«Светофор» для определения уровня опасности в киберпространстве — штука выглядящая очень простой, но при этом эффективной. Что может быть проще? Государство установило нужный уровень — все побежали реализовывать соответствующие цвету мероприятия. Помните в школе? «Красный — стой! Желтый — приготовиться. Зеленый — иди!» Эти правила вбили в голову достаточно плотно и сегодня мало найдется людей, который не знают, что означают цвета светофора (ну разве, что упомянутые в прошлой заметке дальтоники, специально для которых на светофорах указывают еще и специальные знаки) и что делать, когда загорается тот или иной цвет. Но попытка применить эту идею в системах визуализации угрозы работает далеко не всегда. Почему?
Давайте в качестве примера возьмем систему HSAS, введенную Министерство национальной безопасности США после событий 11-го сентября 2001 года. Введенные в марте 2002-го года 5 цветовых уровней террористической определяли каждый свой набор действий, которые должны были быть реализованы федеральными агентствами, региональными и муниципальными властями в аэропортах и других публичных местах (кстати, у MS-ISAC те же 5 уровней, чтобы не плодить путаницу).
Спустя 9 лет, в апреле 2011-го года, эта система была заменена на National Terrorism Advisory System (NTAS). Почему? По мнению тех, кто ею пользовался, система цветовой дифференциации штанов уровней угрозы предоставляла очень мало практической информации для общественности. Во-первых, процедура/формула назначения уровня угрозы не была опубликована и никто, исключая ограниченный круг лиц, не знал и не понимал, почему сейчас уровень такой-то. Также не было никаких независимых способов проверить правильность выбранного уровня угрозы. Наконец, правила перехода с уровня на уровень были расплывчаты, а источники, на основе которых вычислялся уровень угрозы, не раскрывался (конечно же, по причине секретности источников и нежелания раскрывать врагу этой информации).
Знакомая картина, не так ли? Все спецслужбы во всех странах мира одинаковы.
В случае с HSAS была еще проблема, заключающаяся в том, что нижние два уровня (зеленый и синий) никогда не использовались, что привело к использованию в качестве базового уровня «желтого», к которому все настолько привыкли, что, наряду с недоверием к спецслужбам, привело к тому, что уже просто не обращали внимания и на сам уровень, и на его изменения, и на необходимые действия, вытекающие из нужного уровня.
Отсутствие прозрачности приводило к спекуляциям со стороны спецслужб и властей, которые в угоду своим интересам (например, перед выборами) необоснованно меняли уровень угрозы. А ведь любое повышение/изменение уровня имеет экономические и психологические последствия для государства. И тут оказалось, что список потенциальных целей для террористов (примерно, как список объектов КИИ) местами выглядел странно, а именно включал то контактный зоопарк, то пустующий пляж, то магазин пончиков, то фабрику попкорна. То есть классификация критических объектов оставляла желать лучшего; при этом от их владельцев требовалось реализовывать ряд мероприятий, которые могли обойтись очень дорого, но не приводили ни к какому эффекту.
В итоге, спустя 7 лет работы системы, рабочая группа отмечала, что данная система HSAS неплохо работала для специализированных организаций и агентств (например, полиции, МЧС, ФБР и т.п.), но была совершенно неприспособленна для общественности, которая не получала полезной для себя информации, а также не доверяла всей системе в целом. В качестве улучшений предлагалось, во-первых, быть более сфокусированными на конкретных угрозах, а не повышать бдительность страны в целом. Во-вторых, предлагалось снизить число уровней с пяти до трех. А вот что касается цветовой дифференциации участники рабочей группы так и не определились с тем, отменять ее или нет. В любом случае, если такую дифференциацию и оставлять, то она должна была быть серьезно пересмотрена.А теперь попробуем применить эту систему цифровой дифференциации к объектам критической инфраструктуры (да-да, российское законодательство, правда, непубличное, требует этого). Если мы получили циркуляр о красном уровне угрозы, то что нам, как субъекту КИИ, делать? Согласитесь, что у нас возникнет сразу множество вопросов. А почему красный? А это точно относится ко мне? А может это для других отраслей и сфер деятельности? А это для всех моих систем или только определенных? А как долго мне надо «быть в готовности» и выполнять действия согласно нужному уровню? Цвет, сам по себе, не отвечает на эти вопросы ????
Цветовая дифференциация, которая описана в наших непубличных документах, добавляет к описанным проблемам и еще одну. А кому можно рассказывать об этом «светофоре» даже внутри организации? Надо же допуска оформлять. Хотя какие допуска к ДСП в коммерческой компании? А как тогда быть? Не дай, ФСТЭК, раскроешь еще что-нибудь ненароком и пойдешь по этапу за раскрытие чувствительной информации, которое могут характеризовать по 275-й статье УК РФ. А еще представьте себе ситуацию. С субъекта КИИ увольняется сотрудник и на его место приходит новый, который в тот же день получает уведомление о красном уровне киберугрозы. И что ему делать? Он не ознакомлен с нужными документами, а ему уже надо срочно выполнять предписанные защитные мероприятия.
Ровно по этой причине американцы отменили HSAS и заменили ее на NTAS, в которой не нашлось места для цветовой дифференциации. Сегодня, при появлении информации об угрозе, уведомление о ней (то, которое публично) содержит описание самой угрозы, географический регион ее применимости, подверженные угрозе объекты, мероприятия, которые выполняют уполномоченные органы, а также действия, которые должны выполнять частные лица и сообщества для своей самозащиты. Там даже срок жизни оповещения указывается, чтобы не сидеть и не ждать, когда регулятор соизволит понизить уровень угрозы. Если транслировать этот пример на ИБ, то такое оповещение должно включать в себя описание подверженных сфер деятельности, типы подверженных систем (объектов КИИ), соответствующего регулятора (особенно в условиях делегирования ФСТЭК части своих полномочий отраслевым ФОИВам), набор обязательных мер, которые бизнес может реализовать для своей защиты. И никакого светофора!
Подходить к внедрению такой системы надо обдуманно и только после того, как к ее инициаторам сформировалось доверие у всех участников процесса. Такая система должна быть открытой в большей своей части. И уж точно, при запуске такой системы надо ориентироваться на ошибки, допущенные другими государствами, чтобы не наступать на те же грабли!
Заметка
Почему не всегда работает «светофор» для определения уровня киберугрозы? была впервые опубликована на Бизнес без опасности .
