Як зміцнити національні щити кібернетичного потенціалу?
Кіберзагрози зростають роками. Дані – це валюта, особливо в кібернетичному світі, і блокування критично важливих систем з метою отримання викупу може призвести до спокусливих виплат для кіберзлочинців.
У першій половині 2021 року вже відбулася низка значних кібератак на великих гравців, серед яких Colonial Pipeline, Microsoft Exchange і Bombardier. Але в зоні ризику не лише великі організації. На початку пандемії COVID-19 світовий інтернет-трафік збільшився на 30%. Зростаючі можливості зв’язку і залежність від цифрових систем у кожному аспекті повсякденного життя також підвищують важливість їхньої безпеки і доступності.
Потенціал кібербезпеки – це щит, який може підготувати держави, установи та окремих осіб до протистояння еволюціонуючим кіберзагрозам. Оскільки кіберпростір не знає ні інституційних, ні національних кордонів, спроможності необхідно зміцнювати на всіх можливих рівнях.
Методи розбудови кібернетичних спроможностей
Глобальний центр потенціалу кібербезпеки вважає, що кібернетичний потенціал охоплює політику, стратегію, соціальні і культурні чинники, освіту і підготовку, законодавство і регулювання, технології і стандарти. Розбудова кібернетичних спроможностей – це діяльність, спрямована на посилення спроможностей у цих сферах.
Фокус розбудови спроможностей часто зводиться до вдосконалення базових навичок і знань. Зазвичай це відбувається у формі формальної освіти і навчання. Крім того, двома передовими методами, до яких звертаються держави та установи, є пробне тестування і кібернавчання.
Кібернавчання в Україні. Фото eGA
Перше – скорочено від “тестування на проникнення” – передбачає проведення сценаріїв хакерських атак. Оскільки він спрямований на реальні системи, цей метод є дуже корисним для отримання точної оцінки ризиків, характерних для конкретних установ. Тим не менш, він також вимагає багато ресурсів – наприклад, кваліфікованої робочої сили для організації ефективного тестування – і врахування багатьох важливих деталей. Наприклад, оскільки тестування може завдати серйозної шкоди, його не можна проводити в той час, коли системи повинні бути доступними і працювати безперебійно.
У зв’язку з цим другий метод – технічні і нетехнічні кібернавчання – є альтернативою з відносно низьким рівнем ризику. Технічні навчання передбачають проведення сценаріїв атак у контрольованому середовищі кіберполігону. “Це клонована система, тому, якщо ви щось зіпсуєте, ви не завдасте шкоди повсякденним послугам, – підкреслює в нашому нещодавньому подкасті Рагнар Раттас, керівник групи з кіберполігону в CybExer Technologies. “Більше того, ми можемо спробувати різні атаки, і принципи захисту будуть застосовні в повсякденному середовищі”, – каже він.
Зміцнення довіри і співпраці заради майбутнього
Знання, отримані під час тестування на проникнення і кібернавчань, можуть бути застосовані в повсякденній практиці. Зосереджуючись на своєму досвіді останніх, Раттас наводить приклади переваг у трьох основних сферах.
Кібернавчання в Україні. Фото eGA
По-перше, команди отримують можливість практикувати обмін інформацією в реальних умовах, що є критично важливою навичкою співпраці під час кіберінцидентів. По-друге, це можливість вдосконалити особисті навички та навички всієї команди. Під час кібернавчань відбувається багато атак, які вкладаються в короткий проміжок часу. Хоча реальні інциденти можуть залишати більше часу на розслідування, інтенсивність таких навчань сприяє цілеспрямованому розвитку навичок.
І по-третє, Раттас наголошує на співпраці в цілому. Він зазначає, що часто між відомствами та компаніями може існувати суперництво. Однак кібернавчання об’єднують усіх зацікавлених осіб і демонструють корисні можливості всіх сторін.
“Якщо ви побачите на практиці, що колеги з іншого відомства не гірші за вас, це покращить співпрацю в реальному світі, – каже він. “Наприклад, якщо ви побачите можливості поліції, то в реальному сценарії ви з більшою ймовірністю зв’яжетеся з ними, коли це буде необхідно”, – підкреслює Раттас.
Впровадження культури безпеки
Але перш за все, оскільки ландшафт цифрових загроз постійно змінюється, безпеку слід розглядати як процес, а не як одноразовий проєкт, підкреслює Епп Маатен, програмний директор з кібербезпеки. “Індивідуальні зусилля з розбудови спроможностей мають бути спрямовані на ширші культурні зміни. Усвідомлення необхідності тестування та навчань – це лише початок. Крім того, суб’єкти повинні мати здатність зберігати пильність у довгостроковій перспективі“, – додає вона.
Епп Маатен. Фото Хелен Ааса
Це включає в себе створення та управління системами моніторингу, проведення регулярного тестування, а отже, наявність навичок самостійно проводити інвентаризацію, обирати цільові об’єкти та замовляти правильний метод.
Культурні зміни відбуваються завдяки постійному навчанню та стратегічному керівництву. Це було однією з цілей нещодавніх проектів співпраці eGA в Україні. Посідаючи 25 місце в Національному індексі кібербезпеки, країна взяла на себе зобов’язання посилити національну кіберкомпетентність та забезпечити свій стрімкий цифровий розвиток.
Проєкт “Готовність до кібербезпеки в органах державної влади України” допоміг провести оцінку безпеки та пілотне тестування критично важливих систем, а також розробити керівні принципи тестування та навчальні матеріали.
“Найціннішими аспектами цього проекту є зміни в нашому законодавстві, а також наш підхід до оцінки вразливості та тестування інформаційно-телекомунікаційних систем, – ділиться Віктор Жора, заступник голови Державної служби спеціального зв’язку та захисту інформації України. “Проект дав нам багато практичних результатів, які значно підвищують рівень захисту наших інформаційних активів в органах державної влади”, – додає він.
Віктор Жора. Фото Хелен Ааса
Олексій Вискуб, перший заступник міністра Міністерства цифрової трансформації України, також вважає це важливим кроком до модернізації підходу держави до цифрової безпеки державних ресурсів. “Розбудова безпеки – це безперервний процес в Україні, – коментує Вискуб. “У рамках цього спільного кіберпроєкту ми розробили методологію, яка вже лягла в основу проєкту постанови для легалізації таких тестів у державних інформаційних системах України”, – підкреслює він.
Цілеспрямований розвиток навичок та знань на індивідуальному, інституційному та державному рівнях є основою для зміцнення національного кіберзахисту в довгостроковій перспективі.