The National Strategy to Secure Cyberspace The National Strategy to Secure Cyberspace is part of our overall effort to protect the Nation. It is an implementing component of the National Strategy for Homeland Security and is complemented by a National Strategy for the Physical Protection of Critical Infrastructures and Key Assets. The purpose of this document is to engage and empower Americans to secure the portions of cyberspace that they own, operate, control, or with which they interact. Securing cyberspace is a difficult strategic challenge that requires coordinated and focused effort from our entire society, the federal government, state and local governments, the private sector, and the American people. Национальная Стратегия защиты киберпространства.Национальная Стратегия защиты киберпространства - часть нашего полного усилия, чтобы защитить Нацию. Это - компонент осуществления Национальной Стратегии для Безопасности Родины и он дополнен Национальной Стратегией для Физической Защиты Критических Инфраструктур и Ключевых Активов. Цель этого документа состоит в том, чтобы нанять и уполномочить американцев, чтобы они охраняли части киберпространства, которые они имеют, используют, управляют, или с которым они взаимодействуют. Обеспечение киберпространства - трудный стратегический вызов, который требует скоординированного и сосредоточенного усилия от нашего всего общества, федерального правительства, государства и местных органов власти, частного сектора, и американских людей. Table of Contents (Оглавление):- Letter from the President (Письмо от президента)- ^ Executive Summary (Сообщение исполнителеной власти)- Introduction (Представление)- Cyberspace Threats and Vulnerabilities: A Case for Action (Угрозы и уязвимость киберпространства: Случай для действия) - ^ National Policy and Guiding Principles (Национальная политика и руководящие принципы) Эта секция описывает национальную политику, которая формирует национальную стратегию защиты киберпространства и основные структуры принципов, в пределах которых это было развито. Здесь также выделяются роли и миссии федеральных агентств.Цели национальной стратегии защиты киберпространства: 1) предотвращение кибер-нападений против критических инфраструктур; 2) уменьшение национальной уязвимости в кибер-атаках; 3) минимизация ущерба и времени восстановления от кибре-нападений, которые действительно происходят.- Priority I: A National Cyberspace Security Response System (Приоритет I: Национальная система ответа безопасности киберпространства) - Priority II: A National Cyberspace Security Threat and Vulnerability Reduction Program (Приоритет II: Национальная программа сокращения угрозы и уязвимости безопасности киберпространства) - Priority III: A National Cyberspace Security Awareness and Training Program (Приоритет III: Национальная программа обучения и понимания безопасности киберпространства) - Priority IV: Securing Governments. Cyberspace Priority (Приоритет IV: Защита правительства. Приоритет киберпространства) - V: National Security and International Cyberspace Security Cooperation (V: Национальная безопасность и международное сотрудничество по защите киберпространства) - Conclusion: The Way Forward (Заключение: Путь вперед) The National Strategy to Secure Cyberspace identifies five national priorities that will help us achieve this ambitious goal. These are: (1) a national cyberspace security response system; (2) a national cyberspace security threat and vulnerability reduction program; (3) a national cyberspace security awareness and training program; (4) securing governments’ cyberspace; and, (5) national security and international cyberspace security cooperation. These five priorities will serve to prevent, deter, and protect against attacks. In addition, they also create a process for minimizing the damage and recovering from attacks that do occur.- Appendix: Actions and Recommendations Summary (Приложение: Действия и рекомендации) Деятельность американской администрации в области защиты критической инфраструктуры берет свое начало с формирования ^ Президентской комиссии по защите критической инфраструктуры (President’s Commission for Critical Infrastructure Protection) в 1996 году. Отчетный доклад этой комиссии выявил уязвимости национальной безопасности США в информационной сфере. Итоги работы комиссии были положены в основу правительственной политики в области обеспечения информационной безопасности критической инфраструктуры, сформулированной в Директиве президента № 63, подписанной в июне 1998 года (PDD-63).Во исполнение указаний президента, обозначенных в этой директиве, был разработан ^ Национальный план защиты информационных систем США, подписанный президентом 7 января, 2000 года. На реализацию этого плана было затребовано 2.03 миллиарда долларов из федерального бюджета. В феврале 2001 года Конгрессу США был представлен отчет о ходе реализации PDD-63. Одной из наиболее важных выполненных Министерством обороны США работ в этом направлении, является существенное продвижение по пути совершенствования приемов и методов работы с доказательствами компьютерных преступлений, что имеет большое значение при проведении расследований любых инцидентов, связанных с применением вычислительной техники. Так 24 сентября 1999 года была открыта Компьютерная судебная лаборатория Министерства обороны (Defense Computer Forensics Laboratory, DCFL). Это – одна из наиболее современных структур, предназначенная для обработки компьютерных доказательств в преступлениях и мошенничествах, а также при проведении контрразведывательных мероприятий для всех организаций, проводящих криминальные и контрразведывательные исследования. Управление специальных исследований Военно-воздушных сил США определено в качестве Исполнительного агентства для DCFL. В настоящее время DCFL имеет 42 позиции для исследователей и судебных приставов, позволяющие обрабатывать компьютерные доказательства наряду со звуковой и видео информацией в судебных делах в самом широком диапазоне: от детской порнографии до вторжений в компьютеры и шпионажа. Эта лаборатория министерства обеспечивает поддержку ФБР по вопросам расследования компьютерных преступлений. Специалисты DCFL уже накопили определенный потенциал и навык работы с инструментальными средствами анализа информации в ходе ряда успешных мероприятий по идентификации групп хакеров, а также при нейтрализации уязвимости в нескольких контрразведывательных операциях, связанных с деятельностью по защите национальных сети ЭВМ. Среди последних - такие нашумевшие мероприятия как "Солнечный восход", "Цифровой демон" и "Лабиринт лунного света" ("Solar Sunrise", "Digital Demon", "Moonlight Maze"). С целью улучшения способности активно защищать информационные системы и компьютеры была создана ^ Объединенная оперативная группа по защите компьютерной сети Министерства обороны (Joint Task Force for Computer Network Defense, JTF-CND), а главнокомандующий космического командования принял полную ответственность за защиту сетей ЭВМ министерства c 1 октября 1999 года. АРГУМЕНТЫ: 1) как отмечают авторы отчета, в ходе инцидента c вирусом "Мелисса" в марте 2000 года, JTF-CND, совместно с Группой реагирования на чрезвычайные ситуации с вычислительной техникой Министерства обороны (Computer Emergency Response Team, CERT), оказалась способной быстро оценить угрозу, сформировать оборонительную стратегию и направить ход соответствующих оборонительных действий; 2) в мае 2000 года, в ходе эпидемии компьютерного вируса "LOVELETTER" был продемонстрирован еще один пример четких действий JTF-CND. Персонал JTF быстро идентифицировал потенциальное повреждение и обеспечил своевременное уведомление подразделений, служб и агентств министерства, которые позволили им эффективно ответить на вторжение. С 2000 года Министерством обороны начата работа с союзниками по вопросу обеспечения информационной безопасности: Канада имеет официального представителя, работающего в JTF-CND, развивается система разделения информации между Министерствами обороны в соответствии с основными положениями Меморандума о понимании и Концепции действий подписанными с канадской стороной. Проведены работы по созданию системы сигнализации при обнаружении уязвимости информационной безопасности (Information Assurance Vulnerability Alert, IAVA) для распределения информации об уязвимости всем подразделениям и службам Минобороны. В 1999 году этой службой было подготовлено и выпущено 11 предупреждений (IAVT), 3 бюллетеня (IAVBs) и 20 технических консультаций. В 2000 году были выпущены 3 предупреждения, 3 бюллетеня и 9 технических консультаций. Агентство информационных систем Минобороны (Defense Information System Agency, DISA) сформировало банк данных, для немедленного распределения информации об уязвимости каждому администратору системы вместе с краткой информацией о возможных ответных действиях по локализации последствий. Безусловно, за 2000 год американскими коллегами проделана большая работа. Однако следует задуматься, а насколько она оказалась эффективной? Информация, доступная по каналам Интерент, позволяет сделать вывод: 1) Уровень информационной безопасности систем Минобороны США, не смотря на реализованные мероприятия, увеличился незначительно. Атаки китайских хакеров на системы Минобороны в период кризиса, вызванного инцидентом с разведывательным самолетом Е-3, оказались достаточно эффективными. 2) Согласно ряду заявлений сотрудников администрации США, созданная национальная система информационной безопасности, оказалась слишком тяжеловесной и неповоротливой. В ряде случаев процесс доведения информации тормозился в силу бюрократических проволочек, что приводило к неприятным последствиям. 3) Во многих случаях при появлении нового вида компьютерных вирусов противоядие не было своевременно найдено ни сотрудниками CERT, ни JTF-CND. Существенным препятствием в достижении поставленных целей остается нехватка квалифицированного персонала для работы в сфере обеспечения информационной безопасности, о чем свидетельствуют попытки привлечения студентов-компьютерщиков на работу в федеральные ведомства по контрактам в обмен на оплату их обучения в институтах. ^ 1) В сентябре 2002 года в США был опубликован документ «National Strategy to Secure Cyberspace», содержащий рекомендации по защите национальной информационной инфраструктуры, в котором говориться следующее: «Когда нация, террористическая группа или другой противник нападают на Соединенные Штаты в киберпространстве, ответ США не будет ограничиваться судебным преследованием или средствами ведения информационной войны. Когда жизненным интересам США угрожает нападение в киберпространстве, США оставляют за собой право ответить соответствующим образом, также, как это было бы с любым другим видом агрессии.» В тексте документа Информационные и инфо-коммуникационные технологии занимают первые строчки в списке критических инфраструктур. По мнению Кларка две вещи в ближайшем будущем очевидны: 1) Америка будет становиться киберстраной; 2) федеральное правительство США будет стремиться найти партнеров для развития стратеги кибербезопасности. Уже к разработке проекта привлекались очень большие группы экспертов. Проект был разработан в тесном сотрудничестве с экспертами из ключевых секторов экономики, которые связаны с информационными технологиями. Так же участвовали представители государства и местных органов власти, колледжи и университеты, и заинтересованные организации. Основной вопрос, который подчеркивается в приглашении к обсуждению ПАРТНЕРСТВО. Успех стратегии может быть обеспечен только уникальным партнерством, государства общества и коммерческих организаций, потому что большинство кибер-ресурсов страны управляется не правительством. Следует отметить, что в документе «National Strategy to Secure Cyberspace» термин «кибервойна» нигде прямо не используется, тем не менее, в часто цитируемом обзоре «Кибервойна 2001» и в других получивших признание статьях на сайтах ему не только отдается предпочтение, но и дается трактовка в смысле «информационной войны». Отчасти это объясняется тем, что в нем: нигде не определяется, что фактически составляет суть кибератаки... возможно разработчики документа чувствовали, что проблема общеизвестна и может быть эффективно определена с помощью иллюстративных материалов,... однако в отсутствии формального определения возникает опасность дрейфа этого термина в темные и несвязанные с ним области. Опасения очевидны, поскольку при отсутствии четкого определения возникает реальная опасность получить в ответ не аналогичную «информационную операцию», а самую настоящую войну, «как это было бы с любым другим видом агрессии». Согласно доктрине Национальной информационной безопасности информационные ресурсы и сети США находятся под угрозой нападения со стороны противника, который может быть неизвестен, может быть одиночкой, не имеет определенного географического расположения, использует для атаки те же самые коммуникации и ресурсы, которые правительство США обязано защищать. Билл Клинтон заботился о компьютерной безопасности и готовился к ведению войн в виртуальной реальности. Но террористическая атака на Америку показала, что современная «горячая» война базируется на тех же основах.2) Американская администрация приняла два новых директивных документа в интересах внутренней безопасности - ^ Национальную стратегию кибернетической безопасности (The National Strategy to Secure Cyberspace) и Национальную стратегию физической защиты критической инфраструктуры (76 страниц) (The National Strategy for The Physical Protection of Critical Infrastructures and Key Assets). А вновь созданное Министерство внутренней безопасности (МВБ) США (Homeland Security Department) с 1 марта приступило к работе. Строго говоря, МВБ создано не только для защиты сетей. В "Патриотическом акте" (Patriot Act) критическая инфраструктура определена как "совокупность физических или виртуальных систем и средств, важных для США в такой мере, что их выход из строя или уничтожение могут привести к губительным последствиям в области обороны, экономики, здравоохранения и безопасности нации". Это национальная оборона, сельское хозяйство (2 миллиона ферм), производство пищевых продуктов (87 тысяч заводов), гражданская авиация (5000 аэропортов), морской транспорт (300 портов), автомобильные дороги и мосты (590 тысяч), трубопроводы (2 миллиона миль), водоснабжение (3400 резервуаров), здравоохранение (5800 госпиталей), службы экстренной помощи (87 тысяч бригад), органы управления (правительство), военное производство (250 тысяч фирм), информационные и телекоммуникационные системы и сети (2 миллиарда миль кабелей), энергетика (2800 электростанций), транспорт, банковская и финансовая системы (26 600 отделений), химическая промышленность (66 тысяч заводов), почтовая служба (137 миллионов отделений), высотные здания (460). При этом обеспечение безопасности только 5 (экстренная помощь населению, ИТС, органы управления, транспорт, почтовая служба) из 13 перечисленных выше ключевых областей возлагается непосредственно на МВБ. 85% объектов критической инфраструктуры принадлежит частным предпринимателям. «Президент верит, что обеспечение кибербезопасности возможно лишь при тесном взаимодействии и согласованности действий федеральных структур и частного сектора», - рассказал IDG News Service Дуглас Гудалл, президент и исполнительный директор компании по интернет-безопасности RedSiren. – Частные компании должны стать образцовой моделью по кибербезопасности и восполнить те пробелы, которые допустило государство». ФБР также выступило с заявлением, в котором призвала частные компании и разработчиков ПО к активному сотрудничеству по обеспечению безопасности. «Сеть едина и уязвима. Угроза ее безопасности реально существует и это серьезная проблема. Обеспечение ее безопасности - долг и обязанность каждой компании», - говорит в интервью IDG News Service Марио Корреа, директор подразделения компьютерной и интернет безопасности Союза разработчиков делового ПО (Business Software Alliance). Согласно National Strategy to Secure Cyberspace правительство США будет выделять из федерального бюджета средства на разработку программ по обеспечению безопасности компьютерных сетей. Кроме того, по сообщению Reuters, правительство намерено провести рекламную агит-компанию среди обычных интернет-пользователей с призывом своевременно использовать и обновлять на своих ПК антивирусные программы.3) Поскольку мировая информационная паутина на самом деле является американской, этот документ будет определять всю Интернет-жизнь. Вопросы создания крупномасштабной системы предупреждения кибератак хакеров и борьбы с массовыми эпидемиями компьютерных вирусов постоянно обсуждаются, как в средствах массовой информации, так и в Интернете. ^ Home-Based Cybersecurity Defense:По инициативе президента Америки Дж. Буша в рамках программы "National Strategy to Secure Cyberspace" началась кампания по обучению населения элементам компьютерной безопасности "Home-Based Cybersecurity Defense". В рамках этой программы планируются многочисленные контакты с рядовыми пользователями с целью убедить их устанавливать хоть какие-нибудь средства защиты на своем компьютере, что, безопасность всей Америки зависит от каждого рядового пользователя, а индивидуальная система защиты каждого компьютера входит в глобальную американскую Интернет-защиту страны. Аналитики считают, что это - в том числе и попытка несколько отвлечь население от темы войны с международным терроризмом, которую уже более года без особого успеха ведет страна, и кризиса в американской экономике. Администрация президента США Джорджа Буша в скором времени предложит новую схему слежения в Интернет и потребует помощь со стороны провайдеров - для построения систем, занимающихся мониторингом Всемирной Сети и отслеживающих её пользователей.Новые требования - одна из частей программы Национальной Стратегии Обеспечения Безопасности в Киберпространстве (The National Strategy to Secure Cyberspace). Согласно предварительным данным, президент Буш хочет иметь в своём распоряжении "центр раннего реагирования", который будет способен отслеживать любой аспект активности Всемирной Сети на территории США. 4) Еще одно важное положение нового закона - правительственное утверждение требований National Information Assurance Partnership (NIAP, гарантированное партнерство в области национальной информации), что в свою очередь предполагает унифицированную проверку ПО на наличие уязвимостей в защите по правилам Common Criteria (Общий критерий). В частности, Министерство обороны США уже приняло решение о покупке ПО, только прошедшего сертификацию в NIAP (т.е. NIAP - сертифицирующий орган, а Common Criteria - правила сертификации).