CII. Таким образом, роль NCSC, помимо помощи в реагировании на инциденты, заключается в том, чтобы оказывать поддержку в имплементации управления кибербезопасностью, проведении тестов на «пробиваемость» системы, проведении учений по кибербезопасности и оказывать поддержку в проведении образовательных мероприятий по тематике кибербезопасности.

NCSC также отвечает за проведение инспекций (аудиты уровня кибербезопасности) на всех участвующих объектах.

Снижая риски

Принимая во внимание возможные последствия инцидентов в сфере кибербезопасности для национальной безопасности, защита CII и усилия OES являются первостепенными приоритетами для Чешской Республики. Соответственно, требования к контролю за кибербезопасностью на этой категории регулируемых предприятий отражают их важность.

Подход Чехии к снижению компьютерных рисков основан на оценке серьезности и характера рисков. Иными словами, подход основан на способности компаний/институтов справиться с потенциальными рисками, угрожающими их системам. Цель состоит в том, чтобы снизить риск нападений, которые могут привести к нежелательным последствиям, включая последствия на государственном уровне. CII и OES должны отвечать требованиям безопасности, определенным законом, чтобы снизить уровень риска. Эти требования описаны в Указе о требованиях к кибербезопасности и охватывают следующие технические области: 

• Системы управления информационной безопасностью
• Управление активами и рисками
• Безопасность организации
• Политика безопасности и документация
• Управление цепочкой  поставок 
• Личная безопасность 
• Управление операциями и коммуникациями
• Управление доступом к сетям 
• Приобретение системы, ее развитие и обслуживание
• Обеспечение непрерывности обслуживания
• Физическая безопасность
• Безопасность сетей
• Безопасность персональной информации
• Защита от зловредных кодов
• Управление ведением документации
• Управление информацией относительно безопасности и инцидентов
• Безопасность компьютерных приложений
• Шифрование
• Промышленная кибербезопасность, управление функцией надзора и получения информации
• Безопасность цифровых служб
• Аудит

Проект измененной версии Указа о требованиях к кибербезопасности был составлен совместно с группой экспертов по кибербезопасности из частного и общественного секторов. Эта группа включала в себя представителей регулирующих организаций и экспертов в области кибербезопасности. Были включены рекомендации Европейского Союза и Агентства ЕС по сетевой и информационной безопасности.

Как уже упоминалось, NCSC обеспечивает поддержку практическому применению требований безопасности, обозначенных в этом указе. В 2017 г. NCSC начала проводить аудиты систем компьютерной безопасности наиболее важных правительственных организаций. Цель состоит в том, чтобы рекомендовать способы уменьшения риска, повысить кибербезопасность и усовершенствовать киберзащиту. Такие аудиты проводятся ежегодно.

Извлеченные уроки

Хотя законодательная база Чехии и принимаемые меры защиты создали прочный фундамент для защиты CII, кибербезопасность невозможно усовершенствовать без желания объектов CII защитить собственные системы. Таким образом, Чехия стремится создать особую среду, в которой операторы CII должны установить базовую защиту для укрепления безопасности своих систем. 

Государство в этом играет важную роль, выступая больше как партнер, нежели как карающий орган. Начальным пунктом в этом процессе является налаживание отношений доверия между операторами CII и государством. Например, сейчас проводятся консультации между государственными экспертами и организациями CII относительно готовящихся законов. В 2017 г. был выбран нетрадиционный подход при выработке проекта Указа о требованиях к кибербезопасности, и до начала составления проекта могли высказать свои мнения и предложения профессионалы из различных слоев населения.

Подход, основанный на доверии, открывает возможности для обмена информацией. Эффективный обмен информацией позволит более глубоко понять надвигающиеся угрозы и внесет вклад в выработку соответствующих мер, внедрение которых может предотвратить компьютерные инциденты в будущем. Государства должны понять, что снижение рисков в киберпространстве — это бесконечный комплексный процесс, и государственные органы должны принимать в нем участие и занимать динамичную позицию во всех мероприятиях, относящихся к кибербезопасности.