Обеспечение безопасности цифровых цепочек поставок Великобритании и НАТО

По прошествии всего лишь недели после выборов Премьер-министр Стармер впервые участвовал в саммите НАТО, состоявшемся в июле в Вашингтоне (округ Колумбия). На этой встрече на высшем уровне он подчеркнул «незыблемую приверженность» Британии Североатлантическому союзу и объявил, что СК проведет Стратегический обзор обороны и увеличит свои оборонные расходы до 2,5% ВВП. В июле правительство Стармера также представило план о внесении нового закона о кибернетической безопасности и устойчивости, который многие считают британским эквивалентом новой директивы ЕС о сетях и информационных системах (NIS2), вступившей в силу 18 октября 2024 года.

Избрание Стармера на пост премьер-министра Британии и саммит НАТО пришлись на период быстрого обострения геополитической напряженности. В частности, Россия и Китай уже не просто ведут опосредованные экономические и региональные конфликты с Западом, а все больше наносят прямые удары по странам НАТО с помощью кибернетических средств. Эти удары больше не ограничиваются кампаниями по кибершпионажу. Все чаще их цель – вызвать сбой или нанести урон экономике наших стран; или они задуманы как скрытные операции по внедрению, чтобы затаиться в критически важной инфраструктуре наших стран и даже учреждениях безопасности, дожидаясь своего часа в случае эскалации напряженности.

Ранее в этом году Агентство кибербезопаности и безопасности инфраструктуры США и Федеральное бюро расследований (ФБР) предупредили в совместной рекомендации, что «поддерживаемые государством киберструктуры [Китайской Народной Республики (КНР)] стараются занять место в информационно-технологических (ИТ) сетях для совершения кибератак с целью выведения из строя критически важных объектов инфраструктуры США в случае крупного кризиса или конфликта с США». После этого британский Национальный центр кибербезопасности также предупредил об опасности и подчеркнул растущую угрозу кибератак против критически важных объектов инфраструктуры СК со стороны структур, поддерживаемых государством.

Внимание СМИ приковано к дезинформационным кампаниям, спонсируемым государствами, и нападениям на наши демократические институты, однако удары по нашим цифровым цепочкам поставок, в которые входят все внешние поставщики, партнеры и поставщики услуг для правительств наших стран и операторов критически важных объектов инфраструктуры, представляют менее заметную, но очень значительную угрозу.

По прогнозам Агентства кибербезопасности Европейского союза (ENISA), к 2030 году «компрометация систем снабжения из-за зависимости программного обеспечения» станет основной киберугрозой для организаций. В своем годовом докладе о нарушении безопасности данных за 2023 год Ресурсный центр по борьбе с кражей личных данных сообщил, что только за последние пять лет количество организаций, пострадавших от атак против систем поставок, увеличилось больше, чем на 2600 процентов.

Последствия атак против систем поставок могут быть огромные: под угрозой могут оказаться целые отрасли экономики, может возникнуть очередной финансовый кризис и может пострадать даже безопасность страны, как показано на примерах ниже.

Недавно выяснилось, что хакеры, подозреваемые в связях с китайскими властями, получили несанкционированный доступ к поставщику услуг по выплате заработной платы министерства обороны СК и к данным об именах и фамилиях, банковских реквизитах и адресах потенциально 270 тысяч нынешних и бывших военнослужащих СК. В июне Голландский национальный центр кибербезопасности объявил, что хакеры, связанные с Китаем, «получили доступ, как минимум, к 20 000 системам FortiGate в мире в течение нескольких месяцев в 2022 и 2023 году», а среди пострадавших «десятки (западных) правительств, международных организаций и большое число оборонно-промышленных компаний». Недавно британский Национальный центр кибербезопасности и страны-участницы союза «Пять глаз» вновь предупредили об угрозе ботнета из более чем 260 тысяч взломанных устройств в мире. Считается, что им управляет компания, находящаяся в Китае и связанная с правительством, которую использовала китайская злоумышленная структура Flax Typhoon для вмешательства в критически важную инфраструктуру «прежде всего, связи, энергетики, транспортных систем и систем водоснабжения и канализации».

Это лишь несколько последних примеров. Достаточно вспомнить кампанию SolarWinds 2020 года, которую многие ведущие эксперты считают крупнейшей кибератакой, когда-либо совершенной. SolarWinds – поставщик программного обеспечения информационно-технического управления и мониторинга «Орион», которым пользуются тысячи клиентов в государственном и частном секторе во всем мире. В силу своего функционала этот инструмент должен быть глубоко интегрирован в системы и операционные процессы организаций, которые им пользуются, и поэтому у него есть доступ к чрезвычайно конфиденциальной информации, в частности, системному журналу и данным о производительности. Хакерам, которые, как предполагается, связаны с российской Службой внешней разведки (СВР), удалось вставить вредоносный код в обновление ПО «Орион». Когда клиенты обновили программу, они непроизвольно установили вредоносный код в информационно-технической среде и создали «черный ход», через который нападавшие смогли напрямую получить доступ к системам и данным клиентов SolarWind, что называется дальнейшим развитием атаки.

Последствия этой атаки на цепочку поставок были огромные. Около 18 000 клиентов SolarWind, как утверждается, установили взломанное обновление ПО, и многие пострадали, в частности, американские федеральные учреждения, например, департамент внутренней безопасности, Государственный департамент и министерство финансов, а также такие технологические гиганты, как «Микрософт», «Интел» и СИСКО.

Есть две основные причины роста атак на системы снабжения. Первая состоит в том, что в связи с продолжающейся цифровизацией больший объем критически важных функций передается на внешний подряд третьим сторонам. Вторая причина в том, что киберзащита отдельных организаций, особенно тех, которые заняты в критически важной национальной инфраструктуре и в большой степени регулируемых отраслях в целом, а также киберзащита национальных структур безопасности, на самом деле довольно прочная. Это значит, что прямые атаки против этих организаций совершать все труднее, и поэтому хакеры ищут более простые точки входа, чтобы получить доступ к данным и системам объектов нападения.

Часто такие слабые звенья можно обнаружить в обширных сетях поставщиков и бизнес-партнеров организаций, поскольку их ПО и аппаратные средства либо глубоко интегрированы в их собственные внутренние системы и процессы, либо они работают от их лица извне с конфиденциальными данными, включая данные о сотрудниках. Речь может идти о внешних услугах по выплате окладов, юридических и пенсионных услугах, средствах повышения производительности и взаимодействия, поставщиках облачных услуг или решений по кибербезопасности, если перечислять лишь некоторые. Все это в совокупности и есть наши цифровые цепочки поставок. В результате передачи на внешний подряд возникла сложная схема зависимости и появились слабые места, которыми все активнее пользуются хакеры.

Но система шире, чем так называемые третьи стороны или прямые поставщики. Те, в свою очередь, зачастую зависят от сети из сотен других организаций, предоставляющих им услуги, и список можно продолжить. Например, в 2023 году российские хакеры «Клоп» воспользовались уязвимостью MOVEit Transfer, однако тысячи известных жертв сами даже не пользовались MOVEit Transfer. Они пострадали (то есть, их базы данных или базы данных их клиентов были взломаны) через поставщиков ПО для управления персоналом или расчета заработной платы, например, Zellis или PBI Research Services – информационные ресурсы, которыми широко пользуются в финансовой сфере и которые использовали MOVEit Transfer для обработки данных клиентов.

Принимая во внимание растущие факторы риска, что могут сделать страны НАТО и Североатлантический союз в целом, чтобы усилить защиту от крупномасштабных ударов по системе снабжения?

Одна из основных проблем с риском для цепочек поставок – упор на средствах киберзащиты отдельных организаций. Для обеспечения значимой безопасности системы поставок нужен новый подход, основанный на усиленном взаимодействии. Правительство СК, например, уже делает первые шаги: в недавно сформулированной стратегии кибербезопасности правительства изложен подход «Защищать как один». Этим подходом предусматривается использование «ценности обмена данными, опытом и средствами кибербезопасности во всех организациях (государственного сектора СК), чтобы создать оборону, которая по своей мощи несоразмерно превосходит сумму своих частей».

Это шаг в верном направлении. При этом косвенно признается, что самое большое препятствие для укрепления кибербезопасности – разрозненный подход «каждый сам за себя». Но мы должны пойти еще дальше. Организации взаимосвязаны, нравится им это или нет, и ответственность за предотвращение кибератак должна нести вся экосистема. Никто не может справиться в одиночку. Регулирующие органы также играют важную роль. Нам надо отказаться от культуры заверения, угроз и штрафов в пользу такой культуры, где организации, поддерживающие критически важную инфраструктуру нашей страны, учреждения национальной безопасности, партнеры из частного сектора и все важнейшие поставщики сообща защищают систему снабжения от атак и усиливают общую жизнестойкость всей экосистемы.

Это могут быть виртуальные оперативные центры национальной безопасности для системы поставок, наподобие Центра кибербезопасности правительства СК, Государственного координационного киберцентра или комплексные оперативные центры безопасности под эгидой Национального центра кибербезопасности СК. В этих оперативных центрах безопасности (ОЦБ) системы снабжения организации, осуществляющие крупные операции по безопасности и имеющие большой опыт в отслеживании, выявлении атак и реагировании на них, должны объединиться вокруг своих менее крупных партнеров и поставщиков, чтобы защитить всю систему и поддержать их своими передовыми навыками и ресурсами.

В контексте взаимодействия по линии НАТО эти национальные ОЦБ могли бы работать в увязке с новым Центром комплексной киберобороны НАТО и виртуальным механизмом поддержки в случае киберинцидентов. Они стали ценным дополнением общего потенциала киберзащиты НАТО и обеспечат всем государствам-членам более оперативный и равный доступ к последним разведданным об угрозе и, что крайне важно, оперативной и технической поддержке во время инцидентов.

Центр комплексной киберобороны НАТО был согласован лишь недавно, на саммите НАТО в Вашингтоне (округ Колумбия) в 2024 году. Он будет находиться в стратегическом военном штабе НАТО – штабе ВГК ОВС НАТО в Бельгии. Его мандат – «защита НАТО и сетей стран НАТО и использование киберпространства как оперативного пространства», а также «информирование военачальников НАТО о возможных угрозах и факторах уязвимости в киберпространстве, включая критически важные объекты гражданской инфраструктуры, находящиеся в частном владении и необходимые для обеспечения военной деятельности». Таким образом, основной задачей центра будет предоставление оперативной информации об угрозах, чтобы улучшить принятие решений военными, а также «повысить осведомленность об обстановке в кибепространстве, укрепить коллективную устойчивость и оборону».

Виртуальный механизм поддержки в случае киберинцидентов был создан на саммите НАТО в Вильнюсе в 2023 году. Его основная задача – помогать странам НАТО в «ликвидации последствий значительных злонамеренных кибердействий» и таким образом совершенствовать потенциал реагирования на инциденты. Через этот новый механизм страны НАТО смогут обращаться за помощью и получать помощь в кибернетической сфере в случае кризиса, не приводя в действие статью 5, а также смогут получить быстрый доступ к технической экспертизе, помощи и обмену информацией во время инцидентов.

Благодаря этим новым возможностям НАТО можно значительно расширить экспертные знания и ресурсы, предоставляемые национальным ОЦБ для цепочки поставок, и заложить при этом основу для возможного будущего интегрированного ОЦБ цепочки поставок в масштабе всей НАТО.

Точно так же, как НАТО защищает общую безопасность Североатлантического союза, исходя из принципа «один за всех и все за одного», НАТО, а также учреждения национальной безопасности, регулирующие органы, организации и поставщики государств-членов должны объединиться, чтобы устранить реальную и непосредственную угрозу в связи с растущим и зачастую темным увеличением атак против наших цифровых цепочек поставок.