Выступление Главного сотрудника по безопасности Huawei USA Дональда Энди Перди «Уроки, которые мы должны извлечь из управления, подотчетности, прозрачности и важности конкуренции» на Региональном форуме по кибербезопасности, посвященном развитию систем защиты информации, технологиям и инновациям, проходившем в Молдове 19-20 ноября в рамках Moldova Cyber Week-2019.

Что такое кибербезопасность и почему ее важность растет по мере развития технологий?

Мы достигли конца двадцатипятилетнего периода стратегической стабильности и относительного мира между крупными державами. Конфликт между государствами приобрел новые формы, и киберактивность играет ведущую роль в этой новой нестабильной среде. За последнее десятилетие число и уровень изощренности кибератак со стороны государственных и негосударственных субъектов возросли, что угрожает стабильности киберпространства. Проще говоря, люди и организации больше не могут быть уверены в своей способности безопасно и надежно использовать киберпространство, в доступности и целостности услуг и информации.

При этом информационные и коммуникационные технологии (ИКТ) приносят конкретную пользу организациям и гражданам, а также обещают гораздо большие выгоды для нашего образа жизни и нашего экономического роста в предстоящие десятилетия.

Неизбежно то, что мы станем более зависимыми от этих технологий и ощутим негативное воздействие, если они вдруг перестанут быть доступны. Кибербезопасность - это устранение риска для сетей и цифровых систем от злонамеренных атак или вторжений. Речь идет об использовании управления рисками для защиты триады кибербезопасности, C.I.A .: конфиденциальность, целостность (точность) и доступность данных.

Для каждой нации - правительств, владельцев сетей и операторов, организаций и частных лиц - важно, чтобы поддерживались высокий уровень транспарентности и устойчивости сетей и систем. Должна существовать объективная и прозрачная основа для того, чтобы знать, делают ли сетевые и мобильные операторы, а также поставщики оборудования, компонентов и услуг, от которых они зависят, то, что они должны делать.

Необходимо внедрять единые стандарты и распространять лучшие практики, а также сопровождающие программы соответствия для обеспечения прозрачности в оценке и управлении рисками для ИКТ. Правительствам и частным организациям следует стимулировать поставщиков ИКТ к соблюдению строгих требований к закупкам и предоставлению услуг с учетом рисков и привлекать их к ответственности за невыполнение этих требований.

Для выработки рекомендаций по продвижению киберстабильности была создана Глобальная комиссия по стабильности киберпространства (GCSC). (Инициирована двумя независимыми аналитическими центрами, Гаагским центром стратегических исследований (HCSS) и Институтом EastWest (EWI), поддерживается правительствами Франции, Швейцарии, Японии и ряда других государств, Делегацией ЕС в ООН (Женева), Microsoft Corporation и др., - прим. ред.).

В начале деятельности Комиссии мы начали с определения структуры киберстабильности, состоящей из семи элементов. Эта структура включает в себя: (1) участие многих заинтересованных сторон; (2) принципы киберстабильности; (3) разработку и внедрение добровольных норм; (4) соблюдение международного права; (5) меры по укреплению доверия; (6) наращивание потенциала; и (7) открытое распространение и широкое использование технических стандартов, обеспечивающих устойчивость киберпространства. После определения этой структуры Комиссия подробно изучила три ее элемента: взаимодействие с различными заинтересованными сторонами, принципы и нормы.

Некоторые по-прежнему считают, что обеспечение международной безопасности и стабильности является почти исключительно обязанностью государств. На практике, однако, поле кибернетических битв (то есть киберпространство) разрабатывается и эксплуатируется в основном негосударственными субъектами, и мы считаем, что их активное участие также необходимо для обеспечения стабильности киберпространства. Более того, их участие неизбежно, поскольку негосударственные субъекты часто первыми попадают под удар.

Комиссия пришла к выводу, что эти негосударственные субъекты имеют не только решающее значение для обеспечения стабильности киберпространства, но и должны руководствоваться определенными принципами и связанными с ними нормами. Четыре принципа отражают эту точку зрения, призывая все стороны быть ответственными, проявлять сдержанность, принимать меры и уважать права человека:

Ответственность: каждый несет ответственность за обеспечение стабильности киберпространства.

Ограничение: ни один государственный или негосударственный субъект не должен предпринимать действия, которые нарушают стабильность киберпространства.

Требование к действию: государственные или негосударственные субъекты должны принимать разумные и надлежащие меры для обеспечения стабильности киберпространства.

Уважение прав человека: усилия по обеспечению стабильности киберпространства должны соблюдать права человека и верховенство закона.

Опираясь на эти принципы и стремясь дополнить, а не дублировать работу других, Комиссия разработала восемь норм, призванных улучшить стабильность киберпространства и устранить технические проблемы или пробелы в ранее объявленных нормах.

Государственные и негосударственные субъекты не должны:

• ни вести, ни сознательно разрешать деятельность, которая преднамеренно и существенно наносит ущерб общедоступности или целостности ядра Интернета и, следовательно, стабильности киберпространства.
• проводить, поддерживать или разрешать кибероперации, направленные на нарушение технической инфраструктуры, необходимой для проведения выборов, референдумов или плебисцитов.
• вмешиваться в продукты и услуги при разработке и производстве, а также допускать их изменения, если это может существенно ухудшить стабильность киберпространства.
• распоряжаться ресурсами ИКТ широкой общественности для использования в качестве бот-сетей или для аналогичных целей.

Государствам следует:

• создавать процедурно-прозрачные рамки для оценки того, следует ли и когда раскрывать уязвимости или недостатки в информационных системах и технологиях, которые становятся им известны. Предположение по умолчанию должно быть в пользу раскрытия.
• принять соответствующие меры, включая законы и нормативные акты, для обеспечения базовой компьютерной гигиены.

Разработчики и производители продуктов и услуг, от которых зависит стабильность киберпространства, должны (1) отдавать приоритет безопасности и стабильности, (2) предпринимать разумные шаги для обеспечения того, чтобы их продукты или услуги не подвергались значительной уязвимости, и (3) своевременно принимать меры в отношении уязвимостей, которые обнаруживаются впоследствии. Эти шаги и меры должны быть прозрачными и общеизвестными. Все участники обязаны обмениваться информацией об уязвимостях, чтобы помочь предотвратить или смягчить злонамеренную киберактивность.

Негосударственные субъекты не должны участвовать в наступательных кибер-операциях, а государственные должны предотвращать такие действия и реагировать на них в случае их возникновения.

Комиссия рекомендует государственным и негосударственным субъектам, в том числе международным институтам:

• принимать и внедрять нормы, повышающие стабильность киберпространства путем содействия сдержанности и поощрения действий.
• в соответствии со своими обязанностями и ограничениями должным образом реагировать на нарушения норм, обеспечивая, чтобы те, кто их нарушает, сталкивались бы с предсказуемыми и значимыми последствиями.
• наращивать усилия по обучению персонала и содействию общему пониманию важности стабильности киберпространства с учетом разнородных потребностей различных сторон.
• собирать, обмениваться, анализировать и публиковать информацию о нарушениях норм и последствиях такой деятельности.
• создавать и поддерживать сообщества по интересам, стремящиеся помочь обеспечению стабильности киберпространства.

Для решения проблем стабильности должен быть создан постоянный механизм взаимодействия с участием многих заинтересованных сторон, в рамках которого государства, частный сектор (включая техническое сообщество) и гражданское общество могли бы должным образом участвовать и проводить консультации.

Опубликовав эти выводы, Комиссия выполнила возложенные на нее задачи. Однако для членов и сторонников GCSC, а также всех тех, кто поддерживает ее цели, кропотливая работа, необходимая для реализации этих принципов, норм и рекомендаций, только начинается. А начать ее нужно обязательно, так как преимущества киберпространства будут потеряны, если не будет обеспечена его стабильность.

Дональд (Энди) Перди, JD, CISSP, CIPP/US. Помогал разработать Национальную стратегию США по защите киберпространства (2003), после чего работал в Департаменте внутренней безопасности (DHS), где помог сформировать, а затем руководил Национальным отделом кибербезопасности (NCSD) и Группой по готовности к компьютерным чрезвычайным ситуациям в США (US-CERT) с 2004 по 2006 год. Также являлся сопредседателем Национальной координационной группы по кибер-ответам (NCRCG), основной межведомственной группы США по подготовке и реагированию на кибер-инциденты национального значения, и был представителем DHS в Комитете по системе национальной безопасности (CNSS), который устанавливает политику для классифицированных информационных сетей страны.

Затем был главным стратегом кибербезопасности для корпорации компьютерных наук США (CSC). В этой роли он внес стратегический вклад в разработку и реализацию скоординированной общекорпоративной инициативы, направленной на удовлетворение потребностей глобальной клиентской базы CSC в области кибербезопасности, и работал на национальных и международных площадках, определяющих общественную политику и осведомленность о кибербезопасности.

С 2012 года руководит службой кибербезопасности Huawei в США.

logos.press.md