Кибернаёмники всё чаще работают в «серой зоне» между корпоративной кибербезопасностью и наступательными кибероперациями и не стремятся к публичности. На этом фоне национальные регуляторы стоят на страже интересов государства, бизнеса и инвесторов и ужесточают требования по кибербезопасности для легальных компаний.
NIST: КОНЦЕПЦИЯ КИБЕРБЕЗОПАСНОСТИ 2.0
В конце февраля 2024 г. Национальный институт стандартов и технологий США (NIST) опубликовал Концепцию кибербезопасности 2.0. Первая версия NIST Cybersecurity Framework (CSF) была издана в 2014 г. и обновлена в 2018 г.
NIST CSF «предлагает таксономию результатов кибербезопасности высокого уровня, которые могут использоваться любой организацией (независимо от её размера, сектора или зрелости), чтобы лучше понимать, оценивать, расставлять приоритеты и сообщать о своих усилиях по кибербезопасности».
Во всём мире компании, отрасли и государственные организации всё чаще полагаются на Концепцию кибербезопасности, разработанную NIST. Теперь NIST предложил потенциально важные обновления, в том числе «расширенное применение». Хотя первоначально CSF была разработана для устранения рисков кибербезопасности критической инфраструктуры, она стала широко применяться на практике, в том числе на международном уровне. CSF 2.0 принимает этот факт и признаёт, что Концепция «предназначена для использования организациями всех размеров и секторов, включая госсектор, промышленность, научные круги и некоммерческие организации, независимо от уровня зрелости их программ кибербезопасности».
Появилась и новая функция — «управление», дополнившая пять исходных функций CSF — выявление, защиту, обнаружение, реагирование и восстановление. Новая функция позволяет следить за тем, установлены ли, доводятся ли до сведения и отслеживаются ли «стратегия, ожидания и политика управления рисками кибербезопасности организации». В частности, функция управления «направлена на понимание организационного контекста; разработку стратегии кибербезопасности и управление рисками цепочки поставок в области кибербезопасности; роли, обязанности и полномочий; политику и надзор за стратегией кибербезопасности», говорится в Концепции.
По мнению NIST, «компонент управления подчёркивает, что кибербезопасность является основным источником корпоративных рисков, что должно учитываться менеджментом компаний наряду с другими показателями, такими как финансы и репутация».
Повышенное внимание к управлению рисками кибербезопасности в цепочке поставок («C-SCRM»). В рамках CSF 2.0 функция «Управление» включает категорию C-SCRM, которая расширяет аналогичную категорию, ранее описанную в функции идентификации CSF 1.1 (ID.SC). В новой интерпретации C-SCRM — систематический процесс управления рисками кибербезопасности на всём протяжении цепочки поставок с участием всех заинтересованных сторон. Например, некоторые из подкатегорий C-SCRM затрагивают вопросы интеграции C-SCRM в процессы кибербезопасности и управления рисками организации, организации комплексных проверок для снижения рисков до начала работы с поставщиками и контроля их деятельности на протяжении всей технологической цепочки или жизненного цикла услуги среди прочих аспектов.
Новые справочные инструменты. Наряду с CSF 2.0 NIST выпустил дополнительные инструменты и ресурсы, помогающие организациям внедрить Концепцию, такие как новые примеры внедрения. В частности, опубликованы новые руководства по быстрому запуску, «предназначенные для определённых типов пользователей, таких как малые предприятия, менеджеры по корпоративным рискам и организации, стремящиеся обезопасить свои цепочки поставок».
Также NIST выпустила краткое руководство по C-SCRM, в котором описывается, как использовать CSF 2.0 для создания и эксплуатации возможностей C-SCRM. Аналогичным образом NIST опубликовал краткое руководство по управлению рисками предприятия, в котором содержится введение в «планирование и интеграцию общеорганизационного процесса интеграции информации по управлению рисками кибербезопасности».
Отдельный документ NIST — новый справочный инструмент по CSF 2.0, который позволяет пользователям изучать функции платформы и динамически связывает Концепцию с другими системами кибербезопасности, стандартами, руководящими принципами и ресурсами.
После публикации CSF 2.0 NIST заявил, что примеры реализации и информационные ссылки будут обновляться чаще, чем остальная часть ядра. Эти ресурсы будут публиковать и поддерживать в интернете.
ПРАВИЛА СКОРРЕКТИРУЮТ
В 2023 г. Комиссия по ценным бумагам и биржам США (SEC) разработала новые Правила раскрытия информации о кибербезопасности, чтобы повысить прозрачность инвесторов в отношении рисков кибербезопасности и фактических инцидентов кибербезопасности, влияющих на их инвестиции. Правила вступили в силу 18 декабря прошлого года, они применяются ко всем публичным компаниям, на которые распространяются требования к отчётности Закона о ценных бумагах от 1934 г. и охватывают определённые процессы корпоративного управления, а также саму информацию о существенных инцидентах кибербезопасности. У небольших компаний, предоставляющих отчётность, есть дополнительный льготный период для соблюдения Правил до 15 июня 2024 г., пишет американская версия Forbes.
Издание отмечает, что некоторые компании уже раскрыли информацию о киберинцидентах, в том числе Microsoft, Hewlett Packard, UnitedHealth Group, Prudential Financial, производитель одежды VF Corp и ипотечный брокер Loan Depot. Однако возникла новая проблема: ни одно из оповещений об инцидентах не соответствует новым Правилам раскрытия информации SEC.
Согласно требованиям Комиссии, владельцы предприятий обязаны раскрыть информацию в течение четырёх рабочих дней после того, как компания сочтёт киберинцидент существенным для разумного инвестора. Это могут быть несанкционированные действия и случайные происшествия, не связанные с целевой атакой. Если информационные системы компании выходят из строя из-за сбоя внутренних систем и компания считает этот инцидент существенным для разумного инвестора, поскольку, например, не может обрабатывать транзакции, организация должна раскрыть информацию в соответствии с новыми правилами. Аналогичным образом происходит раскрытие информации при кибератаках и утечках данных.
Исключением из правила четырёхдневного срока может стать инцидент, который определён Министерством юстиции США как угрожающий интересам национальной или общественной безопасности. В таком случае процесс раскрытия информации проходит через ФБР.
Forbes напоминает, что Microsoft и Hewlett Packard недавно сообщили о взломе корпоративной электронной почты и ряда служб. Компания VF Corporation уведомила регуляторов об утечке данных и отключении систем перед сезоном отпусков, что сказалось на возможности обработки заказов. Ипотечный брокер Loan Depot сообщил об утечке почти 17 млн персональных данных клиентов и отключении ряда систем. Во всех случаях инвесторы не получили достоверной информации об инцидентах кибербезопасности, существенно влияющих на бизнес владельцев. Согласно правилам SEC, компании должны дать описание существенных аспектов характера, масштабов и времени инцидента и его влияния на финансовое состояние организации.
Однако компании отделались общими словами, которые недостаточны и не соответствуют новым правилам раскрытия информации SEC, поскольку вторая часть документа требует раскрытия существенных последствий. Причём не только качественных, но и количественных, выраженных в суммах штрафов, выплат, потере выручки, влиянии на прибыль, затратах на устранение последствий, потере стоимости акций.
22 февраля медицинская страховая компания UnitedHealth Group сообщила об инциденте, который привёл к отключению систем. На следующий день после взлома агентство Moody's дало компании негативный прогноз. Позднее стало известно, что хакеры украли более 6 ТБ данных поставщиков медуслуг, страховых компаний и аптек. Однако спустя 10 дней UNH не внесла поправок в первоначальное заявление о существенных аспектах инцидента. Эксперты, опрошенные изданием, отмечают, что неопределённость в отношении того, как SEC и компании определяют существенность инцидента, позволяет руководителям уклоняться от необходимости раскрытия информации. Поэтому правила будут уточняться SEC по мере накопления практики применения, будут накладываться штрафы, которые заставят все организации разработать более структурированные процессы по всем вопросам. Институциональные инвесторы также начнут оказывать давление на советы директоров компаний, требуя подробной информации о работе и защищённости ИТ-систем.
БЕЛЬГИЯ В ТУПИКЕ
Брюссель пытается найти выход из политического тупика, связанного со схемой сертификации облачных сервисов на соответствие требованиям кибербезопасности ЕС. Бельгия предлагает отделить страновой суверенитет от функциональных требований, говорится в документе, подготовленном Национальным центром кибербезопасности страны, сообщает Euronews. Национальные правительства ЕС и Еврокомиссия ведут переговоры по этому вопросу в течение последних трёх лет.
В декабре 2019 г. Еврокомиссия обратилась к Агентству по кибербезопасности ЕС (ENISA) с просьбой подготовить добровольную схему сертификации облачных сервисов (European Cybersecurity Certification Scheme for Cloud Services, EUCS). Компании могут использовать её, чтобы продемонстрировать сертифицированные ИТ-решения, обладающие надлежащим уровнем киберзащиты, для рынка ЕС.
Схема EUCS стала предметом политических дебатов. Франция попыталась ввести в документ требования к суверенитету, направленные на исключение из сертификации по высшим параметрам безопасности компаний из стран, не входящие в ЕС. Этому предложению решительно воспротивились несколько стран ЕС и представители отрасли. Соглашение по сертификации достигнуто не было. Следующее заседание экспертной группы запланировано на март.
Бельгия, которая председательствует на встречах министров ЕС, предлагает отделить функциональные требования от требований о суверенитете. Они будут включены в схему, но с другим подходом и статусом. Предлагается сертифицировать только требования функциональной безопасности, в то время как заявления о суверенитете будут направлены в Международную компанию профильной сертификации (ICPA), и только при прохождении сертификации уровня high. Это позволило бы достичь гармонизации на уровне ЕС, сохранив при этом требования к национальному суверенитету для 27 государств — членов Евросоюза.
В документе утверждается, что предлагаемая схема сертификации EUCS позволит облачным провайдерам из стран, не входящих в ЕС, проходить сертификацию по высшим критериям соответствия и получить полный доступ к рынку ЕС. Этот статус позволит им участвовать в тендерах, где требования по сертификации на уровне high будут обязательными без ущерба для дополнительных требований к национальному суверенитету. Такой подход позволит одновременно обеспечить свободный рынок для услуг провайдеров и индивидуальный подход к различному уровню риска в зависимости от потенциальной геополитической угрозы.
Из двух других сертификатов, предложенных в 2019 г., был одобрен только один, для базовых ИТ-продуктов; ещё один — для 5G — всё ещё находится в разработке.
Статус ENISA по осуществлению надзора за исполнением правил кибербезопасности ЕС должен быть пересмотрен этим летом, напоминает Euronews. В настоящее время среди стран ЕС и промышленных компаний проводится исследование эффективности работы Агентства.
КТО СТОИТ ЗА УТЕЧКОЙ В КИТАЕ?
Массовая утечка данных из компании по кибербезопасности Shanghai Anxun Information Company (I-Soon) говорит о том, что даже китайские разведывательные органы полагаются на частных подрядчиков. 16 февраля в репозитории ПО с открытым исходным кодом GitHub появился 571 файл, содержащий хакерские эксплойты и внутренние материалы I-Soon, предлагающие заказчикам хакерские и разведывательные услуги, пишет портал South China Morning Post.
Утечка данных зажила собственной жизнью, несмотря на быстрые действия GitHub по блокированию доступа к материалам. Последствия утечки в обозримом будущем отразятся на разведывательных службах, СМИ, научных кругах и экспертах по безопасности, считают эксперты.
Стирание грани между услугами по ИБ и военными функциями — опасный прецедент нарушения границ, который создали частные компании по кибербезопасности. Их не волнуют вопросы репутации, несмотря на то что эти фирмы всё чаще называют частными военными структурами или кибернаёмниками. В отличие от легальных организаций, которые подпадают под санкции, такие компании действуют вне рамок принятых международных норм.
В качестве примера можно назвать споры вокруг шпионского ПО израильской компании NSO Group Pegasus, которое используется преступными синдикатами и авторитарными режимами для подавления инакомыслия и правозащитной активности.
Западные страны уже озаботились этической составляющей вопроса, поскольку частные компании всё чаще извлекают выгоду из расширяющегося рынка шпионских программ и кибервойн, а грань между услугами по кибербезопасности и кибернаёмничеством становится всё тоньше. Впрочем, кибернаёмники работают в «серой зоне» между корпоративной кибербезопасностью и наступательными кибероперациями и не стремятся к публичности.
Тем не менее Китай сталкивается с последствиями передачи вопросов кибербезопасности на аутсорс. Он повторяет опыт США — утечку информации из АНБ при участии Эдварда Сноудена, а также зависимость России от хакеров, проводящих операции в даркнете. Наёмники действуют в «серой киберзоне» — в шпионаже появляется новое измерение.
Китай всё чаще выступает за использование частных компаний для защиты зарубежных проектов в рамках инициативы «Пояс и путь» от криминальных и террористических угроз. Как и западные страны, Пекин на собственном опыте постигает опасности и преимущества аутсорсинга услуг по безопасности.
Кроме того, в свете продолжающихся в китайском правительстве дискуссий о расширении роли частных компаний по безопасности, защищающих интересы КНР за рубежом и в киберпространстве, последствия массовой утечки данных будут зависеть от возможностей Компартии Китая контролировать «киберпушку».
Эксперты полагают, что слишком рано делать выводы из инцидента с компанией I-Soon. За утечкой данных могла стоять фигура, подобная Сноудену, действия конкурентов или операция иностранного государства. Не исключено, что причиной слива мог стать и недовольный сотрудник компании.
Так или иначе, на фоне крестового похода Министерства госбезопасности КНР против иностранного кибершпионажа и прошлогоднего пересмотра Закона о борьбе со шпионажем, охота на автора слива будет безжалостной для устрашения его последователей, считают наблюдатели.
Анна Катанкина, по материалам иностранной прессы
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных