26 сентября 2014

Предприятия должны стремиться к киберустойчивости

Бизнес

Что значит быть киберустойчивыми для предприятий и государственных организаций? Киберустойчивость, объяснил адмирал Майк Роджерс, — «это способность получать повреждения, но, в конечном счете, добиваться успеха. Устойчивость как раз заключается в принятии определенного ущерба как должного». Адмирал Роджерс — новый директор Агентства национальной безопасности и глава Кибернетического командования США

PPC ph-so-11-MassingoftheColors.jpg

Идея киберустойчивости стала ключевой темой на пятом ежегодном Биллингтонском саммите по кибербезопасности, на котором адмирал Роджерс на прошлой неделе выступил с программной речью в Вашингтоне, округ Колумбия. Мероприятие было, прежде всего, организовано для правительства США и американского бизнеса, но его главный посыл должны услышать все предприятия и все правительства: безопасность не следует рассматривать как исключительно и только процесс сетевой защиты. Как говорится, есть два типа компаний: те, которыми владеют, и они это знают, что и те, которыми владеют, но они этого еще не понимают.

Несомненно, проблем безопасности, с которыми мы сталкиваемся, много. Защита критической инфраструктуры беспорядочна, наши правительственные и корпоративные сети уже скомпрометированы или скоро будут, и мы все — правительства, компании и люди — вместе бредем по этой трясине.

MichaelDanielОбеспечивать безопасность – дело трудное, отметил на саммите специальный помощник президента Обамы и координатор Белого дома по кибербезопасности Майкл Дэниел, но уже отчетливо видно, что мнения важных персон относительно подходов к кибербезопасности обретают консолидированный вид. И это очень хорошая новость, потому что несовершенный, но единый план лучше никакого.

Похоже, в значительной степени усилия по реформированию кибербезопасности – заслуга Роджерса, Дэниела и подобных им сподвижников в США и за рубежом, которая основывается на идее устойчивости и методов того, как добиться киберустойчивости в ходе совместной работы, делясь информацией и поддерживая партнерские отношения. Организации, как государственные, так и частные, так, должны себе обеспечить способность одновременно сохранять рабочий процесс и устранять угрозы даже во время самой атаки. Это означает отход от слишком общепринятой практики закрытия сети во время нападения. Военные, как объяснил Роджерс, не прекращают действия, когда их атакуют. Просто нужна многозадачность.

Но как достичь киберустойчивости? Если правы докладчики с Биллингтонского мероприятия, обмен информацией и краудсорсинг — когда мы все вместе делим ответственность за обеспечение безопасности в интернете — необходимые условия. Для обретения устойчивости организации должны иметь план. Одна организация сегодня отражает атаки, с которыми завтра придется иметь дело другой. Если первая организация только расскажет второй о том, как справиться с этой атакой, последняя будет лучше готова к разработке эффективного плана обороны.

Дэниелу поручено президентом содействовать обмену информацией. Он представил интересный парадокс собравшимся на саммите: почему обеспечить безопасность сетей и интернета так тяжело, когда угрозы, стоящие перед нами, настолько известны и, казалось бы, просты?

В самом деле, мы все думаем об этом каждый день. Основные угрозы в онлайне – это известные уязвимости, которые либо уже залатали, либо, по не вполне ясным причинам, просто не исправляют. Кто-либо, или вендор, предпочитающий не выпускать патч, или пользователь, обходящийся без обновлений, совершенно точно принимает неверное решение в вопросе обеспечения безопасности. В дополнение к этому пароли по-прежнему представляют собой чудовищно слабое место. Но уже 2014 год. У нас уже есть роботизированные автомобили и компьютеры в карманах, а мы всё ещё пользуемся паролями.

640

Дэниел подчеркнул, что, если бы это всё были легко разрешимые трудности, с чем, как я полагаю, все согласны на первый взгляд, тогда их бы уже устранили. Реальность же такова, что эти проблемы сложны. Инициатива президента «Национальная стратегия доверенных персон в киберпространстве» (NSTIC) предполагает ряд решительных шагов по избавлению от паролей. В дополнение к обеспечению безопасности в интернете NSTIC потенциально может придать импульс новому бизнесу, так как люди начнут переводить в интернет данные и услуги, которые в нынешних условиях они не решаются доверить онлайну.

Что касается проблемы известных уязвимостей, которые не получают патчей, или для них не устанавливают обновления, то Дэниел относит эти вопросы к области экономики и психологии. Он утверждает, что мы неверно понимаем структуру стимулов кибербезопасности, из-за чего нам следует перестать говорить о всяких киберштуках словами, которые понятны лишь инженерам. Мы должны говорить о безопасности в терминах, которые дойдут до руководителей, членов советов директоров и обычных людей.

Последний пункт является ключевым. Это очень большая часть того, чем мы занимаемся здесь, в «Лаборатории Касперского», потому что, когда обычные люди лучше готовы защитить себя, то и все в результате оказывается в большей безопасности.

Адам Файрстоун, генеральный менеджер и президент департамента решений правительственной безопасности «Лаборатории Касперского», также говорил об этом в своем выступлении на саммите.

«Часть проблемы, с которой все мы сталкиваемся, все присутствующие здесь, все на этой конференции, заключается в том, что мы живем в мире, в котором мы унаследовали небезопасный интернет, — сказал Файерстоун на одном из семинаров. — Мы живем в мире, где мы унаследовали небезопасные операционные системы. И мы спрашиваем, как это исправить?»

В подкасте беседы с Файрстоуном, который мы опубликуем в среду, он отметил, что мы сейчас оказались в уникальном положении. Почти общепризнано, что безопасность критически важных систем инфраструктуры находится в плачевном состоянии. Луч надежды заключается в том, что многие из этих систем, которые были построены 20 или даже 30 лет назад, сейчас как раз дошли до момента, когда их требуется заменить. А это означает, что мы можем правильно выстроить безопасность. Нельзя прибавить безопасности постфактум. Безопасность надо строить с нуля, и нам выпала возможность сделать именно так в процессе замены всех этих устаревших систем.

Файрстоун говорит, что надо принять тот факт, что мы находимся в состоянии архитектурного перехода. Мы отдавали приоритет юзабилити над безопасностью, когда строили изначальную инфраструктуру. Настало время, когда у нас есть технология, для того чтобы перестроить критически важную инфраструктуру с прицелом на безопасность.

«Пришло время посмотреть на это как постройку структуры с нуля. Пластыри не работают», — предупредил он.

Автор текста — Брайан Донохью.