Бывшие главы ведущих правительственных агентств по кибербезопасности США и Великобритании призвали к пересмотру соглашений об именах субъектов угроз. Тема «кибератрибуции» стала причиной длительных дебатов в ИБ-сфере.
В публикации на сайте Just Security Киран Мартин, первый директор Национального агентства по кибербезопасности Великобритании (NCSC), и Джен Истерли, прошлый директор Агентства по кибербезопасности и безопасности инфраструктуры (CISA), призвали частных и государственных заинтересованных лиц прекратить использовать «гламурные» названия для киберпреступников и госхакеров.
В посте Мартин и Истерли утверждали, что текущий подход к обозначению субъектов угроз имеет пагубные последствия. Отсутствие стандартизированной таксономии, которая бы обеспечивала глобальное согласование и взаимодействие, в конечном итоге может «затянуть оборону и создать хаос в центрах безопасности, группах реагирования на инциденты и руководстве». Актуальная система наименований скрывает истинную личность хакеров, поэтому трудно понять, кто стоит за атаками, и есть риск возникновения путаницы из-за похожих по звучанию названий (например, Salt Typhoon и Volt Typhoon).
Кроме того, по мнению ИБ-экспертов, использование кодовых имён, таких как Fancy Bear или тот же Volt Typhoon, вводит общественность в заблуждение, затрудняя для неё понимание реальной угрозы. Происходит приукрашивание противников, которых изображают как мультяшных злодеев или мифических существ, а не как опасных злоумышленников. Такая практика может преуменьшить серьёзность угрозы и причинённый вред. Плюс, текущие соглашения об именах служат больше маркетинговым целям, а не миссии кибербезопасности, делая их частью идентичности бренда для фирмы, которая их придумала.
В начале июня 2025 года компании Microsoft и CrowdStrike решили согласовать категоризацию субъектов киберугроз с участием Mandiant из Google Cloud и подразделения 42 Palo Alto Networks. Бывшие главы национальных киберагентств описали это намерение как «значимый жест» и «важный и позитивный шаг». Они уже устранили противоречия в отношении более чем 80 групп противников, что оценивается как заметное достижение.
Однако Мартин и Истерли предлагают пойти дальше. Полезное начинание в конечном итоге потерпит неудачу, если всё ограничится перекрёстными ссылками на фирменные имена вместо «фундаментального реформирования того, как мы маркируем и идентифицируем противников в киберпространстве», считают они.
Бывшие руководители ведомств призвали правительства работать с частным сектором для создания универсальной, нейтральной по отношению к поставщикам системы обозначения хак-групп, которая избегает их гламуризации — например, путём использования названий стран вместо названий животных или мифических зверей, связанных с этими странами. Они также настоятельно порекомендовали органам власти и правоохранителям продвигать эти стандартизированные имена при публичном указании кибератак.
Усам Оздемиров
