Группы быстрого реагирования НАТО для борьбы с кибернападениями
Кибервойна – это война без звука, танков и самолетов. Сегодня это прибыльное, свободное от рисков, анонимное преступление. Часто бывает трудно установить источник или исполнителей нападения – и в этом состоит главная проблема. Для обеспечения большей эффективности все заинтересованные стороны должны работать вместе: НАТО, частный сектор, международные организации, научные круги. К концу 2012 г. будет достигнут оперативный потенциал групп быстрого реагирования (ГБР), состоящих из экспертов по киберзащите.
Координационный центр НАТО по реагированию на компьютерные инциденты (КЦНРКИ) – мозговой центр усилий Североатлантического союза по борьбе с киберпреступностью.
«КЦНРКИ отвечает за киберзащиту всех сайтов НАТО, будь то сайты стационарных штабов или штабов, развернутых на время проведения операций или учений»,– говорит директор Технического центра КЦНРКИ Иан Уэст.
В случае нападения на информационную систему НАТО соответствующие эксперты незамедлительно собираются и составляют план действий. Цель плана – восстановление систем, чтобы все как можно быстрее вернулось к нормальному функционированию.
Алекс Вандурме - один из таких экспертов. Он возглавляет секцию инженерно-технического обеспечения КЦНРКИ. Он имеет степень магистра информационных технологий и обладает большим опытом в области информационной безопасности. Его роль в КЦНРКИ состоит в разработке рекомендаций по безопасности и предоставлении консультаций по защите компьютеров и информационных сетей НАТО и снижению их уязвимости. Его работа заключается в анализе цифровых артефактов и сетевого трафика, связанных с инцидентом. Это означает как можно быстрее определить, действительно ли произошел инцидент и каково его воздействие, найти пути ограничения ущерба и, по возможности, установить источник нарушения системы.
«Наша главная задача напоминает защиту небоскреба. Мы должны закрыть все окна и двери, тогда как хакерам достаточно найти лишь одну незапертую, чтобы проникнуть внутрь. Мы должны учесть все, постоянно думать как они и предвидеть», – говорит Алекс Вандурме.
Более изощренные и более частые нападения
В современном мире происходит все больше кибернападений, и они становятся более изощренными. Наши взаимосвязанные общества зависят от новых технологий, что делает их более уязвимыми для нападений.
Широкое распространение получили шпионаж, уничтожение, преступления и кража военных и промышленных секретов. Нападения на организацию или страну мотивируются, разрабатываются и осуществляются организованными экспертами. Это уже совсем не те хакеры, которые совершали нападения на информационные системы ради забавы.
Нападение с использованием вируса «Стакснет», который, как сообщается, нанес значительный ущерб ядерной программе Ирана в 2010 г., стал свидетельством перехода от кибермира к физическому миру. Система водо- и электроснабжения, больницы, а также авиационная безопасность, сфера обороны и банковских услуг – все полагаются на информационные сети. Поэтому существует множество критически важных сайтов, через которые может быть нанесен вред организации или целой стране.
«Число кибернападений растет с каждым днем, будь то нападения против систем НАТО или против жизненно важных систем наших государств-членов. НАТО должна быть способна оказывать содействие в сфере киберзащиты своим членам, чтобы помочь им защищаться от таких нападений, обнаруживать их, а если они происходят – быстро реагировать, чтобы снизить ущерб», – говорит заместитель помощника генерального секретаря НАТО по новым вызовам безопасности Джейми Шеа.
Группы быстрого реагирования достигнут оперативного потенциала к концу 2012 г.
В этой связи в 2011 г. НАТО начала формулировать концепцию групп быстрого реагирования. «Эти эксперты по киберзащите отвечают за оказание содействия государствам-членам, которые обращаются за помощью в случае нападения национального уровня», – объясняет Алекс Вандурме. Создание этих групп стало результатом политики киберзащиты НАТО, которая была пересмотрена министрами обороны в июне 2011 г. В будущем дополнительные усилия будут направлены на предотвращение рисков и укрепление устойчивости.
«Тип кибернападений, который имел место в Эстонии и Грузии, станет наиболее распространенным в будущем. Сочетание протеста или традиционной войны и кибернетическая составляющая», – продолжает Алекс Вандурме. Поэтому группы быстрого реагирования должны быть готовы действовать, когда поступит запрос на оказание содействия. Они должны достичь оперативного потенциала к концу 2012 г.
На настоящий момент уже предпринят ряд шагов, и КЦНРКИ должен достичь полного оперативного потенциала в начале 2013 г. Были определены все технические требования и объявлен тендер. Разрабатываются механизмы сотрудничества для участия экспертов, между которыми установлено взаимное доверие и которые представляют отдельные страны, промышленные и научные круги, а также НАТО. Эти механизмы в результате откроют доступ к специальным знаниям во всех областях кибербезопасности. Кроме этого определяется профиль экспертов, которые будут участвовать в миссиях по оказанию содействия, с указанием сферы их компетенции.
«Все процедуры ГБР и возможные действия будут определены в руководстве, работа над которым будет завершена к лету 2012 года, – говорит Алекс Вандурме. – В этом руководстве также определены указания по реагированию НАТО на запросы стран НАТО и партнеров о предоставлении содействия для защиты их информационных систем и систем связи».
Для работы над этим руководством была создана специальная группа. В ее состав вошли специалисты из стран Североатлантического союза, в том числе эксперты по гражданскому чрезвычайному планированию.
«При помощи ГБР НАТО сможет по запросу предложить профессиональное и хорошо организованное содействие государствам-членам и государствам-партнерам, но в первую очередь тем странам, которые пока не имеют ресурсов для создания средств киберзащиты такого рода. Это вариант военного принципа взаимной помощи и коллективной обороны», – продолжает Алекс Вандурме.
Профиль групп быстрого реагирования, их подготовка и оснащение
ГБР будут состоять из шести основных профильных специалистов, способных координировать и осуществлять миссии. В определенных областях будут использоваться национальные эксперты и эксперты НАТО. Их количество и профиль будут определяться в зависимости от предстоящей миссии.
Группы быстрого реагирования будут иметь все необходимое оснащение: компьютерное и телекоммуникационное оборудование, такое как, например, спутниковые телефоны и оборудование для сбора цифровых улик, криптографии, компьютерной технической экспертизы, управления уязвимости, безопасности сетей и т.д.
«Все эти эксперты будут обучены процедурам НАТО и обращению с оборудованием, – говорит Алекс Вандурме. – Кроме этого они примут участие в учении “Сайбер коалишн”, которое мы проводим ежегодно в ноябре».
Введение в действие группы быстрого реагирования
Любая страна НАТО, подвергшаяся серьезному кибернападению, сможет обратиться к НАТО за помощью. Запрос будет рассмотрен Советом управления киберзащитой. Запросы о помощи от не входящих в НАТО стран должны утверждаться Североатлантическим советом.
«В ходе учения “Сайбер коалишн” мы отрабатывали механизмы консультаций и принятия решений для ГБР на уровне Совета управления киберзащитой. Мы использовали обобщенный опыт учения для совершенствования наших процедур. В ноябре 2021 года мы перейдем ко второму этапу – испытанию стадии вмешательства ГБР и, в частности, применимости руководства, которое только что было подготовлено».
После введения в действие ГБР будут готовы к реагированию в течение 24 часов со времени инцидента.
«Мне нравится эта работа. Она интересна и разнообразна, – говорит в заключение Алекс Вандурме. – Ни одна минута не похожа на другую. Это битва экспертов. Большая честь создавать что-то с нуля – от политических устремлений до практического воплощения».