ВАШИНГТОН, ОКРУГ КОЛУМБИЯ — Если бы вы спросили меня о «киберустойчивости» полгода назад, я бы поинтересовался, а существует ли вообще такое слово. Сегодня, устойчивость у всех на устах и в городе, и в индустрии, которая живет за счет таких словес. Все пошло от военных, которые подразумевают под этим термином способность сохранять боеспособность, терпя потери.
Я впервые столкнулся с этим понятием на сентябрьском саммите кибербезопасности в Биллингтоне. Была такая в понедельник тема круглого стола, в котором приняли участие высокопоставленные действующие и бывшие военные и служащие АНБ из Марк-центра Министерства обороны. После посещения Форума государственной кибербезопасности «Лаборатории Касперского» во вторник стало ясно, что киберустойчивость, как четко заявил генеральный менеджер и президент департамента решений правительственной безопасности «Лаборатории Касперского» Адам Файрстоун, — это будущее.
Светило безопасности и координатор кибербезопасности нескольких президентских администраций Говард Шмидт объяснил, что киберустойчивость подразумевает наличие плана на случай непредвиденных обстоятельств, с четким пониманием того, как реагировать и подобающе действовать, когда случается беда. Тем не менее, устойчивость не означает соответствие стандартам. При этом, по словам Шмидта, такое соответствие само по себе не может являться ни средством, ни целью. Оно нас не спасет. Организации не должны считать себя в безопасности только потому, что они соответствуют стандартам. Безопасность и устойчивость – единственный необходимый результат, сказал Шмидт.
«Устойчивость»: новое слово в Вашингтоне, или восходящий вектор #безопасности
Tweet
Одно дело выставлять напоказ военных и правительственных чиновников с руководителями частных компаний, помогая им нащупывать излюбленные темы бесед, в которых они убеждают нас делать системы устойчивее. Мы все знаем, что такое устойчивость. Однако, а с технической точки зрения, что нужно для устойчивости на сетевом уровне?
Согласно Файрстоуну и плеяде ораторов на вторничном мероприятии, устойчивость достигается за счет выстраивания безопасности вглубь, а не выпячиванием ее вовне. Возможно, говоря попросту, плачевное состояние безопасности, в котором мы сейчас пребываем, является результатом защиты, идущей сверху вниз. Безопасность сверху вниз означает, что вы что-то исправляете, когда оно ломается. Или, если вы счастливчик, ставите новый замок на дверь после того, как вломятся к соседям.
Другими словами, утверждал Файрстоун, существующая практика по сути своей реактивна, а реактивность никогда не выведет организацию из-под угроз.
Конечно, это отсталый подход. Безопасность должна идти снизу вверх. Разработчики должны думать и практиковать безопасное кодирование. И дело не в одних лишь разработчиках, как отметил в своем дневном докладе Джоэл Бреннер, бывший глава американской контрразведки и заместитель директора национального разведывательного агентства. Отдел кадров, юрисконсульт, связи с общественностью, маркетинг, финансы, руководители, каждый человек в компании должен осознавать свою важность и совокупную долю ответственности за безопасность.
Карен С. Уильямс, национальный директор US Cyber Challenge, выразилась следующим образом: ИТ-директора должны быть в состоянии объяснить основы безопасности своим коллегам менеджерского уровня.
Каждый должен думать о безопасности, как это ни парадоксально, и в то же время понимать, что системы будут взламывать, потому что безопасность отличается от любой другой области, в ней подразумевается возможный выход из строя.
Вот, что значит снизу вверх. Тем не менее, неудачи должны иметь частный, а не тотальный или системный характер. Файрстоун объяснил, что идея претерпевания несущественного ущерба при сохранении поступательного движения не нова. На самом деле, сказал он, это всего лишь экстраполяция векового принципа, известного как «всё или ничего». «Всё или ничего» стала основной идеей для постройки пары линкоров класса «Пенсильвания» в Первую мировую войну, которые имели самую тяжелую броню в большинстве критических мест корабля, и броню потоньше в тех частях, которым можно было позволить получить повреждения.
Соответствие стандартам безопасности – это ни средство, ни цель.
Tweet
«Устойчивые системы должны справляться как со скоординированными атаками извне, так и с угрозами изнутри«, — сказал Файрстоун.
Бреннер вывел устойчивость на конкретный уровень. Промышленные системы управления, он сказал, должны создаваться для того, чтобы хорошо делать что-то одно. Киберустойчивость означает обладание самым надежным «планом Б», а не самым современным.
«Подключение [энергетической] сети к интернету, возможно, принесло свою пользу, но было безрассудством, — подчеркнул Бреннер. — Устойчивость подразумевает держание веника и совка наготове на случай, когда вся чудесная система полетит«.
Автор текста — Брайан Донохью.