Во всем мире бум кибербезопасности. Повсеместно растет число кибератак. Многие российские эксперты прогнозируют дальнейший значительный рост кибератак на российские организации в 2023 году. Часто масштабы кибератак сложно каталогизировать и оценить количественно. В этой связи целесообразно учитывать зарубежный опыт.
19 января 2023 г. на сайте Исследовательской службы Конгресса США опубликован доклад «Кибербезопасность: Бюро киберстатистики». В нём, в частности, отмечается, что «отсутствие единообразных данных о нападениях препятствует обсуждению и исполнению государственной политики».
Федеральные и государственные регулирующие органы США могут потребовать от организаций сообщать об определенных типах атак, а частные компании по кибербезопасности собирают данные об инцидентах от своих клиентов. Однако данные не централизованы, не стандартизированы и не отфильтрованы на предмет дублирования. Разнообразие данных и количество различных хранилищ для этих данных ограничивают использование данных для понимания масштабов кибератак.
Стремясь создать центральный репозиторий данных о киберинцидентах, Конгресс США принял Закон об отчетности о киберинцидентах для критически важной инфраструктуры от 2022 года (CIRCIA).
Закон требует, чтобы Агентство кибербезопасности и безопасности инфраструктуры (CISA):
(1) участвовало в нормотворчестве, чтобы требовать от организаций частного сектора информировать, когда они подвергаются кибератаке, или когда их принуждают платить выкуп;
(2) обеспечивало соблюдение требуемой отчетности;
(3) распространяло анализ на основе собранной информации. В настоящее время CISA работает с заинтересованными сторонами над разработкой уведомления о предлагаемом нормотворчестве.
Предложением, расширяющим эту концепцию, является рекомендация Комиссии по киберпространству (Комиссия) о создании Бюро киберстатистики (BCS). Предлагаемое Комиссией BCS будет федеральным статистическим агентством и станет собирать, обрабатывать, анализировать и распространять данные об инцидентах в области кибербезопасности, а также о последствиях этих инцидентов. Предложение соответствует большей части того, что требует Закон CIRCIA. Однако есть ключевое отличие: аудиторией результатов BCS будут политики и лица, принимающие решения в отрасли, а не только сообщество кибербезопасности. Как федеральное статистическое агентство, BCS будет проводить объективный анализ киберинцидентов для информирования политиков и промышленности, а не собирать и анализировать данные для достижения цели или программы самого агентства. Кроме того, как федеральное статистическое агентство, BCS будет следовать строгим методологиям сбора и обработки данных, что повысит его авторитет.
Другие федеральные статистические агентства – это Бюро переписи населения США, Бюро статистики юстиции и Бюро статистики труда.
Комиссия определила пять задач BCS:
(1) определение показателей кибербезопасности;
(2) сбор и агрегирование данных о кибератаках;
(3) выдача мандатов на отчетность об инцидентах;
(4) защита данных и конфиденциальности;
(5) обмен информацией между академическими кругами и частным сектором.
Хотя это специально не обсуждалось Комиссией, аналитическая деятельность также необходима для BCS.
О необходимости улучшения статистики кибербезопасности
Отраслевые группы, частные компании и аналитические центры пытались каталогизировать и квалифицировать размах и масштабы кибератак в отношении Соединенных Штатов. Принято считать, что с каждым годом такие атаки становятся все разнообразнее, чаще и эффективнее. Несмотря на принятие этих субъективных заявлений в качестве объективной информации, заинтересованные стороны также признали, что имеющихся данных недостаточно для количественной оценки всех атак на страну и их эффективности.
Существующие данные о кибератаках хранятся во многих различных государственных и частных источниках в федеральных и нефедеральных субъектах. Данные, хранящиеся в этих объектах, сообщаются непоследовательно, неравномерны по значениям объектов данных (т. е. собранной информации) и потенциально избыточны или дублируют друг друга. Кроме того, большая часть доступных данных измеряет только степень киберриска (например, тип атаки, индикаторы компрометации и атрибуцию).
Данные о реакции на атаку и ее результатах — меры, которые позволяют успешно защищаться от атак, оценивать количественные потери (например, потеря прибыли или время простоя) и изменения в бизнес-операциях в результате успешной атаки — редко собираются и анализируются. Эти проблемы одинаково проявляются как для правительства, так и для промышленности: отсутствие данных приводит к слабому анализу и принятию плохо обоснованных решений.
Некоторые ученые утверждают, что отсутствие непротиворечивых и полных данных мешает политикам понять истинный масштаб риска в области кибербезопасности и принять соответствующую стратегию для устранения этих рисков. Можно провести аналогию со статистикой преступности: ученые утверждают, что стандартизированный сбор и анализ национальной статистики преступности способствовали принятию более обоснованной политики и позитивным сдвигам в ней.
Конгресс США может столкнуться с проблемами из-за недостаточности данных при оценке годовых бюджетных запросов агентств или при рассмотрении новых разрешений для агентств. Законодателей просят сделать выбор в отношении того, под какие программы выделить ресурсы, и определить, сколько инвестиций приведет к достаточному снижению риска кибербезопасности.
Промышленность также сталкивается с проблемами из-за отсутствия полезных данных. Например, страхование кибербезопасности рекламировалось как управляемый рынком инструмент для снижения киберриска за счет политики ценообразования, основанной на данных, которые связаны с подверженностью риска и мерами по смягчению последствий. Традиционно страховщики используют данные о предыдущих претензиях, а также новые данные о возникающих рисках для разработки ценовых моделей для новых полисов, но в отсутствие нужной информации эти модели еще только предстоит разработать.
Данные для управления рисками
Риск — это функция угроз, уязвимостей и последствий. Данные о риске (например, об уязвимостях, которые компрометируют субъекты угроз, и о том, где объект уязвим) необходимы для адекватной оценки эффективности стратегий управления. Министерство внутренней безопасности (DHS) признало отсутствие исчерпывающих данных о рисках кибербезопасности и через свое Управление по науке и технологиям (S&T) финансировало проекты, связанные с улучшением обмена информацией (IMPACT) и снижением рисков (CYRIE). Однако ограниченный масштаб пилотных проектов и отсутствие мандатов помешали успеху проектов и привели к прекращению государственной поддержки.
Риском можно управлять, избегая его, передавая, контролируя и, наконец, принимая. Можно также игнорировать риск, но это - неэффективная стратегия. Страхование кибербезопасности представляет собой один из способов снижения риска — путем его делегирования. Компании могут контролировать риск, покупая товары и услуги, чтобы уменьшить свою уязвимость или последствия атак. Однако, не зная масштабов риска и возникающих тенденций, отдельные фирмы сталкиваются с теми же проблемами, что и Конгресс при предоставлении ресурсов федеральным агентствам: фирмы не уверены, в какие решения лучше всего инвестировать и какой уровень инвестиций может дать желаемый эффект.
Кроме того, страховщики смирились с необходимостью измерять прошлый риск и исходить из того, что мер по контролю этого риска будет достаточно в будущем. Однако риск кибербезопасности постоянно возрастает. Субъекты угроз и компании, занимающиеся кибербезопасностью, постоянно учатся друг у друга и стремятся опередить усилия друг друга. Эта активная и динамичная среда означает, что прошлые результаты редко обеспечивают стабильный прогноз, на котором можно основывать будущие инвестиции.
Обзор предложений Бюро киберстатистики
Чтобы предоставлять более качественные данные государственным политикам и частным лицам, принимающим решения, Комиссия рекомендовала в 2020 году создать статистическое агентство для сбора, обработки, анализа и распространения данных об инцидентах кибербезопасности и их последствиях. Эта рекомендация о создании Бюро киберстатистики послужит основой для усилий по созданию и изменению политики и программ кибербезопасности, а также дополнит другие рекомендации Комиссии, например, связанные с информированием национального управления рисками и помощью страховщикам в создании более точных моделей риска.
BCS может определять ключевые показатели киберинцидентов (например, общие используемые уязвимости и затраты, связанные с простоем и реагированием) и разрабатывать информационные продукты (например, количественные оценки атак по секторам или регионам критической инфраструктуры) для лучшего понимания национальных киберрисков.
Чтобы помочь Конгрессу в создании BCS, Комиссия разработала типовой законодательный текст, в котором более подробно изложены их рекомендации. Предлагаемый BCS будет создан в рамках федерального агентства. На предлагаемую BCS будут возложены:
• сбор и анализ информации о кибербезопасности (например, о кибератаках и преступлениях) на постоянной основе;
• сбор и публикация статистики по кибербезопасности из этой информации;
• координация с Национальным институтом стандартов и технологий (NIST) по стандартам и показателям для обеспечения надежности и достоверности статистики кибербезопасности;
• исследования и инновации в области методов сбора и анализа анонимных статистических данных по кибербезопасности;
• заключение соглашений с другими агентствами, академическими кругами и частными компаниями для поддержки функций бюро;
• предоставление Президенту, Конгрессу, другим федеральным агентствам, частному сектору и широкой общественности статистических данных по кибербезопасности;
• взаимодействие с государственными и местными органами власти;
• участие в других федеральных статистических органах и соблюдение нормативно-правовых актов, касающихся раскрытия федеральных статистических данных.
В дополнение к этим обязанностям будет уполномочен разрабатывать конкретную статистику, связанную с операциями федеральной сети, выделять гранты правительствам штатов, чтобы помочь им представлять данные в бюро, обнародовать правило, требующее от организаций сообщать BCS о возникновения инцидента кибербезопасности, и налагать штрафы на организации, которые нарушают правило.
BCS как федеральное статистическое агентство
Законодательное предложение подчеркивает важность предлагаемого BCS в качестве федерального статистического агентства. Федеральное статистическое агентство является организационной единицей исполнительной власти, «основной функцией которой является сбор, обобщение, анализ и распространение информации для таких статистических целей, как мониторинг ключевых экономических и социальных показателей... оценка программ и проведение научных исследований».
Если BCS будет создана в рамках CISA, то часть рабочих продуктов BCS выйдет за пределы сообщества кибербезопасности и будет объединять разработчиков политики и отрасли, не связанные с кибербезопасностью.
Источники данных для отчётов о киберинцидентах
Федеральное правительство получает отчеты об инцидентах кибербезопасности и информацию, связанную со снижением киберрисков, из различных источников — как добровольных, так и обязательных.
Несмотря на существование этих требований к отчетности, не существует полной картины национального риска кибербезопасности.
Во-первых, не в каждом секторе критической инфраструктуры есть регулирующий орган, который требует отчетности от подпадающих под действие организаций в этом секторе. Химическая промышленность, коммерческие объекты, критически важное производство, плотины, аварийно-спасательные службы, сельское хозяйство, информационные технологии, а также сектора систем водоснабжения и водоотведения не имеют мандатов по отчетности об инцидентах кибербезопасности для конкретных секторов.
Кроме того, некоторые сектора имеют неполные мандаты. Например, мандат сектора связи распространяется только на обрыв подводного кабеля; мандат транспортного сектора распространяется только на трубопроводы. Эти узкие полномочия, возможно, игнорируют некоторые из крупнейших проблем в этих секторах.
Во-вторых, в то время как отрасль обязана направлять отчеты в конкретное агентство, одно агентство редко обязано дополнительно сообщать об этом инциденте в другое агентство, не говоря уже о центральном агентстве для консолидированного анализа.
Существует механизм, с помощью которого можно обмениваться информацией о рисках кибербезопасности: организации частного сектора могут обмениваться информацией о киберугрозах между собой через центры обмена и анализа информации (ISAO), частный сектор может обмениваться информацией с CISA, а государственные учреждения могут обмениваться информацией между собой через директора Центра интеграции информации о киберугрозах (CTIIC) Национальной разведки. Однако участие в подобных программах обмена информацией имело ограниченный успех.
Источники и ограничения данных CISA
Возможно, CISA является агентством, которое имеет наиболее полный доступ к данным об инцидентах кибербезопасности в федеральном правительстве. Из-за этого CISA часто обсуждается как хранилище для потенциального BCS. Несмотря на текущую информацию агентства, оно, вероятно, не имеет доступа в рамках своих существующих полномочий ко всей информации, необходимой для федерального статистического агентства.
CISA собирает информацию из трех источников: (1) прямой сбор; (2) обмен информацией; (3) приобретения. Данные, находящиеся в распоряжении CISA, имеют те же недостатки, о которых говорилось выше: данные (i) неоднородны, (ii) неполны и (iii) размещены в наборах данных, которые не очищены, не подготовлены для совместного использования.
CISA использует различные программы для прямого сбора информации о кибер-рисках. Агентство собирает информацию с датчиков, развернутых в сетях федеральных агентств, таких как Национальная система защиты от кибербезопасности (NCPS), интегрированная система обнаружения и предотвращения вторжений, а также программа непрерывной диагностики и смягчения последствий инвентаризации активов и уязвимостей (CDM). В соответствии с законом агентства обязаны сообщать в CISA о случаях инцидентов, связанных с кибербезопасностью.
CISA получает информацию о киберинцидентах как от государственных, так и от частных лиц. Агентства по управлению отраслевыми рисками имеют соглашения с CISA об обмене информацией о рисках кибербезопасности. Например, Управление по санитарному надзору за качеством пищевых продуктов и медикаментов подписало Меморандум с агентством-предшественником CISA (Управлением национальной защиты и программ), касающийся кибербезопасности медицинских устройств. CISA может собирать свободно доступные наборы данных, например, опубликованные исследователями.
CISA также может получать информацию об угрозах от компании, занимающейся кибербезопасностью, точно так же, как любая организация частного сектора может приобретать подбные услуги или подписываться на них.
Однако, как и в случае с другими источниками информации, данные из этих каналов не могут быть легко объединены с данными из других источников для анализа с помощью автоматизированных средств, они могут не содержать информацию, относящуюся к аналитическим целям или могут иметь ограничения на использование данных.
Кроме того, данные, которые агентство не получает напрямую, собираются первоначальным сборщиком для защиты конфиденциальности. Это требует вторичного анализа, а не первичного обзора данных. Такой анализ все еще может оказаться полезным, но он не обеспечивает равного уровня детализации и точности, поскольку опирается на данные, собранные (включая методологию сбора) и проанализированные другой стороной.
Определение показателей кибербезопасности
Как обсуждалось выше, сегодня существует много данных о рисках кибербезопасности среди федеральных и нефедеральных субъектов. Однако промышленность высказала замечания в отношении сбора правительством информации, связанной с вопросами кибербезопасности, поскольку сами системы информационных технологий (IТ), в которых происходят инциденты, могут также содержать конфиденциальные данные, которые жертвы могут не захотеть раскрывать третьим сторонам, включая правительство. Эта проблема может возникнуть снова, поскольку одна из функций BCS - определить, какие данные необходим для статистического анализа. Кроме того, статистические модели для анализа наборов данных по кибербезопасности не разработаны. Если бы правительство собиралось потребовать от организаций сообщать данные по кибербезопасности в новое федеральное статистическое агентство, то национальные заинтересованные стороны, вероятно, ожидали бы, что такое агентство будет придерживаться принципов федеральных статистических агентств, в частности, развивать доверие среди пользователей данных, а также доверие между поставщиками данных. Прозрачные метрики и аналитические методологии являются общепринятой практикой для достижения этих целей.
Как агентству, CISA еще не приходилось вникать в деятельность статистических агентств, поэтому для создания BCS потребуются новые усилия. Четкое разрешение Конгресса на выполнение CISA этих обязанностей (в частности, сбор данных) поможет агентству наладить отношения с организациями, которые должны будут обмениваться информацией. NIST и CISA имеют опыт совместной работы и могут стать партнерами в разработке такой возможности.
Хотя NIST может помочь CISA в развитии статистического потенциала CISA, другие федеральные органы также могут оказать поддержку. Комитет по национальной статистике, финансируемый Национальным научным фондом, а также другие статистические агентства (например, BLS) могут предоставить экспертные знания и наработанный опыт в поддержку создания статистических возможностей для предлагаемого BCS.
Сбор и агрегирование данных
Эта возможность относится к способности BCS получать необходимые данные и проводить соответствующий анализ. В типовом законодательном тексте обсуждаются возможности для администратора BCS заключать соглашения с другими федеральными агентствами об обмене существующими данными. Предполагается, что BCS может также создавать мандаты для промышленности и агентств, чтобы напрямую сообщать о значениях объектов данных. BCS, возможно, потребуется закупать данные из частных источников, и Комиссия выступает за то, чтобы BCS был достаточно обеспечен ресурсами для регулярного осуществления этих закупок.
Как обсуждалось выше, CISA в настоящее время имеет некоторый опыт заключения соглашений с другими федеральными агентствами об обмене информацией по кибербезопасности и подписалась на услуги, предоставляющие информацию об угрозах. В бюджетном запросе Конгресса CISA на 2023 финансовый год содержится просьба об увеличении текущих программ, связанных с приобретением частных данных для федерального анализа, в частности, для оценки рисков цепочки поставок информационно-коммуникационных технологий и предоставления данных о киберугрозах другим агентствам в рамках общей службы. Вполне вероятно, что CISA потребует увеличения ресурсов для получения (путем соглашения или покупки) и управления данными, необходимыми для выполнения обязанностей BCS.
Мандаты на отчёты об инцидентах
Этот атрибут связан с требованием к организациям (частным и публичным) сообщать информацию в BCS для формирования статистического анализа.
В настоящее время CISA работает с заинтересованными сторонами над разработкой уведомления о предлагаемом нормотворчестве.
Защита данных и конфиденциальности
Этот атрибут относится к потенциальной конфиденциальности предоставленных данных и необходимой защите этих данных. Как федеральное агентство, CISA уже подпадает под действие положений о защите данных в соответствии с Федеральным законом о модернизации информационной безопасности и защиты конфиденциальности физических лиц в соответствии с Законом о конфиденциальности (PL 93-579). Как статистическое агентство, CISA будет подчиняться дополнительным требованиям в соответствии с положениями и директивами CIPSEA и OMB для федеральной статистической системы.
CIRCIA расширяет защиту данных, предусмотренную Законом о кибербезопасности от 2015 г., на данные, собранные для отчетности о киберинцидентах, и создает ограничения для сбора данных, обмена этими данными и требований по их защите. И здесь требования CIRCIA к CISA могут быть распространены на возможности BCS, если Конгресс решит поручить такую деятельность CISA.
Обмен информацией между академическими кругами и частным сектором
Этот атрибут связан с признанием того, что федеральные статистические агентства занимаются академическими исследованиями и должны стремиться делиться методами, приемами и анализом с исследовательским сообществом, вносить свой вклад в инновации и предоставлять форумы для взаимодействия организаций государственного и частного секторов. CISA имеет опыт привлечения исследовательского сообщества в области кибербезопасности к обнаружению и раскрытию новых технологических уязвимостей и является местом проведения многих частно-государственных форумов по безопасности и отказоустойчивости критической инфраструктуры, а также управлению киберрисками. Однако эти действия, как правило, были направлены на поддержку программ CISA, а не на сбор национальных данных о кибербезопасности, что может потребовать различных стратегий взаимодействия.
Ожидается, что BCS расширит объем знаний и расширит возможности исследования данных о рисках кибербезопасности. Это были бы новые результаты для CISA, но программные аспекты такой деятельности уже знакомы агентству. Если Конгресс решит поручить деятельность BCS CISA, агентство может извлечь выгоду из прямого разрешения, связанного с такими обязательствами, - как для того, чтобы потребовать от агентства регулярно проводить их, так и для поощрения участия исследователей в обмене.
Анализ данных
Комиссия прямо не обсуждала аналитические возможности, необходимые BCS для разработки аналитических продуктов, хотя они рассматривались как часть первых двух атрибутов. Следуя принципам федеральных статистических агентств, разработка прозрачных методологий, позволяющих заинтересованным сторонам быть уверенными в опубликованных продуктах, будет иметь решающее значение для успеха предлагаемой BCS. И здесь CISA, вероятно, потребуется помощь NIST и существующих статистических агентств в разработке этих моделей. Тем не менее, CISA может использовать существующие партнерские отношения для приобретения и использования технических возможностей для выполнения и интерпретации анализов. Национальный центр моделирования и анализа инфраструктуры CISA (NISAC, элемент Национального центра управления рисками) работает с национальными лабораториями и финансируемыми из федерального бюджета научно-исследовательскими центрами (FFRDC) для получения данных и проведения анализа с дальнейшим формированием моделей, связанных с проектированием каскадных последствия сбоев информационных технологий в критически важных отраслях инфраструктуры. Эти возможности могут быть полезны для возможностей BCS, но, скорее всего, будут дополнительными.
***
Несмотря на различия в структуре органов, отвечающих за кибербезопасность, их задачах и полномочиях, опыт США безусловно интересен для развития практики обеспечения реагирования на кибер атаки и кибер инциденты у нас в стране.