Після ситуації із SolarWinds США нікому не можуть довіряти
Нещодавня кібератака на SolarWinds, ІТ-фірму з Техасу, стала справжнім ударом для інституту національної безпеки США. На щастя, вона також послужила необхідним тривожним сигналом, що спонукав нову адміністрацію Джо Байдена до посилення захисту своїх комунікаційних мереж і систем
Хакери, яких пов'язують із російською розвідкою, заразили програмне забезпечення SolarWinds, яке потім встановили собі приблизно 18 000 клієнтів компанії. Серед них — міністерства фінансів, оборони, юстиції, торгівлі та енергетики США, Держдепартамент, а також уряди та компанії як мінімум семи інших країн.
Деякі експерти стверджують, що подібні атаки є "дрібницею" для найкращих державних хакерів, зокрема з Росії, Китаю, США та інших країн. Вони здатні зламати практично будь-яку систему, іноді шляхом компрометації надійних ланцюжків поставок через стороннього постачальника. І їхні величезні можливості лише зростають завдяки штучному інтелекту.
Щоб запобігти появі таких кваліфікованих, мотивованих і добре забезпечених ресурсами кіберзлочинців, США слід розробити комплексний підхід на національному рівні. І почати потрібно з перегляду традиційних уявлень про довіру.
Нещодавно Вільям Еваніна (William Evanina), колишній директор Національного центру контррозвідки і безпеки США (NCSC), заявив, що Америці слід зайняти позицію "нульової довіри" (zero trust), щоб розпочати належне управління ризиками в ланцюжках поставок. Ідея "нульової довіри" полягає в тому, що не можна використовувати або забороняти технології без попередньої перевірки. Хибність ідеї про "надійного постачальника" лежить в основі торішньої ініціативи "Чиста мережа", яка, за словами Джейсона Гілі (Jason Healey), колишнього експерта з безпеки Повітряних сил США та Білого дому, є "невдалою спробою досягти кібербезпеки".
Натомість нам слід задіяти системи захисту на рівні національної безпеки та протоколи управління ризиками для найважливіших технологій. Потрібно відмовитися від, здавалося б, очевидного припущення, що при застосуванні продуктів та компонентів лише від "надійних" постачальників ми отримаємо "чисту мережу". Зрештою, SolarWinds була надійним постачальником аж до нещодавніх подій, і її ланцюжок поставок був чистим, аж поки не став брудним. І сталося це, скоріш за все, задовго до виявлення проблеми. Потрібно діяти, виходячи з ідеї, що всі мережі є "брудними".
Торік ми з двома колегами написали статтю "Нікому не довіряйте" (Don't Trust Anyone), яка була опублікована в журналі, фінансованому Міністерством оборони США. Ми зазначили, що занесення до чорного списку одних постачальників технологій при довірі іншим — це прямий шлях до катастрофи, як згодом стало ясно зі злому SolarWinds.
Натомість нам слід дослухатися до порад Комісії з питань кіберпростору (Cyberspace Solarium Commission), підтримуваної обома партіями, та інших експертів і почати оцінку ризиків усіх постачальників. Потім потрібно відслідковувати будь-які ризики, які можуть виникнути після розгортання мережевого обладнання.
Для проведення таких оцінок вкрай важливо досягти консенсусу щодо глобальних стандартів для операторів звʼязку та мобільного звʼязку, а також безпеки мережевого обладнання. Наразі операторам і постачальникам не вистачає чіткого, узгодженого та заснованого на стандартах керівництва щодо застосування технологій у різних країнах. Стандартизовані керівні принципи можна включити до вимог до закупівель та договірних положень, а також до нормативно-правових основ.
Не менш важливими є механізми верифікації та тестування ключових компонентів мережевих технологій. Верифікація гарантує, що всі технології постачальників задовольняють чітко визначені вимоги, розроблені відповідно до умов виникнення ризиків. Тестування систем безпеки забезпечує обʼєктивну основу для оцінки безпеки та відмовостійкості мереж і систем навіть у складних умовах. Критерії тестування можна скоригувати та в разі потреби посилити для важливої інфраструктури, наприклад, для банківської системи та електромережі.
Провідні організації зі стандартизації у телекомунікаційній галузі розробили механізм NESAS, який може стати основою для розробки стандартів з вищим рівнем гарантії та програм тестування. NESAS включає в себе добровільний аудит мобільного устаткування та технологічних процесів і оцінку кібербезпеки. Він слугує орієнтиром для строгих вимог до телекомунікаційного обладнання та вказує шлях у майбутнє, в якому незалежні сторони проводять ретельну перевірку систем безпеки, а результати передають клієнтам.
Крім того, деякі країни ухвалюють закони щодо посилення безпеки мереж. У жовтні минулого року Німеччина оприлюднила норми, що підвищують вимоги безпеки для всіх операторів зв'язку, постачальників обладнання та розпорядників персональних даних. Згідно з новим законодавством, ці сторони несуть відповідальність за безпеку ланцюжка поставок технологій. Оператори повинні надавати інформацію щодо критично важливих компонентів, котрі вони використовуватимуть у своїх мережах. А продавці обладнання повинні конкретизувати, як вони убезпечують свою продукцію від можливого використання з метою саботажу, шпигунства або тероризму. Гравці, як не зможуть дотримуватися встановлених законом вимог, отримають штрафи, заборону на ведення діяльності або ж припинять роботу.
Ми повинні підтримувати тих, хто працює над посиленням безпеки критично важливих технологій, і водночас вимагати підвищеної відповідальності від організацій і лідерів компаній. Адміністрація Джо Байдена має можливість продовжити важливу справу, яка вже розпочалася, щоб гарантувати підвищену безпеку. Як пояснила SolarWinds, це має бути одним із найвищих пріоритетів.