Обережно, дані: як заповнити прогалину в кібербезпеці

Скільки кібератак відбувається в США щороку і скільки американців страждає від їхніх наслідків? Наразі ми практично не можемо відповісти на такі запитання. Але незабаром ситуація зміниться.

Завдяки низці нових нормативних актів, прийнятих минулого року, американські компанії підпорядковуватимуться розширеним вимогам щодо звітності про кіберинцидентів, які зобов'язують їх надавати федеральному уряду інформацію про кібератаки, витоки даних та інші випадки, що загрожують інформаційним системам. Так, уряд отримає цінне джерело даних, що дає безпрецедентне уявлення про стан кібербезпеки в США.

Агентства, які отримують звіти про інциденти, повинні розширити масштаби аналізу даних та співробітництва з приватним сектором та міжнародною спільнотою, щоб скористатися цими даними.

Фокус переклав новий текст Дженніфер Шор, присвячений питанням кібервійни та кібербезпеки у США.

Пробіл даних у кібербезпеці

Уряд США надає мало загальнодоступних великомасштабних даних щодо кібербезпеки або результатів їх аналізу. Федеральне бюро розслідувань та Офіс з управління та бюджету випускають щорічні звіти про деякі кіберінциденти, а Міністерство фінансів опублікувало аналіз кіберінцидентів, спрямованих на банківські та фінансові установи.

Міністерство охорони здоров'я та соціального забезпечення, Комісія з цінних паперів та бірж, Міністерство енергетики та уряду деяких штатів також публікують ту чи іншу кількість даних про кіберінциденти або порушення, про які їм повідомили. Ці дані корисні, але вони є лише частиною того, що уряд почне збирати відповідно до нових норм. США можуть зробити ще більше для доступності та аналізу отриманих даних.

Промисловість та наукові кола також не змогли заповнити цю прогалину. Академічні дослідники зазвичай вивчають кіберінциденти, про які повідомляється в пресі, але більшість кіберконфліктів залишається таємницею, оскільки про них не повідомляється публічно. Компанії, що надають послуги з кібербезпеки, мають у своєму розпорядженні велику кількість даних про інциденти, а страхові компанії збирають докладну інформацію за позовами, пов'язаними з кіберзлочинами. Однак ці дані є закритою інформацією, що обмежує їх використання та доступ до них.

Убогість кіберданих виглядає аномальною. якщо порівняти з даними про ризики, небезпеки та інциденти в інших галузях та професіях. У федеральному уряді є 13 статистичних агентств та понад сотню додаткових статистичних програм. Ці організації охоплюють такі сфери, як праця, правосуддя, транспорт, економіка, охорона здоров'я та інші.

Федеральний уряд також збирає дані про авіаційні події, безпеку дорожнього руху, травми і смерті в лікарнях на робочому місці. Ця інформація призначена для підвищення безпеки населення та споживачів. Збір кіберданих має ту ж мету, але водночас він особливо важливий, оскільки такі дані можуть виявити загрози національній безпеці. Збір, аналіз та оприлюднення інформації, пов'язаної з безпекою, є стандартною практикою уряду США у багатьох сферах — за винятком кібербезпеки.

Кібердані важливі з багатьох причин. Повніший набір даних дозволить уряду США визначити пріоритетні загрози, розподілити ресурси на політичні зусилля та виміряти успіх цих зусиль. Фірми та організації краще зрозуміють масштаб та обсяг ризиків, з якими вони стикаються, та зможуть інвестувати у заходи щодо підвищення кіберстійкості. Страхові компанії можуть використовувати кібердані для розробки досконаліших моделей прорахунку ризиків під час встановлення тарифів. Нарешті, дані можуть показати, які методи забезпечення кібербезпеки пов'язані з більшою стійкістю або швидшим відновленням після атак, що дозволить організаціям використовувати передовий досвід.

Політики та експерти загалом згодні з існуванням серйозної прогалини у зборі даних про кібербезпеку. Національний директор з кібербезпеки Кріс Інгліс заявив, що без збору даних "ми нерівномірно і, можливо, не так оптимально реагуватимемо на будь-які з цих загроз". Два дослідники кіберконфліктів у 2018 році написали, що без гарної звітності про кіберінциденти Сполучені Штати "навіщось ходять добре знайомою місцевістю з пов'язкою на очах". З 2018 року ситуація покращала, але ще є можливості для подальшого прогресу.

Для розв'язання цієї проблеми у 2020 році уповноважена Конгресом Комісія з висвітлення кіберпростору (Cyberspace Solarium Commission) запропонувала створити Бюро кіберстатистики. Прийняли деякі законодавчі акти, включаючи нещодавню поправку до закону про повноваження в галузі національної оборони. Однак досі ці законодавчі зусилля не мали успіху.

Тим часом у всьому світі ухвалили безліч законів та нормативних актів, які стосуються звітності про кіберінциденти. Принаймні частково це спричинено серією великих кіберинцидентів, спрямованих проти інфраструктури США у 2021 році, а також побоюваннями російської кібератаки проти США після вторгнення Росії в Україну. Хоча такі вимоги до звітності про інциденти не замінять довгострокові зусилля зі створення відомства кіберстатистики, вони стануть хорошим початком для реалізації місії, яку зрештою візьме на себе цей офіс.

Теперішня ситуація з кіберданими

Головним джерелом даних про інциденти, які федеральний уряд може використати для заповнення прогалин про кібердані, є інформація, яку компанії надаватимуть відповідно до Закону про звітність про кіберинцидентів у критичній інфраструктурі, прийнятому в березні. Деталі того, які компанії та інциденти охоплює закон, все ще опрацьовуються, але цей закон, напевно, стане найвсеосяжнішим джерелом звітності про кіберінциденти в країні.

Однак до набрання чинності закону може пройти два роки або більше. Доти федеральний уряд повинен використовувати звіти про інциденти, подані відповідно до інших федеральних вимог та вимог штатів. На федеральному рівні існує понад 20 нормативних актів та законів, що вимагають подання звітів про події. За останній рік ці вимоги зросли. Крім Закону про звітність про кіберинцидентів у критичній інфраструктурі, Федеральна комісія зі зв'язку, Комісія з цінних паперів та бірж та Національна асоціація кредитних спілок також вивчають можливість підвищення вимог до звітності про інциденти, а Агентство транспортної безпеки та банківські регулятори вже успішно розширили вимоги. Крім того, у чотирьох штатах нещодавно ввели свої власні вимоги щодо звітності про кіберінциденти, а в двох штатах прийняли закони, які вимагають від державних та місцевих органів влади повідомляти про інциденти, пов'язані з вимаганням викупу.

Федеральні агентства повинні узагальнювати дані урядових звітів про інциденти з галузевими даними, щоб скласти цілісну та детальнішу картину кіберзагроз. Декілька компаній, таких як Verizon та Advisen, ведуть бази даних про десятки тисяч кіберінцидентів. Крім того, уряд повинен вимагати анонімізовані дані у страхових компаній та компаній, які займаються кібербезпекою.

Нарешті, аналітичні центри та дослідники також збирають дані про кіберінциденти, про які повідомлялося у відкритих джерелах. Рада з міжнародних відносин, Центр стратегічних та міжнародних досліджень та Університет Меріленду ведуть такі бази даних за 2005, 2006 та 2014 роки відповідно. Інститут кіберсвіту також створив вузькоспрямованіші бази даних кіберінцидентів щодо вторгнення в Україну та сектору охорони здоров'я.

Дані про кіберинцидентів у США будуть ще ціннішими, якщо їх поєднати з аналогічними даними інших країн. Деякі країни, такі як Нова Зеландія, Австралія, Японія, Естонія та Сінгапур, вже збирають та публікують дані про кіберінциденти. Великобританія, Ізраїль та Канада також проводять опитування підприємств з питань кібербезпеки та публікують результати. Канада та Європейський Союз розглядають можливість запровадження ширших вимог до звітності про кіберінциденти, а Індія нещодавно ухвалила такий закон. Уряд США має укласти угоди про обмін даними та координувати свої дії з партнерами та союзниками для обміну узгодженими даними між країнами.

Нарешті уряд США може також провести національне опитування фахівців з кібербезпеки в організаціях приватного сектору. За прикладом опитувань, які проводять у Канаді, Ізраїлі та Великій Британії, можна запитати фахівців про кіберзагрози, з якими вони стикаються чи очікують, а також про практики кібербезпеки, які вони застосовують.

Стандарти даних

Щоб отримати надійні, узгоджені дані, уряд США повинен встановити добровільні стандарти для промисловості та міжнародних партнерів та союзників щодо вимірювання та збору інформації про кіберзагрози та кібербезпеку. Наприклад, країни можуть домовитися про загальний набір полів даних у формах звітності про кіберінциденти та загальне визначення "кіберінциденту". Вже існують прецеденти міжнародних стандартів виміру: наприклад, міжнародні організації розробили Систему національних рахунків, в якій викладено стандарти збору та виміру даних для розрахунку ВВП країн. У кіберпросторі має бути аналогічний набір стандартів.

Уряд США також повинен підтримувати та надавати технічну експертизу іншим країнам та американським державним та місцевим органам влади, щоб допомогти їм збирати та використовувати дані про кіберінциденти. Федеральний уряд має запропонувати навчання та експертизу в галузі науки про дані, щоб допомогти аналізувати тенденції та проводити дослідження кіберданих. Крім того, уряду варто надавати консультативну підтримку країнам, які розробляють закони та правила звітності про кіберінциденти.

Як аналізувати кібердані

Федеральні агентства можуть використовувати всю сукупність кіберданих для відповіді на важливі питання політики та досліджень у галузі кібербезпеки. Основним способом використання таких кіберданих є складання цілісної картини кіберзагроз. Інакше кажучи, скільки кібератак відбувається і який їхній вплив на інфраструктуру, людей та економіку США?

Ці питання можуть здатися елементарними, але ми слабо уявляємо відповіді на них. Візьмемо для прикладу ransomware (шкідливі програми-здирники, що вимагають викуп). За останній рік різні організації приватного сектора одночасно виявили, що кількість інцидентів, пов'язаних із програмами-вимагачами, або збільшується, або залишається на колишньому рівні, або зменшується. Різні звіти з приватного сектору також містять суперечливі висновки щодо сфер, найсхильніших до кібератак.

Уряд США міг би виступити в ролі арбітра, збираючи та синтезуючи всі доступні джерела даних для надання авторитетних оцінок кіберзагроз. Американські кібердані, об'єднані з даними інших країн, можуть дати міжнародне уявлення про кіберзагрози та можливості, що дозволить дослідникам краще порівнювати та ранжувати можливості країн. Ні уряд, ні промисловість ніколи не можуть бути впевненими у загальній кількості кіберинцидентів, але уряд може відіграти важливу роль у значному покращенні видимості.

Як приклад можна навести два нещодавні звіти про кількість атак із застосуванням програм-вимагачів. Агентство з кібербезпеки ЄС нещодавно випустило публікацію, в якій об'єднало інциденти з вимагальним ПЗ, про які повідомляють уряди, з інцидентами, про які повідомляє преса та приватний сектор, для аналізу загальних тенденцій розвитку програм-вимагачів. Інститут безпеки та технологій опублікував аналогічний звіт, узагальнивши дані п'яти приватних компаній. Уряд США може заснувати свій власний аналіз на цих моделях, поєднуючи дані про події з іншими джерелами для загального розуміння загроз.

Дослідники також можуть використовувати дані про кіберинцидентів для оцінки вартості кібератак для економіки США — і грошей, заощаджених за рахунок інвестицій у кібербезпеку. Різні організації, включаючи Центр стратегічних та міжнародних досліджень, корпорацію International Business Machines та Раду економічних консультантів при Білому домі, намагалися кількісно оцінити втрати від кіберінцидентів. Ці оцінки сильно відрізняються, частково тому, що вони спираються на різні методології, а частково через відсутність всеосяжних даних. Крім того, дослідники намагалися визначити економічну віддачу від інвестицій компаній у кібербезпеку. Краще розуміючи економічну ефективність кібербезпеки, компанії зможуть правильно інвестувати у заходи щодо забезпечення кіберстійкості.

Дані про кіберинцидентів також допоможуть дослідити вплив кібератак на конкретні типи організацій та секторів, щоб допомогти спрямувати ресурси на протидію актуальним ризикам. Наприклад, дані про кіберінциденти можуть допомогти виявити типи організацій та інфраструктури, найсхильніші до ризику витоків даних. Дослідники вже використали базу даних Міністерства охорони здоров'я та соціального забезпечення, щоб визначити, як розмір лікарні та статус викладання впливають на ймовірність витоку даних, а також як тип даних, що цікавить правопорушників, змінювався з часом.

Ймовірно, існує безліч інших способів використання даних про кіберінциденти в академічних дослідженнях — особливо у поєднанні з даними приватного сектора та даними з відкритих джерел. Важко передбачити та спланувати всі ці способи використання заздалегідь, тому уряд повинен зробити дані якомога доступнішими відповідно до обмежень конфіденційності та недоторканності приватного життя. Оскільки не всі дані будуть доступні громадськості, уряду варто наймати дослідників у різних галузях для проведення незалежного аналізу.

Висновок

На федеральний уряд незабаром звалиться лавина нових даних про кіберінциденти. Щоб скористатися цим ресурсом, відомства повинні інвестувати в аналіз, обмін даними та їх публікацію, а також зіставляти їх з усіма доступними даними про кібербезпеку. Якщо ініціатива вдасться, уряд створить найповнішу картину кібербезпеки і кіберзагроз, яка доступна Сполученим Штатам. Чіткіше уявлення про цю картину є ключовим кроком у вдосконаленні кіберполітики і скороченні кібератак на інфраструктуру США.

Про автора

Дженніфер Шор — аспірантка Школи суспільних та міжнародних відносин Прінстонського університету. Раніше вона була науковим співробітником Національної економічної ради Білого дому за адміністрації Обами.