Мир за неделю: регуляторы диктуют правила

Австралия приняла Стратегию кибербезопасности страны до 2030 года, 18 стран мира подписали «Руководство по безопасной разработке систем искусственного интеллекта».

22 ноября федеральное правительство опубликовало Стратегию кибербезопасности Австралии на 2023-2030 годы. Ее дополняет План действий по кибербезопасности Австралии на 2023-2030 годы, который включает ключевые инициативы по кибербезопасности, они пошагово будут реализованы в течение следующих двух лет.

Оба документа описывают важные предлагаемые законодательные меры в отношении программ-вымогателей, хранения данных, критической инфраструктуры и поддержки реагирования на киберинциденты, а также других инициатив. Эти инициативы повлияют на киберпланирование для всех предприятий, работающих в Австралии.

Стратегия кибербезопасности была принята спустя 15 месяцев после начала разработки и обсуждения и учитывает опыт инцидентов последних лет, включая кибератаки на телекоммуникационные и финансовые компании, краду персональных данных миллионов жителей Австралии, общенациональное отключение мобильных и интернет-услуг, а также сбои в работе промышленных и транспортных предприятий.

Согласно Ежегодному отчету о киберугрозах Австралии за 2022-2023 годы, подготовленному Австралийским управлением сигналов (ASD), ведомство зафиксировало более 1100 значимых для местных компаний киберинцидентов. Все чаще целями хакеров становится критическая инфраструктура как в Австралии, так и во всем мире. Программы-вымогатели остаются самой разрушительной угрозой киберпреступности для страны.

Стратегия описываются шесть «киберщитов», каждый из которых обеспечивает дополнительный уровень защиты от киберугроз (как описано более подробно ниже).

Ключевые предлагаемые законодательные реформы:

• Обязательство сообщать о программах-вымогателях;
• Новые требования к хранению данных, в частности, к срокам и соблюдению требований законов;
• Дальнейшие поправки к Закону о безопасности критической инфраструктуры (Закон SOCI).

Стратегия предлагает расширение полномочий правительства по проверке соблюдения и выполнения требований, а также при ликвидации последствий кибератак в случае инцидентов национального значения; ужесточение требований по кибербезопасности к телекоммуникационным компаниям и их отчетности, к поставщикам управляемых услуг; ужесточение требований со стороны регуляторов к авиационным, морским и оффшорным объектам, включая другую критически важную инфраструктуру, которая обеспечивает международные транспортные и морские маршруты.

Создание политики обмена конфиденциальной информацией о киберинцидентах со стороны правительства, ASD и Национального координатора кибербезопасности, введение отраслевого кодекса практики для поставщиков услуг реагирования на инциденты, который определит качество обслуживания и профессиональные стандарты.

Создание стандарта кибербезопасности для интеллектуальных устройств (устройств Интернета вещей, IoT) и добровольную схему маркировки IoT потребительского уровня. Правительство выделило на эти инициативы 4,8 млн австралийских долларов.

В рамках Стратегии создаются шесть национальных «киберщитов», которые помогут защититься от киберугроз:

Создание этих щитов потребует сотрудничества между многочисленными правительственными учреждениями, включая внутренние дела, ASD, Казначейство, Генеральную прокуратуру, Австралийскую федеральную полицию (AFP ) , Департамент иностранных дел и электронной безопасности.

Щит 1: Сильный бизнес и граждане. Поддержка предприятий и частных лиц в повышении их киберустойчивости путем

• создания программы кибер-проверки здоровья для малого и среднего бизнеса для оценки киберзрелости и получения рекомендаций по улучшению кибербезопасности;
• повышение значимости угроз вымогателей. Разработка законодательного требования по обязательному информированию об атаках программ-вымогателей без возложения ответственности на пострадавших. Правительство создаст руководство и даст четкие инструкции как предприятиям и частным лицам следует реагировать на программы-вымогатели. Федеральное правительство не поощряет выплату выкупа киберпреступникам;
• упрощение отчетности об инцидентах путем разработки единого портала о киберинцидентах для облегчения выполнения нормативных обязательств по отчетности всем пострадавшим от киберинцидента;
• совместная разработка вариантов законодательного закрепления обязательств по ограниченному использованию киберинформации для ASD и Национального координатора кибербезопасности;
• совместная разработка отраслевого кодекса практики для поставщиков реагирования на инциденты;
• разработка программы Digital ID для сокращения использования данных граждан при доступе и обмене информацией с онлайн-сервисами государственных учреждений и коммерческих компаний.

Щит 2: Безопасные технологии

Меры направлены на повышение безопасности интеллектуальных технологий и IoT, поддержка безопасного развития и распространения технологий искусственного интеллекта (ИИ) в австралийской экономике.

Щит 3: Обмен и блокирование угроз мирового класса

Создание единой сети обмена информацией об угрозах во всей экономике страны, анализа угроз и масштабирование возможностей их блокировки на отраслевых платформах и их интеграцию с платформой ASD, что даст основу для обмена информацией о киберугрозах между отраслями и правительством; пилотирование автоматизированной возможности блокировки угроз практически в реальном времени, основанной на существующих государственных и отраслевых платформах и интегрированных с ними.

Щит 4: Защищенная критическая инфраструктура

Дальнейшая реформа Закона о SOCI, усиление обязательств по кибербезопасности систем национального значения (SoNS) в соответствии с Законом о SOCI, включая требования по разработке планов реагирования на киберинциденты, проведению учений по кибербезопасности, проведению оценок уязвимостей и предоставлению системной информации для разработки и поддержания угроз, близких к реальному времени. Расширение Национальной программы киберучений Австралии для активной оценки возможностей управления последствиями, выявления пробелов в координации и проверки эффективности планов реагирования на инциденты.

Разработка методических указаний по реагированию на инциденты, которые помогут координировать национальное реагирование на инциденты среди заинтересованных сторон Содружества, штатов, территорий и отраслей.

Щит 5: Суверенные возможности

• Рост и повышение профессионализма австралийских специалистов в области ИБ;
• Реформирование миграционной политики для повышения конкурентоспособности Австралии и привлечения высококвалифицированных мигрантов для расширения штата специалистов по кибербезопасности;
• Предоставление рекомендаций работодателям по выявлению и удержанию талантливых специалистов в области ИБ, включая женщин и представителей коренных народов;
• Предоставление киберстартапам и малым и средним предприятиям финансирования для разработки инновационных решений проблем кибербезопасности в рамках программы Cyber Security Industry Challenge.

Щит 6: Киберустойчивый регион и глобальное лидерство

Повышение киберустойчивости в регионе и соблюдение международных стандартов киберправа путем:

• переориентации усилий Австралии по киберсотрудничеству в Индо-Тихоокеанском регионе для поддержки устойчивой киберустойчивости и технологической безопасности;
• улучшение положения региональных правительств для предотвращения киберинцидентов;
• разработки пилотных программ масштабной защиты Азиатско-Тихоокеанского региона путем партнерства с региональными соседями страны на государственном и частом уровне для использования отраслевых решений для защиты большего числа людей, систем и данных от киберугроз;
• разработки международных стандартов, направленных на защиту новых технологий, интернета и цифровой экономики;
• работа с международными партнерами для сдерживания и реагирования на злонамеренную кибердеятельность.

Реализация Стратегии будет осуществляться в три этапа в течение следующих 7 лет:

Горизонт 1 (2023-2025 гг.): укрепление кибероснов Австралии путем устранения критических пробелов в австралийских «киберщитах», создания эффективной защиты для наиболее уязвимых граждан и предприятий Австралии, поддержка первоначального уровня киберзрелости по всей стране.

Горизонт 2 (2026-2028 гг.): повышение киберзрелости австралийской экономики за счет дальнейших инвестиций в  экосистему и продолжения расширения австралийской кибериндустрии и роста разнообразной кибер рабочей силы.

Горизонт 3 (2029-2030 годы): продвижение «глобального рубежа» кибербезопасности.

Чтобы гарантировать, что действия правительства остаются целенаправленными и соответствующими поставленной цели, правительство будет каждые два года публиковать обновленный План действий о том, как Горизонты будут реализованы в условиях постоянно меняющейся картины киберугроз.

После запуска Стратегии правительство начнет серию консультаций для совместной разработки конкретных инициатив с промышленностью. Правительство также создаст Исполнительный совет по кибербезопасности, в который войдут руководители различных отраслей, и обеспечит более широкое сотрудничество по национальным приоритетам кибербезопасности. На реализацию Стратегии выделено 586,9 млн австр. долл., что является дополнением к инвестициям в размере 2,3 млрд долларов, выделенных ранее в рамках других проектов кибербезопасности.

Великобритания и США подготовили новые принципы безопасной разработки ИИ

Новые рекомендации по разработке безопасных систем ИИ помогут разработчикам любых систем, использующих ИИ, принимать обоснованные решения по кибербезопасности на каждом этапе процесса создания.

«Руководство по безопасной разработке систем искусственного интеллекта» было разработано Национальным центром кибербезопасности Великобритании (NCSC), входящим в состав Центра правительственной связи (GCHQ), и Агентством кибербезопасности и безопасности инфраструктуры США (CISA) в сотрудничестве с отраслевыми и международными экспертами и агентствами, включая представителей всех членов стран «Большой семерки» и стран Глобального Юга.

Эти рекомендации направлены на повышение уровня кибербезопасности искусственного интеллекта и помогают обеспечить его безопасное проектирование, разработку и развертывание. Правила помогут разработчикам любых систем, использующих ИИ, принимать обоснованные решения по кибербезопасности на каждом этапе процесса разработки — независимо от того, были ли эти системы созданы с нуля или построены на основе инструментов и услуг, предоставляемых другими.

Руководство поможет разработчикам гарантировать, что кибербезопасность ‑ не только важнейшее предварительное условие безопасности системы ИИ, но является неотъемлемой частью процесса разработки жизненного цикла изделия в соответствии с подходом «secure by design».

«Руководство» было официально представлено на мероприятии, организованном NCSC, с участием ста ключевых представителей отрасли, правительства и международных партнеров, которые обсудили проблему обеспечения безопасности ИИ. Это первый подобный документ, согласованный на глобальном уровне и принятый 18 странами мира. «Руководство по безопасной разработке систем искусственного интеллекта» было подписано представителями национальных центров кибербезопасности Австралии и Новой Зеландии, Канады, Чили, Чехии, Эстонии, Франции, Германии, Израиля, Италии, Японии, Нигерии, Норвегии, Польши, Южной Кореи, Сингапура, Великобритании и США.