С начала реализации Национальной Стратегии Обеспечения Безопасности Киберпространства США прошло уже пять лет. Далеко не все реализуемые американским правительством на протяжении этого срока меры можно признать успешными. Благоразумие требует проведения оценки эффективности реализованных мер с тем, чтобы определить какие инициативы следует продолжать и развивать, а от каких следует отказаться. Такое исследование было проведено Институтом SANS, одной из авторитетных организаций в сфере ИБ, а результаты этого исследования были опубликованы в конце 2007 года для всеобщего обсуждения.
«Скоро останутся лишь две группы работников: те, кто контролирует компьютеры, и те, кого контролируют компьютеры. Постарайтесь попасть в первую».
Льюис Д. Эйген, Американский специалист по менеджменту
Оглавление
Проблема обеспечения безопасности кибер пространства в XXI веке выходит на первый план
Отрывок из письма к Президенту США от лица 50 ученых, компьютерных экспертов и представителей американских разведслужб:
«Рассмотрим следующий сценарий ….
В один прекрасный день террористическая организация заявляет о том, что они отключат Тихоокеанскую Северо-западную электрическую сеть на 6 часов, начиная с 16.00, а затем выполняет обещанное. Эта же группа затем заявляет, что они отключат основную телекоммуникационную магистральную линию связи между Восточным и Западным побережьем США на пол дня и выполняет обещанное, несмотря на все наши усилия этому помешать. Затем они угрожают вывести из строя систему управления воздушным трафиком города Нью-Йорк, заставляя приземляться все самолеты и отводя в сторону входящий трафик, и выполняют обещанное. Далее следуют другие угрозы, которые также приводятся в исполнение, демонстрируя возможности наших врагов успешно атаковать нашу критичную сетевую инфраструктуру. Наконец террористы угрожают парализовать сервисы электронной коммерции и кредитных карт на неделю путем использования нескольких сотен тысяч похищенных идентификационных номеров в миллионах поддельных транзакций в случае, если их требования не будут удовлетворены. Представьте себе, какую панику и всеобщий хаос это вызовет!?
Что делает этот сценарий интересным и волнующим, так это то, что все упомянутые события уже происходили ранее, хотя и не в одно и тоже время и не все по злому умыслу. Все это происходило как изолированные события, распределенные во времени. Некоторые – в результате технических неполадок, другие – были результатом неудачных экспериментов, а некоторые из них – в результате осуществления реальных кибер атак. Однако все эти события могут быть осуществлены в результате удаленных кибер атак».
В этом письме, написанном на рубеже XXI века, говориться о проблеме, постепенно выходящей на первый план не только в США, но и в остальном мире, — проблеме обеспечения кибер безопасности. (Можно было бы также использовать термин «информационная безопасность» или «компьютерная безопасность», однако первое понятие существенно шире, а второе — уже понятия «кибер безопасности»).
Киберпространство – это относительно новый термин, используемый американцами для обозначения совокупности информационных систем и систем управления, компьютерных и телекоммуникационных сетей, а также соответствующего программного обеспечения и технических средств, обеспечивающих их функционирование, и информационных ресурсов, необходимых для функционирования национальной экономики, оборонной отрасли, и всех прочих критичных сервисов. Обеспечение безопасности киберпространства является общегосударственной.
Переход от индустриального века к информационному — поворотный момент в истории. Знаменитая «проблема 2000 года» и поднятая вокруг этого шумиха только обозначили этот переход. Хотя тема была «раздута», а денег было «отмыто» много, акцент поставлен правильный — благосостояние и само выживание будущих поколений постепенно оказываются в прямой зависимости от уровня защищенности киберпространства.
Национальная стратегия США в области обеспечения безопасности кибер пространства
Национальная Стратегия Обеспечения Безопасности Киберпространства (далее – Стратегия) была разработана Комитетом по защите критической инфраструктуры (Critical Infrastructure Protection Board) по инициативе Президента США опубликована в сентябре 2002 года. Она описывает инициативы направленные на защиту критичных информационных систем США от умышленных и злонамеренных воздействий и способствующие усилению национальной жизнестойкости. Этот документ совместно со Стратегией Обеспечения Физической Безопасности Государства (The Homeland Security Physical Protection Strategy) закладывает фундамент для всех последующих мероприятий по защите сетевой и информационной инфраструктуры в общегосударственном масштабе.
Стратегия определяет основные принципы, подходы, мероприятия, угрозы, субъекты и объекты защиты и нападения, расставляет приоритеты, выражает позицию правительства США по отношению к проблеме кибер терроризма и является результатом совместных усилий представителей, правительственных и коммерческих организаций, академических кругов и сотрудников спецслужб. Данная Стратегия – не просто формальная декларация. Она определяет последовательность шагов, которые необходимо предпринимать для достижения оптимального уровня защищенности киберпространства.
Для создания Стратегии Президентским Советом была развернута всенародная дискуссия по ключевым вопросам кибер безопасности. К ней были подключены эксперты из различных организаций и отраслей народного хозяйства. Вопросы для обсуждения были размещены на правительственных и коммерческих сайтах.
Стратегия является результатом объединенных усилий представителей различных слоев американского общества: учителей, военных, компьютерных экспертов из коммерческого сектора, докторов, биржевых брокеров, полицейских, государственных служащих и т.п. Каждый гражданин американского общества сможет найти в этом документе рекомендации по защите от кибер атак.
Основные принципы оценки успешности проектов в области информационной безопасности
С начала реализации Национальной Стратегии Обеспечения Безопасности Киберпространства США прошло уже пять лет. Далеко не все реализуемые американским правительством на протяжении этого срока меры можно признать успешными. Благоразумие требует проведения оценки эффективности реализованных мер с тем, чтобы определить какие инициативы следует продолжать и развивать, а от каких следует отказаться. Такое исследование было проведено Институтом SANS, одной из авторитетных организаций в сфере ИБ, а результаты этого исследования были опубликованы в конце 2007 года для всеобщего обсуждения.
По мнению экспертов SANS, успех проектов по обеспечению безопасности государственной сетевой инфраструктуры, о которых пойдет речь далее, заслуживает гордости. Эти проекты действительно являются критичными для обеспечения государственной безопасности и должны получить более широкую поддержку и распространение.
Однако для уменьшения приливной волны кибер преступности, захлестнувшей США, Европу и, в определенной степени, весь остальной мир, требуется сделать еще намного больше. Изощренность кибер угроз, непрерывно возрастают. Для США наибольшую опасность представляют организованные преступные группировки из Восточной Европы и Азии, которые ежегодно затрачивают сотни миллионов долларов на приобретение эксплойтов и лучших в мире хакеров. Эти группировки лидируют в десятимиллиардном бизнесе финансовых преступлений. Террористы, используют деньги, украденные из американских банков путем кибер мошенничества, для закупки оружия и взрывчатых веществ для проведения акций по всему миру. Определенные государства решили, что само их выживание зависит от их способности взламывать и повреждать компьютеры правительства США. Они преуспели в проникновении в компьютеры Министерства обороны США, партнеров оборонных предприятий, лаборатории Департамента Энергетики, Департамента Торговли и др. Уязвимости были обнаружены даже в компьютерах Департамента Национальной Безопасности США.
Описанные далее успешные проекты должны послужить прототипами, демонстрирующими, что правительственные стратегии могут эффективно работать.
К успешным относились только те проекты, для которых можно было наглядно продемонстрировать реальное измеряемое улучшение способности США решать одну или более из трех основных задач, поставленных в «Национальной Стратегии Обеспечения Безопасности Киберпространства», а именно:
- Предотвращение кибер атак на критичные для Америки объекты инфраструктуры
- Уменьшение уязвимости государства в отношении кибер атак
- Минимизация размеров ущерба и времени восстановления после кибер атак
Свидетельства успешности каждого проекта должны быть прямыми, существенными и измеряемыми. Любые другие критерии успешности позволяли бы отнести к этой категории также большое количество инициатив, многие из которых обошлись весьма дорого, не принеся видимого результата. Например, проведенные в 2006 году Департаментом Национальной Безопасности США учения под названием Кибер Шторм I можно было бы считать успешными, если бы с ними были связаны сколько-нибудь существенные и измеряемые результаты в достижении основных целей Стратегии. Эти учения позволяют извлечь определенные уроки, однако свидетельства того, что эти уроки повлекли за собой реальные меры по повышению защищенности, отсутствуют.
Огромные бюджетные средства расходуются на сертификацию и аккредитацию правительственных информационных систем. Однако, проверка отчетов о сертификации, показывает, что в большинстве случаев испытания выполняются поверхностно. Многие компании проводившие сертификации признаются, что их отчеты и заключения, даже не читались заказчиком. Количество выданных лицензий и сертификатов стремительно увеличивается, а безопасность в результате снижается за счет возникновения ложного чувства защищенности. Миллиарды долларов американских налогоплательщиков были истрачены на бесполезную бумажную работу и проедены бюрократами.
На политической арене было достигнуто существенное продвижение, начиная с ратификации Конвенции Совета Европы по Киберпреступлениям и заканчивая назначением Помощника Секретаря Департамента Государственной Безопасности США, ответственного за кибер безопасность, в дополнение к соответствующим разделам Стратегии Национальной Безопасности (Homeland Security Strategy). Эти достижения позволяют очертить ландшафт кибер безопасности, однако для них почти невозможно продемонстрировать существенное продвижение в решении трех основных задача Стратегии.
В то же время, внедрение Министерством Обороны США Карт Общего Доступа (Common Access Card (CAC)), привело к существенному сокращению возможностей для несанкционированного доступа к правительственным компьютерам. Аналогично, реализация Программы тестирования государственных АСУТП (National SCADA Test Bed) и Программы Обеспечения Безопасности Систем Управления (Control Systems Security Program) уже привели к существенному и измеримому повышению безопасности систем, контролирующих большинство наиболее критичных государственных объектов инфраструктуры.
Реальные истории успешной борьбы с кибер преступностью и кибер шпионажем
Для каждого успешного проекта, экспертами SANS, приводится описание:
- решаемой проблемы
- участников проекта
- что и как было сделано
- как можно убедиться в том, что это сработало
- оценка стоимости проекта.
1. ЗАДАЧА: Уменьшение уязвимостей миллионов компьютеров федерального правительства при одновременном сокращении закупочных и эксплуатационных расходов.
Агентства федерального правительства США тратят десятки миллионов долларов на то, чтобы установить безопасную конфигурацию на своих компьютерах, а затем сотни миллионов на тестирование и внедрение программных коррекций по мере их выхода. Однако многомиллионные расходы не приводят к желаемому результату. На большинстве федеральных компьютеров установлена недостаточно защищенная конфигурации, а большинству федеральных агентств на установку программных коррекций требуются недели и месяцы. Это позволяет быстрым на подъем кибер преступникам использовать уязвимости до того, как будут установлены соответствующие коррекции. Анализ, проведенный Агентством Национальной Безопасности США (NSA), опубликованный в 2002 году, показал, что своевременная установка программных коррекций и использование защищенных конфигураций устраняется до 90% уязвимостей.
Участники проекта: Воздушные силы США (USAF), Агентство Национальной Безопасности США (NSA), Агентство Информационных Систем Министерства Обороны США (DISA), Национальный Институт Стандартов и Технологий США (NIST), Департамент Государственной Безопасности (DHS), Офис менеджмента и бюджета (OMB), а также Центр Безопасности Интернет (CIS), Microsoft и Dell.
Что было сделано: На 450 000 правительственных компьютерах была внедрена стандартная защищенная конфигурация операционных систем.
Самым значительным успехом федерального правительства в обеспечении кибер безопасности является создание Базовой Конфигурации Федеральных Рабочих Станций (Federal Desktop Core Configuration (FDCC)) и предшествовавший ей проект в Воздушных Силах США (USAF). Воздушные Силы США при поддержке NSA, NIST и DISA, разработали стандартную конфигурацию для двух популярных операционных систем семейства Windows, а затем использовали свое влияние на поставщиков для обеспечения поставок компьютеров только в защищенной конфигурации. В результате кардинальным образом были сокращены затраты на реализацию мер безопасности, поскольку стандартные защищенные конфигурации теперь устанавливаются самими вендорами. Дополнительно были сокращены расходы на тестирование программных коррекций и поддержку пользователей, т.к. отныне эти операции требуют значительно меньше ресурсов. Воздушные Силы доказали, что закупка систем в стандартных конфигурациях, позволяет повысить защищенность при одновременном сокращении эксплуатационных расходов. Также была опровергнута гипотеза о том, что внедрение защищенных конфигураций будет препятствовать работе приложений. Выяснилось, что реально было затронуто всего несколько унаследованных приложений, позволяющих запускать программы с повышенными пользовательскими полномочиями, что является весьма опасной практикой, увеличивающей риск компрометации удаленных систем.
Эффективность проекта: По словам генерал-лейтенанта Майкла Петерсона (ИТ директор в USAF): «[этот проект позволил] сократить время установки программных коррекций в нашей сети с 57 дней до 72 часов, одновременно наполовину уменьшив рабочую нагрузку на администраторов. В конечном счете, это уменьшило стоимость лицензирования ПО на $100 миллионов». Быстрая установка программных коррекций существенно затрудняет хакерам проникновение в критичные системы, в результате снижаются расходы и повышается кибер безопасность.
OMB с самого начала активно следила за экспериментом в USAF. Когда успешность проекта стала очевидной, OMB выпустила для всех федеральных агентств инструкции, предписывающие стандартизировать защищенные конфигурации, принятые в Воздушных Силах США, с уточнениями, внесенными NIST. OMB также предупредило потенциальные проблемы с несовместимостью приложений запретив закупку ПО, которое:
- не работает на стандартной защищенной конфигурации ОС, либо
- требует повышенных полномочий.
Результаты: Федеральные агентства получили улучшенные конфигурации безопасности, быструю установку программных коррекций и сокращение расходов на закупку систем и эксплуатационных расходов. Активная позиция федерального правительства подвигла Microsoft к созданию значительно более защищенных стандартных конфигураций Windows. В конечном счете, когда Microsoft сделает эти конфигурации общедоступными, это позволит клиентам по всему миру воспользоваться теми же преимуществами повышенной безопасности и сокращения расходов.
Этот проект также проиллюстрировал, каким образом может развиваться сотрудничество между государственными и частными организациями. Сначала NSA совместно с CIS (представляющим собой партнерство более 100 частных компаний с государственными организациями из США и других стран) разработали защищенные конфигурация для ОС Windows, а также других операционных систем и приложений. На основе этих конфигураций USAF, Microsoft, NIST, DISA и NSA создали Базовую Конфигурацию Федеральных Рабочих Станций (FDCC). После того как эта конфигурация была протестирована и одобрена, Microsoft, Dell и другие поставщики заключили с правительством контракты на поставку версий ОС Windows в защищенной конфигурации. эти вендоры были реально заинтересованы в поставке более защищенных систем и до создания FDCC, однако в условиях, когда каждое предприятие имело свое собственное определение «правильной» конфигурации, сделать это было слишком сложно и дорого. Этот проект позволил вендорам обеспечить поставку систем в более защищенных конфигурациях, не пренебрегая своими коммерческими интересами.
Извлеченный урок: Масштаб закупок является рычагом, обеспечивающим достижение цели. Объединенный бюджет Воздушных Сил, выделяемый на закупку ПО, весьма велик. Microsoft и Dell смогли легко предоставить общую конфигурацию, поскольку затраты на ее разработку и внедрение были распределены на сотни тысяч копий ПО. Объединенные бюджеты обеспечивают необходимый стимул для дальнейшего сокращения стоимости защищенных систем, которые вендоры поставляют правительству и бизнесу.
Во сколько это обошлось: Первоначальная разработка защищенных конфигураций обошлась примерно в $2.4 млн., а первоначальное тестирование новых конфигураций в USAF стоило примерно $500 тыс., однако внедрение этих конфигураций обеспечило реальное сокращение затрат. Экономия за счет консолидации закупок ПО в Воздушных Силах США составила примерно $100 млн. Дополнительная экономия десятков миллионов долларов в год обеспечивается за счет уменьшения ресурсов на системное администрирование и поддержку пользователей.
2. ЗАДАЧА: Обнаружение кибер атак на федеральные агентства и обнаружение принадлежащих им систем, которые были скомпроментированы в результате кибер атак. Это особенно важная задача в эпоху ботнетов, когда все большее количество систем федерального правительства заражаются посредством фишинга и затем используются для осуществления атак на другие организации или для кражи конфиденциальной информации.
Участники проекта: Отдел Национальной Кибер Безопасности Департамента Национальной безопасности США, NSA, OMB, CERT/CC в Университете Карнеги Мелон, а также несколько правительственных агентств.
Что было сделано: Программа «Эйнштейн»: позволяет производить непрерывный мониторинг и анализ сетевого трафика получаемого и отправляемого федеральными агентствами. В результате идентифицируются шаблоны, служащие признаками присутствия в федеральных сетях несанкционированного ПО или пользователей. Включение этой программы в состав программы Доверенного Интернет Подключения (Trusted Internet Connection (TIC)) позволяет воспользоваться ее преимуществами всем федеральным агентствам.
Четырнадцать агентств уже внедрили на своих сетевых шлюзах сенсоры «Эйнштейна», которые собирают информацию о сетевом трафике и отправляют ее программам анализа, функционирующим под эгидой DHS в CERT/CC в Университете Карнеги Мелон в Питсбурге. Возможности программы были наглядно продемонстрированы, когда в сетевом трафике Департамента Сельского Хозяйства, полученном сенсорами «Эйнштейна» в Департаменте Транспорта были обнаружены пакеты, свидетельствующие о том, что сельскохозяйственные системы были взломаны и заражены вредоносным ПО. Аналитики «Эйнштейна» сразу связались с Департаментом Сельского Хозяйства и помогли обнаружить и устранить инфекции. Это только один из многочисленных подобных примеров, демонстрирующий возможности программы «Эйнштейн».
В рамках новой программы Доверенного Интернет Подключения (TIC) федеральные агентства будут сокращать количество Интернет соединений и обеспечивать мониторинг всего трафика аналитическими системами «Эйнштейн».
Во сколько это обошлось: На «Эйнштейн» за последние три года было потрачено $33 млн. и дополнительные $14 млн. требуются ежегодно. TIC будет стоить сотни миллионов долларов.
3. ЗАДАЧА: Повышение защищенности систем управления производством на атомных электростанциях, коммунальных предприятиях и других элементах критичной инфраструктуры, как в государственном, так и в частном секторе.
АСУТП (SCADA) и другие системы управления, эксплуатируются зачастую в течении 20-30 лет без существенных изменений. Большинство промышленных систем были введены в эксплуатацию задолго до того, как появились первые сведения о кибер атаках. Сейчас коммунальные службы все чаще стали подвергаться атакам, а некоторые предприятия стали объектом вымогательств со стороны хакеров, которым удалось преодолеть защиту. Тысячам государственных и частных организаций необходимо срочно предпринять усилия для повышения защищенности своих критичных систем.
Участники проекта: Департамент Энергетики, Департамент Национальной Безопасности, Штат Нью-Йорк, Национальная Лаборатория Идахо (INL), Национальная Лаборатория Сандия (SNL), Северо-западная Тихоокеанская Национальная Лаборатория (PNNL), а также консорциум поставщиков систем управления.
Что было сделано: Национальный испытательный стенд АСУТП и Программа Обеспечения Безопасности Систем Управления, а также Спецификации Безопасности Закупаемых АСУТП.
В 2004 и в 2007 годах правительству США были представлены отчеты, в которых говорилось, об «увеличении рисков, связанных с кибер угрозами, уязвимостями систем и серьезностью потенциальных последствий кибер атак на системы управления электростанциями, системами распределения электроэнергии, нефте и газопроводами, системами водоснабжения, транспортными системами и дамбами». Использование технологий 60-70-хх годов, в сочетании с возрастающим использованием новейших операционных систем Windows и незащищенных прямых и беспроводных подключений систем управления к внешним сетям, привело к появлению серьезных уязвимостей в критичных для государства отраслях промышленности.
Самым важным успехом в использовании партнерства государства и бизнеса для повышения уровня кибер безопасности является реализация мероприятий по защите систем управления. Национальный испытательный стенд АСУТП собрал репрезентативную группу систем управления от большинства основных поставщиков для выполнения углубленного анализа уязвимостей этих систем. Было проведено сложное и всеобъемлющее тестирование, в результате которого были найдены важные уязвимости, являющиеся общими для всех тестируемых систем. Обнаруженные уязвимости демонстрируются производителям, те их устраняют, после чего проводится проверочное тестирование. Поставщики получают возможность поставлять новым клиентам исправленные системы и устранять уязвимости в существующих системах. Федеральное финансирование этой программы было существенным образом дополнено финансирование со стороны производителей и владельцев активов, желающих поддержать работу данного испытательного стенда, что обеспечило проведение дополнительного тестирования вне рамок выделенного правительством бюджета.
Обнаруженные в ходе тестирования уязвимости должны быть устранены во всех существующих системах. Департамент Государственной Безопасности (DHS) совместно с Департаментом Энергетики выделили лаборатории INL бюджет на разработку и распространение спецификаций, которые уже используются коммунальными службами в США и по всему миру для того, чтобы гарантировать, что производители систем управления поставляют их в защищенном исполнении. При помощи Центра Совместного Использования и Анализа Информации, курируемого правительством штата Нью-Йорк, и Центром Защиты Критичной Национальной Инфраструктуры Объединенного Королевства, эти спецификации были приняты в США и подготовлены для формального утверждения консорциумом, включающим в себя еще десять стран.
Результаты: Многие уязвимости систем управления были обнаружены и устранены. Используя новые спецификации безопасности приобретаемых систем, покупатели новых АСУ и АСУТП могут сформулировать поставщикам конкретные требования по безопасности и убедиться в том, что все известные уязвимости были устранены.
Во сколько это обошлось: Национальный испытательный стенд АСУТП и Программа Обеспечения Безопасности Систем Управления последние четыре года обходятся федеральному бюджету США примерно в $17 млн. ежегодно. Примерно $4 млн. составляет частное финансирование (например, предоставление оборудования для тестирования) со стороны производителей систем управления и коммунальных служб.
4. ЗАДАЧА: Увеличение международных барьеров и ужесточение наказаний за кибер преступления путем обнаружения и преследования большего количества кибер преступников и их заключение в тюрьму на более длительные сроки.
Кибер преступники проживают и работают во многих странах. Когда в одной из этих стран существует слабая законодательная база против хакинга или когда правоохранительные органы этой страны не имеют ни навыков ни особого желания преследовать хакеров, атакующих информационные системы иностранных государств, кибер преступники осознают, что могут действовать безнаказанно. Даже там, где кибер преступность находится вне закона, приговоры в отношении кибер преступников пока слушком мягкие, суды часто ограничиваются условными сроками.
Участники проекта: Секция Компьютерных Преступлений и Интеллектуальной Собственности Департамента Юстиции США, Программа Обеспечения Кибер Безопасности ФБР, а также программы обеспечения кибер безопасности Секретной Службы и Службы Почтовой Инспекции США.
Что было сделано: 1) Заключены двухсторонние и многосторонние соглашения между правоохранительными органами США и других стран об оперативном взаимодействии для преследования кибер преступников; 2) Повышение образовательного уровня прокуроров, следователей и судей при расследовании и ведении дел, связанных с кибер преступлениями, и оценки ущерба, наносимого организациями в результате таких преступлений; 3) Совершенствование технологий и средств используемых правоохранительными органами для поимки кибер преступников; 4) Создание Национального Альянса по Изучению и Расследованию Кибер Преступлений.
Секция Компьютерных Преступлений и Интеллектуальной Собственности Департамента Юстиции США предприняла попытку международной стандартизации законодательства в области кибер преступлений путем разработки и поддержки Конвенции Совета Европы по Кибер Преступности. Они использовали активную дипломатию для предоставления странам по всему миру технической помощи с целью синхронизации их законодательства в области кибер преступности и, при поддержке федеральных органов расследования, для создания более мощных правоохранительных институтов по борьбе с кибер преступностью. Кроме того, путем создания и сопровождения в Подгруппе G8 по Высокотехнологичным Преступлениям контактной сети, объединяющей 50 государств, они обеспечили средства для получения международных запросов и предоставления помощи в решении неотложных проблем, связанных с кибер преступлениями. Они также создали Сеть Компьютерного Хакинга и Интеллектуальной Собственности, включающую в себя 230 помощников прокурора США по всей стране. Эта сеть координирует исследования и обеспечивает обучение, предоставление знаний и помощи по расследованию преступлений в области интеллектуальной собственности и компьютерных преступлений прокуратурам США.
В то же время, ФБР создала кибер группы в десятках своих офисов и офисы юридических атташе в 60 странах по всему миру. Эти группы вместе с иностранными партнерами, при поддержке офисов юридических аташе, достигли впечатляющих успехов в преследовании кибер преступников. Одновременно с этим, ФБР также объединили следователей, специализирующихся на кибер преступлениях, с представителями университетов и ведущих корпораций США. Это партнерство, названное Национальный Альянс по Изучению и Расследованию Кибер Преступлений, содействовало обнаружению более 1900 фишинговых сайтов (где хранились данные пострадавших), предотвратив совокупный ущерб более чем на десятки миллионов долларов. Работа Альянса также способствовала недавним арестам нескольких десятков человек, вовлеченных в схемы международного мошенничества с кредитными картами.
Секретная Служба и Служба Почтовой Инспекции США также сыграли огромную роль во многих значимых и успешных расследованиях кибер преступлений, служа опорой для государственных программ, направленных на привлечение кибер преступников к ответственности.
Результаты: Правоохранительные органы провели намного больше успешных расследований кибер преступлений, судьи стали выносить значительно более суровые приговоры – шесть лет и более по некоторым последним уголовным делам. Все это оказывает хорошее сдерживающее воздействие, способствующее повышению защищенности кибер пространства.
Во сколько это обошлось: Поскольку практически каждое крупное преступление сегодня имеет компьютерную составляющую, и почти все кибер преступления имеют международную составляющую, невозможно определить стоимость этой важной инициативы. Содержание Национального Альянса по Изучению и Расследованию Кибер Преступлений обходится ежегодно в $1.5 млн. (без учета оплаты труда федеральных следователей).
5. ЗАДАЧА: Усложнение задачи удаленного проникновения в федеральные компьютеры, путем предоставления гарантий получения доступа только авторизованными пользователями. Для этого недостаточно использовать только имена и пароли пользователей.
Участники проекта: Министерство Обороны США, GSA, OMB и большинство гражданских федеральных агентств.
Что было сделано: Внедрение системы двухфакторной аутентификации для всего персонала, которому требуется доступ к правительственным компьютерным системам.
Министерство Обороны США распространило Карты Общего Доступа (CAC) среди всех пользователей своих сетей и компьютерных систем. Двух-факторная аутентификация, основанная на одновременном обладании картой и знании PIN кода или пароля доступа, — проверенный метод уменьшения числа вторжений и других способов нарушения безопасности, предоставляющий гарантии того, что похищенных имен и паролей пользователей недостаточно для получения доступа к сетям.
Успешное внедрение Министерством Обороны Карт Общего Доступа подвигло OMB к опубликованию Президентского Указа № 12 по Обеспечению Государственной Безопасности (HSPD-12), требующего от всех федеральных агентств внедрения двух-факторной аутентификации.
Результаты: В январе 2007 года генерал Воздушных Сил США Чарльз Крум сказал в своем выступлении в Колорадо, что «хотя ежедневно совершается шесть миллионов попыток проникновения в сети Министерства Обороны США число успешных проникновений сократилось за прошедший год на 46% за счет внедрения системы двухфакторной аутентификации для всех пользователей несекретных сетей».
Широкомасштабное внедрение Карт Общего Доступа Министерством Обороны США и последующее внедрение их в других федеральных агентствах в соответствии с указом HSPD-12, уже привело к уменьшению стоимости внедрения в расчете на одну карту в два раза (со $100 до $50).
Во сколько это обошлось: Разработка проекта внедрения Карт Общего Доступа (CAC) в Министерстве Обороны США стоила $6 млн. и десятки миллионов стоило последующее внедрение. Реализация Указа HSPD-12 уже обошлась в $100 млн.
6. ЗАДАЧА: Защита конфиденциальных данных на мобильных компьютерах от потери или кражи.
Десятки тысяч правительственных компьютеров были потеряны или украдены, и данные на многих из этих систем не были защищены. Это привело к серьезным неприятностям для федеральных агентств, а их руководители вынуждены были объясняться перед Конгрессом и с представителями прессы.
Участники проекта: Министерство Обороны США, GSA, OMB, Центр Совместного Использования и Анализа Информации
Что было сделано: Система осуществления электронных закупок SmartBuy предоставила федеральным агентствам дешевые средства приобретения ПО шифрования данных на ноутбуках и в настоящее время эта система расширяется за счет подключения правительственных организаций отдельных штатов и областей.
Шифрование данных на мобильных устройствах (ноутбуках, PDA, сотовых телефонах) себя оправдывает, однако программные и технические средства шифрования достаточно дороги. По этой причине большинство организаций не могли осуществить полномасштабное внедрение этих средств. С экономической точки зрения, проблема высокой стоимости ПО легко решаема. Поскольку изготовление дополнительных копий ПО ничего не стоит то, если производителю ПО предоставить гарантии закупки большого количества дополнительных копий, он охотно снизит цены ради получения большей прибыли за счет увеличения объема продаж. Федеральная программа SmartBuy дала возможность производителям ПО значительно снизить цены при обеспечении больших объемов закупок.
Результаты: В соответствии с прежними контрактами федеральные агентства могли закупать, например, SafeBoot (популярный продукт для шифрования дисков на ноутбуках) по $99 за одну копию, в случае приобретения менее 100 копий. В случае приобретения от 5,000 до 10,000 копий ПО, цена снижается до $81,99 за одну копию. Большинство агентств, которые приобретали еще большее количество копий ПО, имели возможность снизить цену до $55 за одну копию. Однако в сентябре 2007 года Министерство Сельского Хозяйства США приобрело 180,000 копий шифровального ПО за $1.8 млн., что составляет $10 за одну копию. Другими словами, консолидированная закупочная мощность федерального правительства гарантировала производителям достаточные объемы закупок, что позволило получить почти 90% скидки. Этот пример осуществления особенно важен, поскольку правительства штатов и местные власти также получили возможность приобретения ПО на новых условиях, что дало возможность небольшим правительственным организациям, ограниченным в финансовом плане, приобретать за ту же цену, которую они платили ранее, в 5-10 больше копий ПО шифрования данных.
Во сколько это обошлось: Создание системы SmartBuy стоило примерно $300,000, однако полученная за счет этой системы экономия огромна. Одно Министерство Сельского Хозяйства США сэкономило более $7 млн.
Самая многообещающая федеральная программа в области кибер безопасности
ЗАДАЧА: В свете лавинообразного появления новых уязвимостей, превышающего человеческие возможности по их поиску и устранению, необходимо обеспечить для федеральных агентств возможности по установке программных коррекций раньше, чем системы будут скомпрометированы.
Участники проекта: Агентство Национальной Безопасности (NSA), Национальный Институт Стандартов и Технологий (NIST), Microsoft и другие производители коммерческих систем и ПО для защиты данных.
Что было сделано: Программа Автоматизации Контента Безопасности (S-CAP) позволяет автоматизировать всю цепочку событий, начиная с вендоров, сообщающих об уязвимостях и способах их обнаружения, тестировщиков, осуществляющих поиск уязвимостей ПО, конфигурационного ПО, записывающего полную информацию о состоянии каждой системы и заканчивая средствами установки программных коррекций, устраняющих обнаруженные проблемы, и все это в реальном времени, без вмешательства человека.
Это один из наиболее многообещающих проектов в области кибер безопасности, поскольку в нем задействованы все игроки, начиная с разработчиков системного и прикладного ПО, поставщиков средств управления системами, поставщиков средств обеспечения безопасности. Этот проект позволит радикальным образом снизить эксплуатационные расходы на обеспечения безопасности. В результате реализации программы S-CAP процесс обнаружения и устранения уязвимостей будет автоматизирован и специалисты по информационной безопасности смогут сконцентрировать на решении других проблем.
Во сколько это обошлось: По настоящее время на программу S-CAP было истрачено около $12 млн., однако эта сумма существенно возрастет после того, как коммерческие организации произведут реинджениринг своих процессов и ПО, чтобы обеспечить поддержку новых протоколов. С другой стороны, когда программа S-CAP заработает, агентства и промышленные организации могут ожидать существенного сокращения расходов, за счет того, что будет устранена большая часть ручной работы по поиску и исправлению уязвимостей в ПО, которое они внедряют.
Почему этот многообещающий проект пока нельзя считать абсолютно успешным: Программа S-CAP пока еще не реализована в достаточном количестве коммерческих средств, чтобы обеспечить полную автоматизацию.
Ссылки
- The National Strategy To Secure Cyberspace, Critical Infrastructure Protection Board, USA, February, 2003
- What works in Implementing the US National Strategy To Secure Cyberspace Case Studies of Success in the War on Cybercrime and Cyber Espionage, A SANS Consensus Document, Version 1.0, December 10, 2007
Александр Астахов, CISA, 2007