ВРАЖДЕБНЫЕ ОТНОШЕНИЯ Несмотря на то, что враг у них один, правительство и бизнес не могут действовать сообща

Отношения между правительством и промышленностью нередко доходят до конфронтации, тем не менее, если говорить о кибербезопасности, совместные действия принесли бы каждой из сторон немалую выгоду. Смогут ли правительство и бизнес объединиться ради общего блага?

Если говорить об информационной безопасности, многие эксперты склонны полагать, что более активный обмен информацией об онлайновых угрозах и недругах привел бы к резкому повышению безопасности всех Интернет-пользователей. При этом в реальности два наиболее подверженных атакам сектора – частные компании и национальные правительства – нередко стремятся к взаимообратным целям, а ведь именно через них проходит основной объем таких сведений.

Юджин Спаффорд, профессор информатики в Университете Пердью в Западном Лафейетте, Индиана (США), говорит, что стороны уперлись в собственноручно возведенную стену. «Правительство часто не желает раскрывать информацию, поскольку боится показать свои источники и методы», - говорит Спаффорд. В связи с этим фиксируемые правительственными органами атаки против корпораций нередко не раскрываются, им позволяют длиться месяцами или годами с одной лишь целью – собрать информацию о методах атакующей стороны.

«ОДНА ИЗ ОБЩЕИЗВЕСТНЫХ ПРОБЛЕМ
ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ МЕЖДУ ГОСУДАРСТВЕННЫМ И ЧАСТНЫМ СЕКТОРОМ ЗАКЛЮЧАЕТСЯ В УПРАВЛЕНИИ ОЖИДАНИЯМИ».

ЭРИК ДЕ ЙОНГ ЭКСПЕРТ ПО КИБЕРБЕЗОПАСНОСТИ, FOXCERT

«Правительство также склонно перестраховываться при засекречивании данных, просто потому что не умеет толком с ними обращаться», - говорит Спаффорд. «Компании же не делятся информацией об угрозах, потому что не уверены в собственной безопасности. Они боятся, что если расскажут слишком много, то привлекут внимание к своим же уязвимым местам».

СЛОВО ЗАКОНА

Для решения хотя бы части проблем законодатели в Соединенных Штатах принялись обсуждать весьма противоречивое предложение под названием «Закон об обмене данными киберразведки и их защите» (CISPA), который направлен на упрощение процедуры раскрытия компаниями своих сведений о кибератаках в интересах правительства. Однако обсуждение CISPA зашло в тупик после того, как вскрылись факты о размахе кампании по сбору информации обо всем на свете, которые проводятся Агентством национальной безопасности США.«CISPA в потенциале может аккумулировать множество данных, превращаясь в еще более привлекательную цель для преступников и кибершпионов», - говорит Спаффорд. «Другой важнейший принцип, связанный с защитой личной информации, - ограничение объема и срока хранения собранных данных, но и он пока не проработан».

«Одна из общеизвестных проблем при обмене информацией между государственным и частным сектором заключается в управлении ожиданиями», - говорит Эрик де Йонг, эксперт в области кибербезопасности в компании FoxCERT из Нидерландов. По словам де Йонга, голландское правительство признает значимость обмена информацией, но по факту редко делится с частным сектором собранными сведениями о киберугрозах.«Мне кажется, тут дело не в отсутствии желания, а в отсутствии прозрачного мандата», - говорит он. «Правительство декларирует поддержку, но стоит только запахнуть жареным, размер помощи совершенно не соотносится с ожиданиями частных организаций».

Де Йонг считает, что говорить об информационном обмене во имя «более безопасного Интернета» и «более защищенного цифрового общества» проще всего. Но если для правительства это и может считаться приоритетной задачей, то для большинства частных организаций она стоит хорошо, если на второй ступени по значимости. «Как мне кажется, основные интересы частных организаций редко озвучиваются напрямую или учитываются правительственными органами», - полагает де Йонг. «Я считаю, честнее и эффективнее было бы создать ситуацию, когда обе стороны признают главные цели друг друга, тогда будет проще определиться с тем, чего стоит и чего не стоит ждать от партнера».

СКОЛЬКО ВЕШАТЬ В БАЙТАХ?

Высказывается мнение, что кустарные поставки собранной киберинформации, равно как и нереализованные до сих пор законотворческие планы по содействию информационному обмену между государственным и частным сектором, меркнут на фоне более серьезной проблемы: как определить, какой информацией делиться, с кем и когда?

«Все эти дискуссии касательно ответственности, защиты, анонимности и секретности данных пустой звук для тех людей, кто и думать не желает делиться информацией», - говорит Алан Поллер, директор по науке в институте SANS Institute из города Вифезда, Мэриленд (США). «Даже при наличии стимулов или стремления к обмену данными, эффективность будет нулевой как раз в тот момент, когда возникает в этом необходимость. Во время атаки крайне сложно понять, что происходит; после атаки данных столько, что в них можно утонуть».

Поллер рекомендует правительству вместо этого поставщикам киберинформации, особенно тем из них, которые зарабатывают за счет финансируемых налогоплательщиками правительственных контрактов, извлекать и раскрывать ключевые сегменты данных об атаках на пострадавшие организации.

«По крайней мере, в Соединенных Штатах многие компании из сферы кибербезопасности привлекаются по контракту для содействия в предотвращении и ликвидации хакерских взломов; порой жертвы даже обязаны в силу закона нанимать такие компании», - говорит Поллер. «У правительства есть право получать метаданные по результатам таких расследований».

Санитарно-эпидемиологические центры в США, собирающие данные из больниц и от частных практик с целью предотвратить распространение опасных заболеваний, можно считать ярчайшим примером того, как нужно налаживать сотрудничество в сфере кибербезопасности, полагает Поллер. При такой системе, возможно, придется выдавать некоторым компаниям лицензии на обработку киберинцидентов. Организации, пострадавшие от взлома систем безопасности, будут юридически обязаны работать с одним из лицензированных следователей по киберинцидентам, который обобщит и передаст правительству необходимые сведения в целях повышения безопасности без раскрытия индивидуальных данных. ◆

автор статьи Брайн Кребс Вернуться к началу страницы
автор статьи Брайн Кребс