Стоит ли публиковать информацию о защищенности госорганов, КВО и военных объектов РФ?

Международная ИБ
Одной из идей, прозвучавших на заседании Совета Федерации при обсуждении Стратегии кибербезопасности Российской Федерации стало предложение государственным органам публично предоставлять ежегодную отчетность о киберпреступлениях против госорганов, о подготовленности госорганов к обеспечению кибербезопасности, о защите критически важных объектов. Я не помню, кто выступил инициатором этого предложения, но воспринято оно было многими в штыки. Противники высказывали идею, что такая публикация послужит снижению уровня защищенности российских госорганов и откроет ворота для иностранных хакеров.

Спор этот бесконечный и я не буду в него вступать. Но хотелось бы сослаться на последних два американских отчета, которые демонстрируют, как можно, не раскрывая государственных тайн, показать проблему и наметить шаги для ее устранения. Первый отчет «Resilient Military Systems and the Advanced Cyber Threat» посвящен не самой высокой защищенности американских военных информационных систем. Я про этот отчет уже писал недавно и не буду повторяться. Второй отчет также свежий (февраль 2013-го года) — «CYBERSECURITY. National Strategy, Roles, and Responsibilities Need to Be Better Defined and More Effectively Implemented». Выпущен он американской Счетной палатой (она у них там активно проводит также и аудит безопасности госорганов) и посвящен анализу уровня защищенности американских госорганов и критически важных объектов.

Без погружения в детали, этот отчет указывает на критические места в системе кибербезопасности госорганов и КВО США:

  • Число инцидентов ИБ в госорганах США растет (с 2006 года рост составил 782%).
  • Оставляет желать лучшего система оценки рисков и мониторинга ИБ. Только треть крупнейших госорганов США внедрили у себя практику управления рисками в соответствие с FISMA (в 2011-м году этот показатель был выше на 50%).
  • Острота проблемы обмена информацией об инцидентах с ИБ хоть и снизилась, но все равно остается.
  • Отсутствуют четкие и измеримые планы обучения и повышения осведомленности чиновников и работников КВО в части информационной безопасности.
  • Законодательная обязанность госорганов заниматься исследованиями в области ИБ (у нас о таком только мечтать) реализуется из рук вон плохо.
  • Плохо реализовано международное сотрудничество в области совместной борьбы с угрозами в информационном пространстве.
  • И т.д.

Ничего сверхсекретного в этой информации нет, но она показывает налогоплательщикам (а в США все-таки их мнение иногда учитывают), как государство защищает свой суверенитет от преступных посягательств и как защищаются данные американских граждан. Посмотрев данный отчет становится понятным, DDoS-атаки для американских госорганов и КВО неактуальны (0% в 2012-м году), в отличие от неавторизованного доступа (17%), вредоносного кода (18%) и неправильного использования информационных активов (20%).

Этот отчет показывает нам усилия американского правительства в области эволюции подходов по защите США от кибернападений.

Из этого отчета мы узнаем, насколько активно госорганы внедряют защитные меры, предусмотренные FISMA (аналог нашего 149-ФЗ применительно к госорганам), FIPS-200 и SP800-53 (аналог нашего 17-го приказа ФСТЭК или СТР-К). И картина меняется от госоргана к госоргану. Где-то уровень реализация приближается к 100%, а где-то и выше 0 не поднялся. Это, кстати, хороший пример того, что стоило бы реализовать ФСТЭК или ФСБ или Совету Безопасности по части мониторинга уровня ИБ в стране.

И дальше по тексту еще много чего написано, в деталях и с примерами. В этом госоргане так-то обстоит дело, а в этом — так-то. Если бы я был американским гражданином и налогоплательщиком, мне бы было понятно, с какими проблемами сталкиваются американские чиновники в области кибербезопасности. А им в свою очередь понятно, что есть такой независимый орган, как Счетная палата, которая выявит все плохое и расскажет об этом (не раскрывая госсекретов) гражданам. А это, в свою очередь, должно стимулировать американские госорганы делать что-то правильное для повышения своего уровня защищенности.

Правда, боюсь, что у нас эта идея все-таки не пройдет. А если и пройдет, то на такие отчеты сразу навесят какой-нибудь гриф, например, «не для прочтения вслух», и будем мы в неведении относительно реального уровня защищенности, а всю информацию будем получать из вот таких вот мастер-классов.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. SK

    Хакеры и так найдут все дырки, а вот гласность помогла бы их быстрее залатывать.

    Ответить
  2. Ronin

    У нас регламентировано проведение подобных аудитов и предоставление отчетности? Раз вопрос встал при обсуждении, значит нет. А цель таких отчетов какова? Непосредственно повышение защищенности — вряд ли. Если они для публикации, то для отчетности перед налогоплательщиками. Если смотреть правде в глаза, то мало кому извне, кроме тех же ИБ-блогеров для обсуждений, нужны подобные отчеты. Даже отчетность о количестве выявленных инцидентов мало нужна обычным гражданам. Да и где интересующее соотношение выявленных нарушений к невыявленным, не говоря о том, что одна успешная атака может повлечь серьезнейшие последствия, но зато у нас, как обычно, будут гордо рапортовать о пресечении миллионов атак (сканирований портов).
    Оценка защищенности и отчеты по ней, только в более развернутом виде нужны для внутреннего использования и для составления плана действий, который в общем виде, опять же, уже может использоваться для опубликования.
    А тот факт, что DDoS для муниципальных ИС случается редко, мало интересен для обычных граждан. И, кстати, не говорит о том, что эта атака неактуальна, максимум — что еще не реализовывалась или что предпосылок пока не было (хактивисты пока не интересовались этими ресурсами, например).
    Куда полезнее (но более острый вопрос) — отчетность о случившихся инцидентах ИБ (далеко не только в гос органах, а скорее для всех КВО), что как раз пока не отражено в документе по понятным причинам.
    В целом такая отчетность в довольно широком представлении нужна обязательно, но нужно сначала определиться с её целью и уже от нее отталкиваться, определяя кто, что и как. Но это проблема всего разрабатываемого документа, кстати говоря — нет сформулированных целей и задач и поэтому много мешанины.

    Ответить
  3. Алексей Лукацкий

    В документе есть примеры инцидентов в госорганах

    Ответить
  4. Черный Шершень Зла

    Нужно смотреть, кто конечный заказчик и потребитель ИБ. Кому это надо?
    Если исполнители на местах — у них и так данные есть, отчет не поможет.
    Если руководство — то лучше запросить закрытый отчет.

    А открытый отчет предоставляет информацию налогоплательщикам. Чтобы они проверяли, как обеспечивается ИБ в структурах, работающих на их деньги. Фактически, аналогия с акционерами коммерческой организации.
    Такой подход принят на Западе, и отчеты по ИБ вполне нормальны в этом свете.

    Такой подход у нас пока не развит. Для нас будет дико, если гражданин затребует отчет даже по основным функциям гос. органа. Что уж говорить о таком важном, но все же поддерживающем направлении как ИБ.

    В итоге отчет будет никому не нужен, превратится в бумажку, которую положат на полку (вывесят на сайт и пр.). Заполнять будут "на отвяжись" — и все это превратится еще в одну головную боль для безопасников.

    Ответить