Как решили руководители НАТО, выделять ресурсы на кибероборону – первоочередная задача. В июле 2016 года на встрече НАТО на высшем уровне, состоявшейся в Варшаве, они приняли обязательство по кибернетической обороне и подчеркнули свою приверженность повышению и укреплению кибернетической защиты национальных сетей и инфраструктуры в приоритетном порядке.
Обязательство по кибернетической обороне было взято на фоне меняющихся по своей комплексности и воздействию кибернетических нападений. За последние несколько лет нападения на критически важные объекты энергетической инфраструктуры, телекоммуникационные компании, государственные органы и самое последнее – политические партии свидетельствуют о воздействии кибератак на общество и экономику.
На саммите НАТО в Варшаве в июле 2016 года руководители НАТО решили, что выделять ресурсы на кибероборону – первоочередная задача. © NATO
Что касается самой организации, как отмечено в Докладе генерального секретаря за 2016 год, в прошлом году число инцидентов, которыми ежемесячно приходилось заниматься сотрудникам служб кибернетической защиты самой НАТО, достигло 500, что примерно на 60% больше, чем в 2015 году.
Кибератаки подрывают доверие к кибернетическому пространству, а это принципиально важно, с учетом нашей зависимости от подключенных друг к другу технологий, не только с точки зрения поддержания связи, но и с точки зрения нашего будущего экономического роста и социальной модели.
Как наиболее эффективно распределить ресурсы?
Североатлантический союз признал на самых высших уровнях, что для решения этих проблем необходимо выделять ресурсы на передовые средства и учебно-образовательную подготовку.
Чтобы добиться этого, ответственным руководителям в столицах стран нужно будет найти ответы на ряд важных вопросов. Среди них: как много нам надо расходовать? Каков минимальный уровень инвестиций? На что нужно расходовать эти средства, чтобы добиться базового уровня кибернетической безопасности, особенно с учетом динамичного характера картины угроз?
Как свидетельствует информация, находящаяся в открытом доступе, некоторые страны НАТО уже продвинулись вперед с ответами на эти вопросы. Например, во французском Pacte Défense Cyber 2014 года было предусмотрено выделить 1 млрд. евро на цели киберобороны, а в 2016 году Соединенное Королевство объявило об инвестиции объемом 1,9 млрд. фунтов стерлингов в национальную программу кибернетической безопасности.
Расходовать средства на оборону – сложный вопрос, который не решить с помощью простого анализа затрат и выгоды. Однако стоит помнить о том, что расходы, связанные с кибербезопасностью, а также с отсутствием таковой могут быть значительными. Например, согласно исследованию, проведенному в 2015 году Атлантическим советом и Дэнверским университетом, при наихудшем сценарии к 2030 году из-за расходов в связи с отсутствием кибербезопасности мировой валовый внутренний продукт может лишиться 90 триллионов долларов США. Еще тревожнее то, что, как показывает исследование, в будущем расходы в связи с отсутствием кибербезопасности могут перевесить те преимущества, которые открывает кибернетическое пространство. Так что указанные выше расходы кажутся небольшими по сравнению с потенциальными общими расходами, вызванными отсутствием безопасности.
На что можно расходовать средства из бюджета киберобороны?
Прежде чем ответить на этот вопрос, стоит отметить ряд факторов.
Во-первых, расходы стран на кибероборону могут быть от части обусловлены их зависимостью от защищенного и беспрепятственного доступа к кибернетическому пространству и подверженности кибернетическим опасностям. Только если какая-либо страна не пользуется информационно-коммуникационной технологией, можно утверждать, что нет необходимости тратить средства. Более того, динамичный характер картины угроз и специфика подверженности киберриску в любой ситуации – эксперты называют это «поверхность атаки» – усложняют решение о расходах. Это указывает на то, что к кибернетической защите надо подходить на основе оценки риска и управления риском, с тем чтобы ресурсы можно было выделять в приоритетном порядке на те угрозы, которые рискуют причинить самый большой ущерб.
Во-вторых, с теоретической точки зрения, определенный объем бюджета, предназначенного для киберобороны, может обеспечить иные дополнительные средства защиты. Бюджет на брандмауэр или подготовку пользователей помогает защищаться от целого ряда кибератак, в том числе тех, которые совершаются с целью хищения денег или срыва работы инфраструктуры. Речь идет о том, что потратив небольшие средства на киберзащиту, можно многого добиться.
За последние несколько лет нападения на критически важные объекты энергетической инфраструктуры, телекоммуникационные компании, государственные органы и самое последнее – политические партии свидетельствуют о воздействии кибератак на общество и экономику.
Наконец, тот, кто составляет бюджет для киберобороны, должен понимать, что эффективная кибероборона зависит не только от нужной технологии, но и от нужных людей, имеющих должный уровень подготовки, и от проведения должной политики. В общем, в отличие от закупок традиционных видов оборонных средств, где упор делается на материальные средства, эффективность кибернетической защиты может зависеть в большей мере от обмена информацией, сотрудничества и координации, то есть, от нематериальных факторов.
Помимо трудностей с тем, как отчитываться за подобного рода деятельность расплывчатого характера, трудно понять расходы на другие составляющие головоломки под названием «кибернетическая оборона»: например, дополнительные расходы в связи со временем, потраченным пользователями на базовые мероприятия кибернетической гигиены или дополнительные усилия по разработке, необходимые для внедрения киберзащиты в программное обеспечение военных аппаратных средств.
Наконец, средства киберзащиты могут нуждаться в более частой модернизации, чем иные оборонные средства. Антивирусные программы – хороший тому пример: растущая вездесущность киберпространства означает, что перечни цифровых отпечатков пальцев различных вирусов, используемые антивирусными программами, могут обновляться в режиме реального времени. Для сравнения: основные виды оборонной техники должны служить годами. Например, самолет «Геркулес C-130» совершил свой первый полет в 1954 году, и различные его модификации до сих пор стоят на вооружении.
Материальные и нематериальные затраты на кибероборону
Таким образом к расходам на кибероборону могут относиться как материальные, так и нематериальные затраты, разовые инвестиции и ежемесячные, ежегодные или нерегулярные затраты.
Наиболее очевидными получателями расходуемых средств являются, наверное, люди. Здесь речь может идти об окладах и иных непрямых расходах, таких как пенсии, но также и о времени, потраченном на их учебную подготовку, курсы и занятия. С учетом того, что нанять на работу и удержать на работе в государственных структурах специалистов по информатике непросто (в силу привлекательности зарплат в частном секторе), эти расходы могут быть значительными: в самом деле, по мнению экспертов, это может быть самым большим фактором увеличения расходов на кибероборону.
Инвестировать больше ресурсов в центры безопасности – приоритет.
Стоимость рабочей силы надо также брать в расчет: это может включать время, потраченное на проектирование, внедрение и обслуживание средств кибернетической защиты, включая модернизацию систем безопасности, декомпиляцию вредоносных кодов или сертификацию.
Последний вид нематериальных затрат, обусловленных характером кибернетической защиты, – время и труд, потраченные на координацию, обмен информацией и налаживание сотрудничества. Часто говорят, что кибернетическая защита – «командный вид спорта» и «доверие – ключ к успеху». Важность этих принципов очевидна, когда осознаешь, как много времени требуется для создания и налаживания пользующейся доверием сети и обмена информацией. Даже в эпоху видео-телеконференцией с точки зрения укрепления доверия ничто не заменит личных встреч.
Виды материальных расходов зачастую самые очевидные, но по сравнению с вышеуказанными видами деятельности могут составлять малую долю от общих расходов на кибероборону. Речь может идти о затратах на аппаратные средства и программное обеспечение (ПО), лицензии на ПО (которые часто могут исчисляться тысячами или даже миллионами долларов или евро) и индивидуальное оформление и комплектацию, необходимые для работы этих средств в запланированной среде. Все больше и больше периодические издержки связаны с обслуживанием, предлагаемым поставщиками услуг по управлению информационной безопасностью: они обеспечивают переданную на внешний подряд киберзащиту и проводят анализ угрозы для своих клиентов. К другим расходам, которые также можно включить в статью «технология», относятся закупки еще не выявленных слабых мест и уязвимостей в программном обеспечении (известных как «нулевой день»), чтобы не допустить приобретения их и использования другими лицами.
Наконец, средства можно расходовать на стимулирование новаторства, приобретающего все большее значение, что дает возможность воспользоваться на раннем этапе научно-исследовательскими и конструкторскими разработками в целях совершенствования кибернетической защиты. Здесь речь может идти о грантах отраслевым предприятиям или о работе в сфере НИОКР.
Цена ничегонеделания
Понять невидимые бюджетные последствия кибернетической защиты может быть столь же непросто, что и расследовать кажущиеся призрачными нападения, совершаемые из виртуального мира.
Однако, если ознакомиться с некоторыми расчетами затрат в связи с отсутствием кибернетической безопасности и принять во внимание относительное значение, придаваемое многими странами кибернетическим рискам, очевидно, что расходы на кибернетическую оборону хорошо оправдывают себя. Например, ущерб от кибернападения на центральный банк Бангладеш с использованием сети «Свифт» составил приблизительно 81 млн. долларов США – значительная для этой страны сумма.
Все большее значение приобретают расходы на новаторство, что дает возможность воспользоваться на раннем этапе научно-исследовательскими и конструкторскими разработками в целях совершенствования кибернетической защиты.
В частном секторе после кибернападения в 2015 году великобританский провайдер связи TalkTalk, как сообщается, понес исключительные потери объемом 40-45 млн. фунтов стерлингов, а ущерб его доходам от коммерческой деятельности составил 15 млн. фунтов стерлингов, не считая того, что фирма лишилась более ста тысяч клиентов.
Приоритетные статьи расходов
Чтобы избежать подобного экономического ущерба, важно обращать внимание, на что идут расходы, а также каков их объем.
Судя по всему, расходы на человеческий капитал – в плане найма на работу, удержания кадров и учебно-образовательной подготовки – принципиально важны для достижения результатов. По этой причине необходимо целенаправленно расходовать средства, особенно теперь, когда охота на талантливых специалистов по всему миру означает, что частный сектор может без труда сманить высоко квалифицированных и знающих специалистов. При продумывании расходов также необходимо учитывать, что большая часть расходов на кибернетическую защиту, как айсберг, находится «под водой», и для устойчивой координации, сотрудничества и обмена информацией в целях укрепления доверия требуется время (а значит, бюджет).
Ценность обязательства по кибернетической обороне
В НАТО необходимо определиться по всем этим аспектам в контексте более широких политических обсуждений на тему оборонных расходов среди государств НАТО. Обязательство по кибернетической обороне может послужить стимулом для обсуждения вопроса о расходовании Североатлантическим союзом средств на кибернетическую защиту и расстановки приоритетов. Благодаря ознакомлению с отчетами о выполнении обязательства по кибернетической обороне у стран НАТО будет возможность обмениваться опытом и передовой практикой расходования средств на кибернетическую защиту, что будет способствовать более эффективной и действенной киберобороне Североатлантического союза в целом.