Осторожно, данные: как заполнить пробел в кибербезопасности

Сколько кибератак происходит в США каждый год и сколько американцев страдает от их последствий? Пока что мы практически не можем ответить на такие вопросы. Но вскоре ситуация изменится.

Благодаря ряду новых нормативных актов, принятых в прошлом году, американские компании будут подчиняться расширенным требованиям по отчетности о киберинцидентах, которые обязывают их предоставлять федеральному правительству информацию о кибератаках, утечках данных и других случаях, ставящих под угрозу информационные системы. Таким образом правительство получит ценный источник данных, дающий беспрецедентное представление о состоянии кибербезопасности в США.

Агентства, получающие отчеты об инцидентах, должны расширить масштабы анализа данных и сотрудничества с частным сектором и международным сообществом, чтобы воспользоваться этими данными.

Фокус перевел новый текст Дженнифер Шор, посвященный вопросам кибервойны и кибербезопасности в США.

Пробел в данных по кибербезопасности

Правительство США предоставляет мало общедоступных крупномасштабных данных по кибербезопасности или результатов их анализа. Федеральное бюро расследований и Офис по управлению и бюджету выпускают ежегодные отчеты о некоторых кибер-инцидентах, а Министерство финансов опубликовало анализ кибер-инцидентов, направленных на банковские и финансовые учреждения.

Министерство здравоохранения и социального обеспечения, Комиссия по ценным бумагам и биржам, Министерство энергетики и правительства некоторых штатов также публикуют то или иное количество данных о киберинцидентах или нарушениях, о которых им сообщили. Эти данные полезны, но они представляют собой лишь часть того, что правительство начнет собирать в соответствии с новыми нормами. США могут сделать еще больше для доступности и анализа полученных данных.

Промышленность и научные круги также не смогли восполнить этот пробел. Академические исследователи обычно изучают киберинциденты, о которых сообщается в прессе, но большая часть киберконфликтов остается тайной, так как о них не сообщается публично. Компании, предоставляющие услуги по кибербезопасности, располагают большим количеством данных об инцидентах, а страховые компании собирают подробную информацию по искам, связанным с киберпреступлениями. Однако эти данные являются закрытой информацией, что ограничивает их использование и доступ к ним.

Скудность киберданных выглядит аномальной по сравнению с данными о рисках, опасностях и инцидентах в других отраслях и профессиях. В федеральном правительстве есть 13 статистических агентств и более сотни дополнительных статистических программ. Эти организации охватывают такие сферы, как труд, правосудие, транспорт, экономика, здравоохранение и другие.

Федеральное правительство также собирает данные об авиационных происшествиях, безопасности дорожного движения, травмах и смертях в больницах на рабочем месте. Эта информация предназначена для повышения безопасности населения и потребителей. Сбор киберданных преследует ту же цель, но при этом он в особенности важен, поскольку такие данные могут выявить угрозы национальной безопасности. Сбор, анализ и обнародование информации, связанной с безопасностью, является стандартной практикой правительства США во многих областях – за исключением кибербезопасности.

Киберданные важны по многим причинам. Более полный набор данных позволит правительству США определить приоритетные угрозы, распределить ресурсы на политические усилия и измерить успех этих усилий. Фирмы и организации лучше поймут масштаб и объем рисков, с которыми они сталкиваются, и смогут инвестировать в меры по повышению киберустойчивости. Страховые компании могут использовать киберданные для разработки более совершенных моделей просчета рисков при установлении тарифов. Наконец, данные могут показать, какие методы обеспечения кибербезопасности связаны с большей устойчивостью или более быстрым восстановлением после атак, что позволит организациям использовать передовой опыт.

Политики и эксперты в целом согласны с существованием серьезного пробела в сборе данных о кибербезопасности. Национальный директор по кибербезопасности Крис Инглис заявил, что без сбора данных "мы будем неравномерно и, возможно, не так оптимально реагировать на любые из этих угроз". Два исследователя киберконфликтов в 2018 году написали, что без хорошей отчетности о киберинцидентах Соединенные Штаты "зачем-то ходят по хорошо знакомой местности с повязкой на глазах". С 2018 года ситуация улучшилась, но еще есть возможности для дальнейшего прогресса.

Для решения этой проблемы в 2020 году уполномоченная Конгрессом Комиссия по освещению киберпространства (Cyberspace Solarium Commission) предложила создать Бюро киберстатистики. Были приняты некоторые законодательные акты, включая недавнюю поправку к закону о полномочиях в области национальной обороны. Однако до сих пор эти законодательные усилия не увенчались успехом.

Тем временем во все мире приняли множество законов и нормативных актов, касающихся отчетности о киберинцидентах. По крайней мере частично это было вызвано серией крупных киберинцидентов, направленных против инфраструктуры США в 2021 году, а также опасениями российской кибератаки против США после вторжения России в Украину. Хотя такие требования к отчетности об инцидентах не заменят собой долгосрочные усилия по созданию ведомстваа киберстатистики, они станут хорошим началом для реализации миссии, которую в конечном итоге возьмет на себя этот офис.

Текущая ситуация с киберданными

Главным источником данных об инцидентах, которые федеральное правительство может использовать для восполнения пробелов о киберданных, является информация, которую компании будут предоставлять в соответствии с Законом об отчетности о киберинцидентах в критической инфраструктуре, принятым в марте. Детали того, какие компании и инциденты охватывает закон, все еще прорабатываются, но этот закон наверняка станет самым всеобъемлющим источником отчетности о кибер-инцидентах в стране.

Однако до вступления закона в силу может пройти два года или больше. До тех пор федеральное правительство должно использовать отчеты об инцидентах, представленные в соответствии с другими федеральными требованиями и требованиями штатов. На федеральном уровне существует более 20 нормативных актов и законов, требующих представления отчетов о происшествиях. За последний год эти требования возросли. Помимо Закона об отчетности о киберинцидентах в критической инфраструктуре, Федеральная комиссия по связи, Комиссия по ценным бумагам и биржам и Национальная ассоциация кредитных союзов также изучают возможность повышения требований к отчетности об инцидентах, а Агентство транспортной безопасности и банковские регуляторы уже успешно расширили требования. Кроме того, в четырех штатах недавно были введены свои собственные требования по отчетности о кибер-инцидентах, а в двух штатах приняты законы, требующие от государственных и местных органов власти сообщать об инцидентах, связанных с вымогательством выкупа.

Федеральные агентства должны обобщать данные правительственных отчетов об инцидентах с отраслевыми данными, чтобы составить более целостную и подробную картину киберугроз. Несколько компаний, таких как Verizon и Advisen, ведут базы данных о десятках тысяч кибер-инцидентов. Кроме того, правительство должно запрашивать анонимизированные данные у страховых компаний и компаний, занимающихся кибербезопасностью.

Наконец, аналитические центры и исследователи также собирают данные о кибер-инцидентах, о которых сообщалось в открытых источниках. Совет по международным отношениям, Центр стратегических и международных исследований и Университет Мэриленда ведут такие базы данных за 2005, 2006 и 2014 годы соответственно. Институт кибер-мира также создал более узконаправленные базы данных киберинцидентов, касающихся вторжения в Украину и сектора здравоохранения.

Данные о киберинцидентах в США будут еще более ценными, если их объединить с аналогичными данными других стран. Некоторые страны, такие как Новая Зеландия, Австралия, Япония, Эстония и Сингапур, уже собирают и публикуют данные о киберинцидентах. Великобритания, Израиль и Канада также проводят опросы предприятий по вопросам кибербезопасности и публикуют результаты. Канада и Европейский Союз рассматривают возможность введения более широких требований к отчетности о киберинцидентах, а Индия недавно приняла такой закон. Правительству США стоит заключить соглашения об обмене данными и координировать свои действия с партнерами и союзниками для обмена согласованными данными между странами.

Наконец, правительство США может также провести национальный опрос специалистов по кибербезопасности в организациях частного сектора. По примеру опросов, которые проводятся в Канаде, Израиле и Великобритании, можно спросить специалистов о киберугрозах, с которыми они сталкиваются или ожидают, а также о практиках кибербезопасности, которые они применяют.

Стандарты данных

Чтобы получить надежные, согласованные данные, правительство США должно установить добровольные стандарты для промышленности и международных партнеров и союзников в отношении измерения и сбора информации о киберугрозах и кибербезопасности. Например, страны могут договориться об общем наборе полей данных в формах отчетности о киберинцидентах и общем определении "киберинцидента". Уже существуют прецеденты международных стандартов измерения: например, международные организации разработали Систему национальных счетов, в которой изложены стандарты сбора и измерения данных для расчета ВВП стран. В киберпространстве должен быть аналогичный набор стандартов.

Правительство США также должно поддерживать и предоставлять техническую экспертизу другим странам и американским государственным и местным органам власти, чтобы помочь им собирать и использовать данные о киберинцидентах. Федеральное правительство должно предложить обучение и экспертизу в области науки о данных, чтобы помочь анализировать тенденции и проводить исследования киберданных. Кроме того, правительству стоит оказывать консультативную поддержку странам, разрабатывающим законы и правила отчетности о киберинцидентах.

Как анализировать киберданные

Федеральные агентства могут использовать всю совокупность киберданных для ответа на важные вопросы политики и исследований в области кибербезопасности. Основным способом использования таких киберданных является составление целостной картины киберугроз. Другими словами, сколько кибератак происходит и каково их влияние на инфраструктуру, людей и экономику США?

Эти вопросы могут показаться элементарными, но мы слабо представляем себе ответы на них. Возьмем для примера ransomware (вредоносные программы-вымогатели, требующие выкуп). За последний год различные организации частного сектора одновременно обнаружили, что число инцидентов, связанных с программами-вымогателями, либо увеличивается, либо остается на прежнем уровне, либо уменьшается. Различные отчеты из частного сектора также содержат противоречивые выводы относительно сфер, наиболее подверженных кибератакам.

Правительство США могло бы выступить в роли арбитра, собирая и синтезируя все доступные источники данных для предоставления авторитетных оценок киберугроз. Американские киберданные, объединенные с данными других стран, могут дать международное представление о киберугрозах и возможностях, что позволит исследователям лучше сравнивать и ранжировать возможности стран. Ни правительство, ни промышленность никогда не могут быть уверены в общем количестве киберинцидентов, но правительство может сыграть важную роль в значительном улучшении видимости.

В качестве примера можно привести два недавних отчета о количестве атак с применением программ-вымогателей. Агентство по кибербезопасности ЕС недавно выпустило публикацию, в которой объединило инциденты с вымогательским ПО, о которых сообщают правительства, с инцидентами, о которых сообщает пресса и частный сектор, для анализа общих тенденций развития программ-вымогателей. Институт безопасности и технологий опубликовал аналогичный отчет, обобщив данные пяти частных компаний. Правительство США может основывать свой собственный анализ на этих моделях, объединяя данные о происшествиях с различными другими источниками для общего понимания угроз.

Исследователи также могут использовать данные о киберинцидентах для оценки стоимости кибератак для экономики США – и денег, сэкономленных за счет инвестиций в кибербезопасность. Различные организации, включая Центр стратегических и международных исследований, корпорацию International Business Machines и Совет экономических консультантов при Белом доме, пытались количественно оценить потери от киберинцидентов. Эти оценки сильно разнятся, отчасти потому, что они опираются на различные методологии, а отчасти из-за отсутствия всеобъемлющих данных. Кроме того, исследователи пытались определить экономическую отдачу от инвестиций компаний в кибербезопасность. Лучше понимая экономическую эффективность кибербезопасности, компании смогут правильно инвестировать в меры по обеспечению киберустойчивости.

Данные о киберинцидентах также помогут исследовать воздействие кибератак на конкретные типы организаций и секторов, чтобы помочь направить ресурсы на противодействие самым актуальным рискам. Например, данные о киберинцидентах могут помочь выявить типы организаций и инфраструктуры, наиболее подверженные риску утечек данных. Исследователи уже использовали базу данных Министерства здравоохранения и социального обеспечения, чтобы определить, как размер больницы и статус преподавания влияют на вероятность утечки данных, а также как тип данных, интересующий правонарушителей, менялся со временем.

Вероятно, существует множество других способов использования данных о киберинцидентах в академических исследованиях – особенно в сочетании с данными частного сектора и данными из открытых источников. Трудно предугадать и спланировать все эти способы использования заранее, поэтому правительство должно сделать данные как можно более доступными в соответствии с ограничениями конфиденциальности и неприкосновенности частной жизни. Поскольку не все данные будут доступны общественности, правительству также стоит нанимать исследователей в различных областях для проведения независимого анализа.

Заключение

На федеральное правительство вскоре обрушится лавина новых данных о киберинцидентах. Чтобы воспользоваться этим ресурсом, ведомства должны инвестировать в анализ, обмен данными и их публикацию, а также сопоставлять их со всеми другими доступными данными о кибербезопасности. Если инициатива удастся, правительство создаст наиболее полную картину кибербезопасности и киберугроз, когла-либо доступную Соединенным Штатам. Более четкое представление об этой картине, в свою очередь, является ключевым шагом в совершенствовании киберполитики и сокращении кибератак на инфраструктуру США.

Об авторе

Дженнифер Шор – аспирантка Школы общественных и международных отношений Принстонского университета. Ранее она была научным сотрудником Национального экономического совета Белого дома при администрации Обамы.