ВХОДЯЩИЕ ДАННЫЕ: КАК УСТРАНИТЬ ПРОБЕЛ В КИБЕРДАННЫХ

Сколько кибер-атак происходит в США каждый год? Сколько американцев страдает от них? В настоящее время мы практически не имеем представления об ответах на такие основные вопросы.

Скоро ситуация изменится.

Благодаря волне новых нормативных актов, принятых в прошлом году, американские компании теперь будут подчиняться расширенным требованиям по отчетности о кибер-инцидентах, которые обязывают их предоставлять федеральному правительству информацию о кибератаках, утечках данных и других случаях, ставящих под угрозу информационные системы.

Таким образом, правительство собирается получить ценный ресурс, который будет предоставлять беспрецедентную картину о состоянии кибербезопасности в США. Агентства, получающие отчеты об инцидентах, должны нарастить масштабы анализа данных и углубить сотрудничество с частным сектором и международным сообществом, чтобы воспользоваться этими данными.

Пробел в данных по кибербезопасности

Правительство США предоставляет мало общедоступных крупномасштабных данных или анализа данных по кибербезопасности.

Федеральное бюро расследований и Управление по управлению и бюджету выпускают ежегодные отчеты о некоторых кибер-инцидентах, а Министерство финансов опубликовало анализ кибер-инцидентов, направленных против банковских и финансовых учреждений.

Министерство здравоохранения и социального обеспечения, Комиссия по ценным бумагам и биржам, Министерство энергетики и правительства некоторых штатов также публикуют различное количество данных о кибер-инцидентах или нарушениях, согласно полученным ими данными.

Хотя эти данные полезны, они представляют собой лишь малую долю того, что правительство собирает сегодня и начнет собирать в соответствии с новыми требованиями. Правительство также может добиться еще большего в деле доступа и предоставления анализа полученных данных.

Промышленность и научные круги также не смогли восполнить этот пробел. Ученые и исследователи обычно изучают киберинциденты, о которых сообщается в прессе, однако, большая часть киберконфликтов остается скрытой или о них никогда не сообщается публично.

Компании, предоставляющие услуги по кибербезопасности, располагают большим количеством данных об инцидентах, а страховые компании собирают подробную информацию по искам, связанным с киберпреступлениями. Однако эти данные являются закрытой информацией, что ограничивает их использование и доступ к ним.

Скудность киберданных является относительной аномалией по сравнению с данными о рисках безопасности, опасностях и инцидентах в других отраслях и профессиях.

В федеральном правительстве США существует 13 статистических агентств и более сотни дополнительных статистических программ. Эти организации охватывают такие сферы, как труд, правосудие, транспорт, экономика, здравоохранение и другие.

Федеральное правительство также собирает данные об авиационных происшествиях, безопасности дорожного движения, травмах и смертях в больницах и травмах на рабочем месте. Эта информация предназначена для повышения безопасности населения и потребителей. Сбор киберданных преследует ту же цель, но только носит неотложный характер, поскольку такие данные могут выявить угрозы национальной безопасности.

Сбор, анализ и обнародование информации, связанной с безопасностью, является стандартной практикой правительства США в других областях. Кибербезопасность является исключением.

Киберданные важны по многим причинам. Более полный набор данных позволит правительству США определить приоритетность угроз, распределить ресурсы на политические усилия и измерить успех этих усилий.

Это также поможет организациям понять масштаб и объем рисков, с которыми они сталкиваются, и инвестировать в меры по повышению киберустойчивости.

Страховые компании могут использовать киберданные для разработки более совершенных моделей риска при установлении тарифов.

Наконец, данные могут показать, какие методы обеспечения кибербезопасности связаны с большей устойчивостью или более быстрым восстановлением после атак, что позволит организациям использовать передовой опыт.

Политики и эксперты, в целом, согласны с тем, что существует серьезный недостаток в метриках кибербезопасности. Национальный кибердиректор Белого дома Крис Инглис заявил, что без сбора данных «мы будем неравномерно и, возможно, менее оптимально реагировать на любые из этих угроз».

Два исследователя киберконфликтов написали в 2018 году, что без хорошей отчетности о киберинцидентах Соединенные Штаты «действуют в известной среде, но почему-то с повязкой на глазах». С 2018 года ситуация улучшилась, но возможности для дальнейшего прогресса все еще есть.

Для решения этой проблемы в 2020 году уполномоченная Конгрессом Комиссия по киберпространству «Солярий» предложила создать Бюро киберстатистики.

Были приняты некоторые законодательные акты, направленные на это, включая недавнюю поправку к закону о полномочиях в области национальной обороны, принятому в этом году. Однако до сих пор эти законодательные усилия не увенчались успехом.

В то же время, в стране появился целый шквал законов и нормативных актов, касающихся отчетности о кибер-инцидентах. Вероятно, по крайней мере, отчасти они вызваны серией крупных киберинцидентов, направленных против американской инфраструктуры в 2021 году, а также опасениями российской кибератаки против США после вторжения России в Украину. Хотя такие требования к отчетности об инцидентах не заменят собой долгосрочные усилия по созданию органа киберстатистики, эти требования станут хорошим началом для продвижения миссии, которую в конечном итоге возьмет на себя этот офис.

Текущий ландшафт киберданных

Наиболее значительным источником данных об инцидентах, которые федеральное правительство может использовать для восполнения пробелов в киберданных, является информация, которую компании будут предоставлять в соответствии с Законом об отчетности о киберинцидентах в критической инфраструктуре, который был принят в марте. Детали о том, какие компании и инциденты охватывает этот закон, пока все еще прорабатываются, но закон, вероятно, станет наиболее всеобъемлющей схемой отчетности о кибер-инцидентах в стране.

Однако до вступления закона в силу может пройти не менее двух (или более) лет. До тех пор федеральное правительство должно использовать отчеты об инцидентах, представленные в соответствии с другими федеральными требованиями и нормами штатов, для получения полезной статистики.

На федеральном уровне существует более 20 нормативных актов и законов, требующих предоставления отчетов о происшествиях.

За последний год эти требования возросли: помимо Закона об отчетности о киберинцидентах для критической инфраструктуры, Федеральная комиссия по связи, Комиссия по ценным бумагам и биржам и Национальная ассоциация кредитных союзов изучают возможность повышения требований к отчетности об инцидентах, а Агентство транспортной безопасности и банковские регуляторы уже успешно расширили требования.

Кроме того, в четырех штатах недавно были введены требования по отчетности о кибер-инцидентах, а в двух штатах приняты законы, требующие от государственных и местных органов власти сообщать об инцидентах, связанных с кибер-вымогательством.

Федеральные агентства должны обобщить данные правительственных отчетов об инцидентах с отраслевыми данными, чтобы составить более целостную и подробную картину киберугроз. Несколько компаний, таких как Verizon и Advisen, ведут базы данных о десятках тысяч кибер-инцидентов. Кроме того, правительство должно запрашивать анонимизированные данные у страховых фирм и компаний, занимающихся кибербезопасностью.

Наконец, аналитические центры и исследователи создали наборы данных о кибер-инцидентах, о которых сообщалось в открытых источниках, которые правительство могло бы использовать в дополнение к данным об инцидентах.

Совет по международным отношениям, Центр стратегических и международных исследований и Университет Мэриленда ведут такие базы данных за 2005, 2006 и 2014 годы соответственно.

Институт «CyberPeace Institute» (Институт кибермира — НПО, создан для борьбы с растущим влиянием крупных кибератак, оказания помощи уязвимым сообществам, содействия прозрачности и продвижения глобальной дискуссии о приемлемом поведении в киберпространстве) также создал более узконаправленные базы данных киберинцидентов, касающихся вторжения в Украину и сектора здравоохранения.

Данные о киберинцидентах США будут еще более ценными, если их объединить с аналогичными данными других стран. Некоторые страны, такие как Новая Зеландия, Австралия, Япония, Эстония и Сингапур, уже собирают и публикуют данные о киберинцидентах. Великобритания, Израиль и Канада также проводят опросы предприятий по вопросам кибербезопасности и публикуют результаты. Канада и Европейский Союз рассматривают возможность введения более широких требований к отчетности о кибер-инцидентах, а Индия недавно приняла такой закон.

Правительство США должно заключить соглашения об обмене данными и координировать свои действия с партнерами и союзниками для публикации и обмена согласованными данными между странами.

Наконец, правительство США может также провести национальный опрос специалистов по кибербезопасности в организациях частного сектора. Этот опрос можно было бы провести по образцу опросов, проводимых в Канаде, Израиле и Великобритании, и спросить практиков о киберугрозах, с которыми они сталкиваются или ожидают, а также о практике кибербезопасности, которую они применяют.

Продвижение стандартов данных

Для продвижения надежных, согласованных данных правительство США должно установить добровольные стандарты для промышленности и международных партнеров и союзников в отношении измерения и сбора информации о киберугрозах и кибербезопасности.

Например, страны могут договориться об общем наборе полей данных в формах отчетности о кибер-инцидентах и общем определении «кибер-инцидента». Существуют прецеденты международных стандартов измерения: международные организации разработали Систему национальных счетов, в которой изложены стандарты сбора и измерения данных для расчета ВВП стран. В киберпространстве должен быть аналогичный набор стандартов.

Правительство США также должно оказывать поддержку в наращивании потенциала и предоставлять техническую экспертизу другим странам и американским государственным и местным органам власти, чтобы помочь им собирать и использовать данные о кибер-инцидентах.

Федеральное правительство должно предложить обучение и экспертизу в области науки о данных, чтобы помочь анализировать тенденции и проводить исследования киберданных.

Федеральное правительство также должно оказывать консультативную поддержку странам, разрабатывающим законы и правила отчетности о кибер-инцидентах.

Как анализировать киберданные

Федеральные агентства могут использовать всю совокупность киберданных для ответа на важные вопросы политики и исследований в области кибербезопасности. Самым основным способом использования таких киберданных является составление целостной картины киберугроз. Другими словами, сколько кибератак происходит и каково их влияние на инфраструктуру, людей и экономику США.

Хотя все это может показаться элементарным, мы довольно смутно представляем себе ответы на эти вопросы. Возьмем для примера кибер-вымогательство (ransomware). За последний год различные организации частного сектора одновременно обнаружили, что число инцидентов, связанных с кибер-вымогательством, либо увеличивается, либо остается на прежнем уровне, либо уменьшается. Различные отчеты частного сектора также содержат противоречивые выводы относительно секторов, наиболее подверженных кибератакам.

Правительство США могло бы выступить в роли арбитра, собирая и синтезируя все доступные источники данных для предоставления авторитетных оценок киберугроз. Американские киберданные, объединенные с данными других стран, также могут дать общее международное представление о киберугрозах и возможностях, что позволит исследователям лучше сравнивать и ранжировать возможности стран. Хотя ни правительство, ни промышленность никогда не могут быть до конца уверены в общем количестве киберинцидентов, правительство может сыграть свою роль в значительном улучшении видимости общей картины.

В качестве примера можно привести два недавних отчета о количестве атак программ-вымогателей. Агентство по кибербезопасности ЕС недавно выпустило публикацию, в которой объединило инциденты с вымогательским ПО, о которых сообщают правительства, с инцидентами, о которых сообщает пресса и частный сектор, для анализа общих тенденций развития вымогательского ПО. Институт безопасности и технологий опубликовал аналогичный отчет, обобщив данные пяти частных компаний. Правительство США могло бы основывать свой собственный анализ на этих моделях, объединяя данные о происшествиях с различными сторонними источниками для общего понимания угроз. 

Исследователи также могут использовать данные о кибер-инцидентах для определения стоимости кибер-атак для экономики США — а также денег, сэкономленных благодаря инвестициям в кибер-безопасность.

Различные организации, включая Центр стратегических и международных исследований, корпорацию International Business Machines и Совет экономических консультантов при Белом доме, пытались количественно оценить потери от кибер-инцидентов. Эти оценки сильно разнятся, отчасти потому, что они опираются на различные методологии, а отчасти из-за отсутствия всеобъемлющих данных. Кроме того, исследователи пытались определить экономическую отдачу от инвестиций компаний в кибербезопасность.

Лучшее понимание экономической эффективности кибербезопасности может помочь компаниям правильно инвестировать в меры по обеспечению киберустойчивости.

Данные о кибер-инцидентах также могут позволить провести исследование воздействия кибератак на конкретные типы организаций и секторов, что поможет направить ресурсы на наиболее актуальные риски.

Например, данные о кибер-инцидентах могут помочь выявить типы организаций и инфраструктуры, наиболее подверженные риску компрометации. В прошлом исследователи использовали базу данных Министерства здравоохранения и социального обеспечения о нарушениях данных, чтобы определить, как размер больницы и статус преподавания влияют на вероятность нарушения, а также как тип данных и организации, ставшие целью нарушения данных в здравоохранении, менялись с течением времени.

Вероятно, существует множество других способов использования данных о кибер-инцидентах в академических исследованиях — особенно в сочетании с данными частного сектора и данными из открытых источников.

Трудно предугадать и спланировать все эти способы использования заранее, поэтому правительство должно сделать данные как можно более доступными в соответствии с ограничениями конфиденциальности и неприкосновенности частной жизни.

Поскольку не все данные будут доступны общественности, правительство также должно нанимать исследователей в различных областях для проведения собственного анализа.

Заключение

Федеральное правительство вот-вот получит приток новых данных о кибер-инцидентах. Чтобы воспользоваться этим ресурсом, ведомства должны инвестировать в анализ, обмен и публичное обнародование данных и синтезировать их со всеми другими доступными данными о кибербезопасности.

Если правительство преуспеет в этом, оно создаст наиболее полную картину кибербезопасности и киберугроз, которую когда-либо имели Соединенные Штаты.

Более четкое представление об этой картине, в свою очередь, является ключевым шагом в совершенствовании киберполитики и сокращении кибератак на инфраструктуру США.

18/10/2022

Автор: Дженнифер Шор 

Источник: War On The Rocks

Last Updated on 20.10.2022 by iskova