После ситуации с SolarWinds США никому не могут доверять

Хакеры, которых связывают с российской разведкой, заразили программное обеспечение SolarWinds, которое потом установили себе примерно 18 000 клиентов компании. Среди них — министерства финансов, обороны, юстиции, торговли и энергетики США, Госдепартамент, а также правительства и компании как минимум семи других стран.

Некоторые эксперты утверждают, что подобные атаки являются "мелочью" для лучших государственных хакеров, в частности из России, Китая, США и других стран. Они способны взломать практически любую систему, иногда путем компрометации надежных цепочек поставок через стороннего поставщика. И их огромные возможности только возрастают благодаря искусственному интеллекту.

Чтобы предотвратить появление таких квалифицированных, мотивированных и хорошо обеспеченных ресурсами киберпреступников, США следует разработать комплексный подход на национальном уровне. И начать нужно с пересмотра традиционных представлений о доверии.

Недавно Уильям Эванина (William Evanina), бывший директор Национального центра контрразведки и безопасности США (NCSC), заявил, что Америке следует занять позицию "нулевого доверия" (zero trust), чтобы начать надлежащее управление рисками в цепочках поставок. Идея "нулевого доверия" заключается в том, что нельзя использовать или запрещать технологии без предварительной проверки. Ошибочность идеи о "надежном поставщике" лежит в основе прошлогодней инициативы "Чистая сеть", которая, по словам Джейсона Гили (Jason Healey), бывшего эксперта по безопасности Воздушных сил США и Белого дома, является "неудачной попыткой достичь кибербезопасности".

Вместо этого нам следует задействовать системы защиты на уровне национальной безопасности и протоколы управления рисками для самых важных технологий. Нужно отказаться от, казалось бы, очевидного предположения, что при применении продуктов и компонентов только от "надежных" поставщиков мы получим "чистую сеть". В конце концов, SolarWinds была надежным поставщиком до недавних событий, и ее цепочка поставок была чистой, пока не стала грязной. И произошло это, скорее всего, задолго до обнаружения проблемы. Нужно действовать, исходя из идеи, что все сети являются "грязными".

В прошлом году мы с двумя коллегами написали статью "Никому не доверяйте" (Don't Trust Anyone), которая была опубликована в журнале, финансируемом Министерством обороны США. Мы отметили, что внесение в черный список одних поставщиков технологий при доверии другим — это прямой путь к катастрофе, как впоследствии стало ясно по взлому SolarWinds.

Вместо этого нам следует прислушаться к советам Комиссии по вопросам киберпространства (Cyberspace Solarium Commission), поддерживаемой обеими партиями, и других экспертов и начать оценку рисков всех поставщиков. Затем нужно отслеживать любые риски, которые могут возникнуть после развертывания сетевого оборудования.

Для проведения таких оценок крайне важно достичь консенсуса по глобальным стандартам для операторов связи и мобильной связи, а также безопасности сетевого оборудования. Сейчас операторам и поставщикам не хватает четкого, согласованного и основанного на стандартах руководства по применению технологий в различных странах. Стандартизированные руководящие принципы можно включить в требования к закупкам и договорным положениям, а также в нормативно-правовые основы.

Не менее важны механизмы верификации и тестирования ключевых компонентов сетевых технологий. Верификация гарантирует, что все технологии поставщиков удовлетворяют четко определенные требования, разработанные в соответствии с условиями возникновения рисков. Тестирование систем безопасности обеспечивает объективную основу для оценки безопасности и отказоустойчивости сетей даже в сложных условиях. Критерии тестирования можно скорректировать и в случае необходимости усилить для важной инфраструктуры, например, для банковской системы и сети.

Ведущие организации по стандартизации в телекоммуникационной отрасли разработали механизм NESAS, который может стать основой для разработки стандартов с более высоким уровнем гарантии и программ тестирования. NESAS включает в себя добровольный аудит мобильного оборудования и технологических процессов и оценку кибербезопасности. Он служит ориентиром для строгих требований к телекоммуникационному оборудованию и указывает путь в будущее, в котором независимые стороны проводят тщательную проверку систем безопасности, а результаты передают клиентам.

Кроме того, некоторые страны принимают законы по усилению безопасности сетей. В октябре прошлого года Германия обнародовала нормы, повышающие требования безопасности для всех операторов связи, поставщиков оборудования и распорядителей персональных данных. Согласно новому законодательству, эти стороны несут ответственность за безопасность цепочки поставок технологий. Операторы должны предоставлять информацию о критически важных компонентах, которые они будут использовать в своих сетях. А продавцы оборудования должны конкретизировать, как они защищают свою продукцию от возможного использования с целью саботажа, шпионажа или терроризма. Игроки, которые не смогут придерживаться установленных законом требований, получат штрафы, запрет на ведение деятельности или же прекратят работу.

Мы должны поддерживать тех, кто работает над усилением безопасности критически важных технологий, и одновременно требовать повышенной ответственности от организаций и лидеров компаний. Администрация Джо Байдена имеет возможность продолжить важное дело, которое уже началась, чтобы гарантировать повышенную безопасность. Как пояснила SolarWinds, это должно быть одним из высочайших приоритетов