Взгляд на кибербезопасность с не совсем стандартной стороны – международных гуманитарных организаций.
Даже в 2020 г., когда новостные ленты были переполнены сообщениями о смертельно опасной пандемии, климатических бедствиях и политических кризисах, атака на SolarWinds наделала много шума. Иностранные хакеры использовали атаку на SolarWinds, ведущую американскую IT-компанию, чтобы следить за частными фирмами – например, за специализирующейся на кибербезопасности FireEye, где и была обнаружена уязвимость, а также за правительственными ведомствами, включая Министерство внутренней безопасности и Минфин США.
Злоумышленники внедрили вредоносную программу в систему ПО SolarWinds, которая широко используется компаниями для управления IT. В итоге взлом продемонстрировал масштабные последствия кибератаки на элементы цифровой цепочки поставок. Изначально целью была внутренняя инфраструктура, но затем хакеры попытались использовать крупных провайдеров облачных сервисов, в том числе Microsoft, президент которой Брэд Смит заявил, что более 80 процентов жертв взлома были неправительственными организациями.
Гуманитарная безопасность в киберпространстве
В гуманитарном секторе реакция на кибератаки, подобные взлому SolarWinds, обычно бывает пораженческой: если правительственные структуры и компании, специализирующиеся на безопасности, не могут защитить себя от проникновения и наблюдения, стоит ли пытаться это делать гуманитарной организации? Ещё одна стандартная реакция – больше полагаться на IT-профессионалов и гиперскейлеров, обладающих необходимыми ресурсами и обученным персоналом для защиты информации. Однако оба типа реакции не учитывают важный пункт: безопасность – не абсолютная концепция, она зависит от уязвимостей, угроз, активов и возможностей конкретной организации.
Например, «активы безопасности» Международного комитета Красного Креста (МККК) включают признание в соответствии с международным правом мандата на выполнение гуманитарной миссии, уважение и принятие её принципов – нейтралитета, беспристрастности и независимости, а также методов работы, основанных на конфиденциальности и двустороннем диалоге. МККК позволил этим принципам и методам работы сформировать подход организации к собственной безопасности в физическом мире, а теперь должен адаптировать этот подход к киберпространству.
Под перекрестным киберогнем
SolarWinds – лишь один из недавних сигналов происходящего в киберпространстве, а именно – соперничества великих держав. Дэвид Килкуллен и другие эксперты, проанализировав это противостояние, подчёркивают, что речь идёт не об отдельных разовых киберинцидентах, а об общемировом стратегическом использовании киберпространства для демонстрации влияния и доминирования глобальных держав.
Любая международная гуманитарная организация, работающая в сложных и волатильных условиях конфликта на основе нейтралитета, беспристрастности и независимости, должна быть постоянно готова к развитию геополитических событий, потому что они влияют на физический мир, где действуют эти организации. Поэтому гуманитарные организации должны при планировании своей стратегии учитывать последствия соперничества великих держав. Как мы уже видели, то, что подходит для многонациональных корпораций, не обязательно сработает в случае с международными гуманитарными организациями.
На фоне глобальной напряжённости между ведущими кибердержавами, используя одинаковые цифровые цепочки поставок и рассчитывая на их безопасность, гуманитарные организации близки к опасной ситуации, как в физическом мире, – когда миссии располагаются рядом с военными базами или на их территории.
Изучая угрозы с этой точки зрения, не всегда можно учесть все возможные типы потенциальных атакующих (от скучающих на перемене школьников до элитных киберпреступников). Но появляется важная дополнительная информация о возможностях защиты от кибератак со стороны государств, спонсируемых ими групп или негосударственных вооружённых группировок. Это самый сильный и хорошо подготовленный тип атакующих.
Есть ли альтернатива использованию общей цифровой цепочки поставок, чтобы не оказаться под перекрёстным огнем?
Пока нет, по крайней мере не для всего набора технологий, поддерживающих гуманитарную киберинфраструктуру – от «железа» до ПО, сетей и так далее. Ведётся работа на разных уровнях цепочки поставок, чтобы внедрить дополнительные возможности «верифицировать и доверять», например, путём капитализации решений для ПО и оборудования из открытых источников. Но если говорить реалистично, мы ещё очень далеки от «лёгкого переключения» на такие решения.
Хотя простого решения пока нет, вопрос остаётся важным. Поэтому реакция на подобные атаки должна быть следующей: нужно подумать о том, как мы можем уменьшить зависимость от систем цифровой цепочки поставок, из-за которых мы и оказываемся в уязвимом положении? В ходе анализа и поиска выхода возникают два ключевых понятия – «суверенность данных» и «цифровой суверенитет».
Суверенность данных и цифровой суверенитет
Позаимствовав из международного права определение территориального суверенитета государства, мы используем термин «суверенность данных», подразумевающий, что государство (или международная организация в соответствии с её привилегиями и иммунитетами) осуществляет полный контроль данных, которые обрабатывает, если они не находятся в открытом доступе, при полном исключении других объединений. Иными словами, другое государство не может законными средствами стремиться к получению информации «суверена данных».
Одной «суверенности данных» недостаточно, её необходимо дополнить детально проработанным стратегическим подходом, который будет включать так называемый цифровой суверенитет. Этому понятию трудно дать определение, но оно подразумевает суверенный контроль над цифровой инфраструктурой – кабелями, переключателями, роутерами и сетями, а также цепочками поставок оборудования и ПО. Термин не предполагает, что государство (или международная организация) обладает полным контролем над всем вышеперечисленным. Учитывая уровень взаимозависимости и взаимосвязанности киберпространства сегодня, это вряд ли возможно, даже для наиболее влиятельных игроков киберсферы, которые инвестировали огромные ресурсы, пытаясь добиться именно этого.
Поэтому кто-то даже может поставить под сомнение целесообразность термина «цифровой суверенитет», предпочитая говорить о «цифровой (не)зависимости». Таким образом, цифровому суверенитету нужно обеспечить определённый уровень контроля и независимости в выборе и использовании инструментов и инфраструктуры.
При разработке стратегии кибербезопасности нужно смотреть на перспективу, за пределы сегодня и завтра. Надо искать сферы потенциальных инвестиций, организационных изменений и партнёрства, чётко представляя себе ландшафт, на котором окажется организация через пять-десять лет. Любое решение, отдаляющее организацию от возможности самостоятельно защищаться от кибервреда, будет плохим. И наоборот – решения, приближающие к долгосрочной цели, поставленной в соответствии с уникальными активами безопасности, позволят организации лучше реализовывать свой мандат и миссию.
Таким образом, необходима тщательно продуманная стратегия по цифровому суверенитету, нацеленная, как указывалось выше, на аккуратное, осторожное управление «цифровыми зависимостями» и «сверхзависимостями». Стратегия может включать инвестиции в уменьшение зависимостей до значимого уровня, что приведёт к поступательным изменениям в этой сфере.
