Месяц назад я писал об указе президента России "Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности" и упоминал о новых санкциях против Российской Федерации, введённых администрацией президента США Байдена буквально через три дня (15 апреля), в том числе содержащих обвинения нашей страны во вредоносной кибердеятельности.
Одним из существенных моментов, отражённым в информационном бюллетене о санкциях, был вывод о «рисках использования информационно-коммуникационных технологий и услуг, предоставляемых компаниями, которые обрабатывают или хранят пользовательские данные в России или полагаются на разработку программного обеспечения или удаленную техническую поддержку со стороны персонала в России», в связи с чем в нём был поднят вопрос следует ли принять меры, чтобы «лучше защитить цепочку поставок этих ИКТ и услуг от дальнейшей эксплуатации Россией».
И менее чем месяц спустя, 12 мая на сайте Белого дома был опубликован указ президента США о повышении кибербезопасности страны (национальной кибербезопасности, Executive Order on Improving the Nation’s Cybersecurity).
Не стоит думать, что он является следствием кибератаки на трубопровод, которая произошла 7 мая и в связи с которой через три дня - 11 мая - Cybersecurity & Infrastructure Security Agency (CISA) выпустило оповещение «DarkSide Ransomware: лучшие практики предотвращения сбоев в работе бизнеса в результате атак Ransomware» (Alert AA21-131A).
Новый указ представляет собой подробную программу действий по повышению кибербезопасности федеральных гражданских учреждений США и состоит из 11 разделов:
- Политика (Policy).
- Устранение барьеров для обмена информацией об угрозах.
- Модернизация кибербезопасности федерального правительства.
- Повышение безопасности цепочки поставок программного обеспечения.
- Учреждение Совета по кибербезопасности.
- Стандартизация системы реагирования федерального правительства на уязвимости и инциденты в сфере кибербезопасности.
- Улучшение обнаружения уязвимостей и инцидентов кибербезопасности в сетях федерального правительства.
- Улучшение возможностей федерального правительства по проведению расследований и устранению последствий.
- Системы национальной безопасности.
- Определения.
- Общие положения.
Отмечу, что в указе нет ни слова ни про России, ни про «русских хакеров» - задача решается в целом, без политических акцентов. Отмечается рост киберугроз, а в отношении противников используется термин «malicious cyber actors» («злонамеренные лица, действующие в киберпространстве»).
Цель указа – определить последовательность действий по улучшению усилий по выявлению, сдерживанию, защите от, обнаружению и реагированию на «постоянные и всё более изощренные вредоносные киберкампании (persistent and increasingly sophisticated malicious cyber campaigns), которые угрожают государственному сектору, частному сектору и, в конечном итоге, безопасности и частной жизни американского народа».
В качестве основного момента выделяется то, что необходима совместная работа (партнёрство) федерального правительства с частным сектором (партнерств). В начале первого раздела говорится, что:
- «частный сектор должен адаптироваться к постоянно меняющейся среде угроз, обеспечивать создание и безопасную работу своих продуктов, а также сотрудничать с федеральным правительством для создания более безопасного киберпространства»;
- доверие к цифровой инфраструктуре должно быть пропорционально тому, насколько она надежна и прозрачна, а также возможным последствиям (если это доверие окажется неуместным);
- «постепенные улучшения не дадут необходимой безопасности; вместо этого федеральному правительству необходимо произвести смелые изменения и значительные инвестиции, чтобы защитить жизненно важные институты, которые лежат в основе американского образа жизни»;
- правительство «должно задействовать весь объем своих полномочий и ресурсов для защиты и обеспечения безопасности своих компьютерных систем, независимо от того, являются ли они облачными, локальными или гибридными»;
- «в сферу защиты и безопасности должны входить системы, обрабатывающие данные (информационные технологии - ИТ), и системы, управляющие жизненно важным оборудованием, обеспечивающим нашу безопасность (операционные технологии - ОТ)»;
- политика администрации президента США «заключается в том, что предотвращение, обнаружение, оценка и устранение последствий киберинцидентов является главным приоритетом и имеет важное значение для национальной и экономической безопасности»;
- «все федеральные информационные системы должны соответствовать или превосходить стандарты и требования по кибербезопасности, изложенные в данном приказе и изданные в соответствии с ним».
Выделим основные задачи.
Задача 1. Устранить барьеры при обмене информацией о киберугрозах и киберинцидентах в федеральных системах между поставщиками услуг в области ИКТ и агентствами, ответственными за расследование или устранение последствий киберинцидентов, в т.ч. содержащиеся в действующих условиях контрактов. Для чего:
- проанализировать требования и формулировки контрактов к Федеральному положению о закупках (Federal Acquisition Regulation, FAR) и Дополнению к Федеральному положению о закупках для обороны для заключения контрактов с поставщиками услуг (ИТ, ОТ) и рекомендовать Совету FAR и другим соответствующим агентствам обновить эти требования и формулировки (в т.ч. при необходимости опубликовать для публичных комментариев);
- предпринять соответствующие шаги для обеспечения того, чтобы поставщики услуг делились с агентствами данными, необходимыми для реагирования на киберугрозы, инциденты и риски.
Эти рекомендации должны включать описание подрядчиков (поставщики услуг), на которых будут распространяться предлагаемые формулировки контрактов, и должны быть разработаны таким образом, чтобы они:
- «собирали и сохраняли данные, информацию и отчетность, относящиеся к предотвращению, обнаружению, реагированию и расследованию событий кибербезопасности на всех информационных системах, которыми он управляют, включая системы, управляемые от имени агентств, в соответствии с требованиями агентств;
- делились такими данными, информацией и отчетностью, относящимися к киберинцидентам или потенциальным инцидентам, имеющим отношение к любому агентству, с которым они заключили контракт, непосредственно с таким агентством и любым другим агентством, которое директор OMB (Director of the Office of Management and Budget), после консультаций с министром обороны, генеральным прокурором, министром внутренней безопасности и директором национальной разведки, считает подходящим, в соответствии с применимыми законами, правилами и политикой конфиденциальности;
- сотрудничали с федеральными агентствами кибербезопасности или следственными агентствами в расследовании и реагировании на инциденты или потенциальные инциденты в федеральных информационных системах, в том числе путем внедрения технических возможностей, таких как мониторинг сетей на предмет угроз в сотрудничестве с агентствами, которые они поддерживают, по мере необходимости;
- делились с агентствами информацией о киберугрозах и инцидентах, делая это, по возможности, в признанных в отрасли форматах для реагирования на инциденты и устранения последствий».
Политика федерального правительства заключается в том, чтобы поставщики услуг в области ИКТ, заключающие контракты с ведомствами:
- незамедлительно сообщали таким ведомствам об обнаружении киберинцидента, связанного с программным продуктом или услугой, предоставляемой таким ведомствам, или с системой поддержки программного продукта или услуги, предоставляемой таким ведомствам;
- напрямую сообщали в CISA, а CISA централизованно собирала и управляла такой информацией;
- отчеты, относящиеся к системам национальной безопасности, принимались и обрабатывались соответствующим агентством.
В частности, мы видим, что одним из результатов снятия барьеров были как возможность, так и обязанность поставщиков услуг передавать информацию о киберугрозах и киберинцидентах не только в те агентства, с которыми заключен контракт, но в другие ведомства, участвующие в обеспечении национальной кибербезопасности.
Для реализации этой политики необходимо разработать формулировку контракта с поставщиками и процедуры, обеспечивающие оперативный и надлежащий обмен сообщениями о киберинцидентах между ведомствами. Формулировка контракта в которая должна определять:
- характер киберинцидентов, которые требуют отчетности;
- типы информации о киберинцидентах, которые требуют отчетности для содействия эффективному реагированию на киберинциденты и устранению последствий;
- надлежащие и эффективные меры защиты частной жизни и гражданских свобод;
- сроки, в течение которых подрядчики должны сообщать о киберинцидентах на основе градуированной шкалы серьезности, при этом отчетность о наиболее серьезных киберинцидентах не должна превышать 3 дней после первоначального обнаружения;
- требования к отчетности по системам национальной безопасности;
- тип подрядчиков и связанных с ними поставщиков услуг, на которых будет распространяться предлагаемая формулировка контракта.
Задача 2. Разработать единые (стандартные) требования кибербезопасности для всех федеральных агентств, в том числе стандартизированный язык контракта для соответствующих требований кибербезопасности, указать круг подрядчиков и поставщиков сопутствующих услуг, на которых будет распространяться предлагаемая формулировка контракта.
Агентства должны обновить свои требования кибербезопасности, чтобы удалить любые требования, которые дублируют такие обновления FAR, и в последующем изменять их при появлении новых требований.
Отметим, что директор OMB должен включить в ежегодный бюджетный процесс анализ стоимости всех рекомендаций, разработанных в соответствии с данным разделом.
Задача 3. «Повышение видимости со стороны Правительства угроз при защите частной жизни и свобод граждан».
Для реализации этой задачи федеральное правительство должно:
- внедрить лучшие практики безопасности;
- продвинуться к архитектуре нулевого доверия;
- ускорить переход к безопасным облачным сервисам, включая программное обеспечение как услугу (SaaS), инфраструктуру как услугу (IaaS) и платформу как услугу (PaaS);
- централизовать и упорядочить доступ к данным по кибербезопасности, чтобы использовать аналитику для выявления и управления рисками кибербезопасности;
- инвестировать в технологии и персонал для достижения этих целей модернизации.
Особое внимание уделяется безопасности облачных технологий.
Среди мероприятий отметим:
- обновление существующих планов по обеспечению кибербезопасности агентств с целью определения приоритетности ресурсов для внедрения и использования облачных технологий;
- разработка плана внедрения Zero Trust Architecture;
- разработка принципов безопасности, регулирующие деятельность поставщиков облачных услуг (CSP);
- разработка и выпуск для федеральных агентств документации по технической эталонной архитектуре облачной безопасности, которая будет иллюстрировать рекомендуемые подходы к миграции в «облако» и защите данных для сбора данных и отчетности агентств, и руководства по управлению облачными сервисами;
- оценка типов и критичности несекретных данных своих соответствующих агентств (оценка должна определить приоритетность выявления несекретных данных, которые, по мнению агентства, являются наиболее критичными и подвергаются наибольшей угрозе, а также соответствующие решения по обработке и хранению этих данных);
- внедрение многофакторной аутентификации и шифрования данных как при хранении, так и при передаче;
- создание структуры для сотрудничества в области кибербезопасности и реагирования на инциденты, связанные с облачными технологиями (облачными ресурсами) федеральных агентств, с целью обеспечения эффективного обмена информацией между ведомствами и провайдерами облачных услуг;
- внедрение автоматизации на протяжении всего жизненного цикла систем, включая оценку, авторизацию, постоянный мониторинг и соблюдение требований;
- проведение оцифровки и оптимизации документации, которую должны заполнять поставщики, в том числе посредством онлайн-доступа и предварительно заполненных форм.
Обратите внимание – предусмотрено создание аналога российского НКЦКИ именно в сфере обеспечения облачных ресурсов федеральных структур.
Задача 4. Повышение безопасности цепочки поставок программного обеспечения.
То есть - внедрение более строгих и предсказуемых механизмов для обеспечения безопасного функционирования продуктов в соответствии с их назначением.
Отметим, что в указе используется понятие "критические важное программное обеспечение (critical software)" - программное обеспечение, выполняющее функции, критически важные для доверия (например, предоставляющего или требующего повышенных системных привилегий или прямого доступа к сетевым и вычислительным ресурсам).
Планируется его официальная публикация для включения в соответствующее руководство (см. ниже). Данное определение должно отражать
- уровень привилегий или доступа, необходимый для функционирования, интеграцию и зависимость с другим программным обеспечением,
- прямой доступ к сетевым и вычислительным ресурсам,
- выполнение функции, критически важной для доверия,
- и потенциальный ущерб в случае компрометации.
Для обеспечения его безопасности и целостности федеральное правительство должно будет принять меры для быстрого улучшения безопасности и целостности цепочки поставок программного обеспечения, уделяя первоочередное внимание критическому программному обеспечению, в том числе провести следующие мероприятия:
- определить существующие или разработать новые стандарты, инструменты и лучшие практики для соблюдения стандартов, процедур или критериев;
- выпустить руководство, определяющее практики, повышающие безопасность цепочки поставок программного обеспечения;
- определить и предоставить агентствам список категорий программного обеспечения и программных продуктов, используемых или находящихся в процессе приобретения, отвечающих определению критического программного обеспечения;
- опубликовать руководство с описанием мер безопасности для критического программного обеспечения, включая применение практики наименьших привилегий, сегментации сети и надлежащей конфигурации;
- исключение агентствами (по мере необходимости и в соответствии с применимым законодательством) программных продуктов, не отвечающие требованиям измененного FAR, из всех контрактов с неопределенным сроком поставки и неопределенным количеством, федеральных графиков поставок, федеральных контрактов на закупки в рамках всего правительства, договоров о бланкетной закупке и контрактов (Multiple Award Contracts);
- директор OMB, действуя через Администратора Управления электронного правительства в рамках OMB, должен потребовать от агентств, использующих программное обеспечение, разработанное и закупленное до даты настоящего приказа (устаревшее программное обеспечение), либо выполнить любые требования, установленные в соответствии с подразделом (k) настоящего раздела, либо предоставить план, описывающий действия по исправлению или выполнению этих требований, и далее должны требовать от агентств, стремящихся продлить контракты на программное обеспечение, включая устаревшее программное обеспечение, соблюдения любых требований;
- публикация руководящих принципов, рекомендующих минимальные стандарты для тестирования поставщиками исходного кода их программного обеспечения, включая определение рекомендуемых типов ручного или автоматизированного тестирования (таких как инструменты обзора кода, статический и динамический анализ, инструменты композиции программного обеспечения и тестирование на проникновение);
- инициация пилотных программ, основанных на существующих программах маркировки потребительских товаров, для информирования общественности о возможностях безопасности устройств Интернета вещей (IoT) и практике разработки программного обеспечения, рассмотрение способов стимулирования производителей и разработчиков к участию в этих программах;
- определение критериев кибербезопасности IoT для программы потребительской маркировки и рассмотрение вопроса о том, может ли такая программа потребительской маркировки работать совместно с любыми аналогичными существующими государственными программами или по их образцу в соответствии с действующим законодательством;
- определение безопасной практики разработки программного обеспечения или критерии для программы маркировки потребительского программного обеспечения, а также рассмотрение вопроса о том, может ли такая программа маркировки потребительского программного обеспечения работать в сочетании или по образцу любых аналогичных существующих государственных программ, в соответствии с действующим законодательством;
- в течение 1 года с даты издания настоящего указа - проведение обзора пилотных программ, консультации с частным сектором и соответствующими агентствами для оценки эффективности программ, определение возможных улучшений;
- в течение 1 года с даты издания настоящего указа - предоставление президенту отчета о результатах, достигнутых в соответствии с данным разделом, предложение дополнительных шагов, необходимых для обеспечения безопасности цепочки поставок программного обеспечения.
Руководство, определяющее практики, повышающие безопасность цепочки поставок программного обеспечения, должно:
- определять инновационные инструменты или методы для демонстрации соответствия безопасной практике;
- включать:
- критерии, которые могут быть использованы для оценки безопасности программного обеспечения,
- критерии для оценки практики безопасности самих разработчиков и поставщиков,
- стандарты, процедуры,
касающиеся:
- безопасной среды разработки программного обеспечения;
- генерирования и, по требованию покупателя, предоставления артефактов, демонстрирующих соответствие процессам;
- использования автоматизированных инструментов или сопоставимых процессов для поддержания надежных цепочек поставок исходного кода, обеспечивая тем самым целостность кода;
- использования автоматизированных инструментов или сопоставимых процессов для проверки известных и потенциальных уязвимостей и их устранения, которые должны работать регулярно или, как минимум, до выпуска продукта, версии или обновления;
- предоставления по запросу покупателя фактов выполнения инструментов и процессов, и предоставления в открытый доступ краткой информации о завершении этих действий, включая краткое описание оцененных и уменьшенных рисков;
- поддержания точных и актуальных данных, происхождение программного кода или компонентов, а также контроля над внутренними и сторонними компонентами программного обеспечения, инструментами и услугами, присутствующими в процессах разработки программного обеспечения, и проведения аудита и обеспечение соблюдения этих мер контроля на регулярной основе;
- предоставления покупателю спецификации материалов по программному обеспечению (SBOM) для каждого продукта напрямую или путем публикации на общедоступном веб-сайте;
- участия в программе раскрытия информации об уязвимостях, которая включает в себя процесс отчетности и раскрытия информации;
- подтверждения соответствия безопасной практике разработки программного обеспечения;
- обеспечения и подтверждения, насколько это практически возможно, целостности и происхождения программного обеспечения с открытым исходным кодом, используемого в любой части продукта.
«Критерии должны отражать базовый уровень безопасной практики и, если это возможно, должны отражать все более полные уровни тестирования и оценки, которым может подвергнуться продукт.
Критерии должны отражать все более комплексные уровни тестирования и оценки, которым может подвергаться продукт, и должны использовать или быть совместимыми с существующими схемами маркировки, которые производители используют для информирования потребителей о безопасности своих продуктов».
Необходимо отметить, что «учреждения могут запросить отказ от любых требований, установленных в соответствии с подразделом (k) данного раздела. Исключения должны рассматриваться Директором OMB, по согласованию с APNSA (Assistant to the President and National Security Advisor), в каждом конкретном случае, и предоставляться только в исключительных обстоятельствах и на ограниченный срок, и только при наличии сопутствующего плана по снижению любых потенциальных рисков».
Задача 5. Учреждение Совета по кибербезопасности (Cyber Safety Review Board).
Совет создаётся для рассмотрения и оценки активности угроз, уязвимостей, мероприятий по смягчению последствий и ответных мер ведомств в отношении значительных киберинцидентов, затрагивающих информационные системы, управляемые федеральными гражданскими исполнительными органами (кроме систем национальной безопасности) или не федеральные системы.
В состав Совета должны входить представители Министерства обороны, Министерства юстиции, CISA, АНБ и ФБР, а также представители соответствующих поставщиков кибербезопасности или программного обеспечения из частного сектора по решению министра внутренней безопасности.
Министр внутренней безопасности должен созывать Совет:
- после значительного киберинцидента, который послужил основанием для создания Объединенной координационной группы по киберинцидентам (UCG) в соответствии с разделом V(B)(2) PPD-412;
- в любое время по указанию президента;
- в любое время, которое министр внутренней безопасности сочтет необходимым.
Министр внутренней безопасности после завершения рассмотрения соответствующего инцидента должен предоставлять президенту любые советы, информацию или рекомендации Совета по улучшению практики и политики кибербезопасности и реагирования на инциденты.
Задача 6. Стандартизация системы реагирования федерального правительства на уязвимости и инциденты в сфере кибербезопасности.
Отмечено, что
- «процедуры реагирования на уязвимости кибербезопасности и инциденты, используемые в настоящее время для выявления, устранения и восстановления после уязвимостей и инцидентов, затрагивающих их системы, различаются в разных ведомствах, что препятствует способности ведущих ведомств более комплексно анализировать уязвимости и инциденты в масштабах всего ведомства;
- стандартизированные процессы реагирования обеспечивают более скоординированную и централизованную каталогизацию инцидентов и отслеживание прогресса агентств в успешном реагировании».
В связи с чем, необходимо разработать стандартный набор оперативных процедур (руководство, playbook) для использования при планировании и проведении мероприятий по реагированию на уязвимости кибербезопасности и инциденты в отношении информационных систем, управляемых федеральными гражданскими исполнительными органами (кроме систем национальной безопасности).
Данное руководство должно:
- включать все соответствующие стандарты NIST;
- использоваться учреждениями (федеральными гражданскими исполнительными органами);
- формулировать (описывать) ход и завершение всех этапов реагирования на инцидент.
Отметим, что для обеспечения общего понимания киберинцидентов и статуса кибербезопасности агентства, в руководстве (playbook) должны быть определены и согласованы с законодательными актами ключевые термины, тем самым будет создан общий лексикон для агентств, использующих это руководство (playbook).
В отношении агентств, имеющих руководства, отличающиеся от указанного, сказано, что они могут их применять только после консультации с директором OMB и APNSA и демонстрации того, что эти процедуры соответствуют или превосходят стандарты, предложенные в вышеуказанном руководстве.
Задача 7. Улучшение обнаружения уязвимостей и инцидентов кибербезопасности в сетях федерального правительства.
Указано, что «федеральное правительство должно использовать все соответствующие ресурсы и полномочия для максимального раннего обнаружения уязвимостей и инцидентов кибербезопасности в своих сетях» и «этот подход должен включать в себя повышение видимости и обнаружение уязвимостей и угроз кибербезопасности в сетях ведомств с целью укрепления усилий федерального правительства по обеспечению кибербезопасности».
Среди необходимых мероприятий:
- развертывание инициативы по обнаружению и реагированию на конечные точки (EDR) для поддержки проактивного обнаружения инцидентов кибербезопасности в инфраструктуре федерального правительства, активной киберохоты (cyber hunting), локализации и устранения последствий, а также реагирования на инциденты;
- выпуск требований для агентств FCEB (Federal Civilian Executive Branch) по принятию подходов EDR в масштабах всего федерального правительства;
- выпуск отчёта, в котором будут рекомендованы процедуры, гарантирующие, что критически важные системы не будут нарушены, процедуры уведомления владельцев систем об уязвимых правительственных системах, а также диапазон методов, которые могут быть использованы во время тестирования информационных систем FCEB.
Задача 8. Улучшение возможностей федерального правительства по проведению расследований и устранению последствий.
Указано, что «информация из сетевых и системных журналов федеральных информационных систем (как для локальных систем, так и для соединений, размещенных у третьих лиц, таких как CSP) является бесценной как для целей расследования, так и для целей устранения последствий».
В связи с чем должны быть:
- разработаны рекомендации по требованиям к регистрации событий и сохранению других соответствующих данных в системах и сетях агентства.
- сформулированы политики для агентств с целью установления требований к регистрации, хранению журналов и управлению журналами, которые должны обеспечить централизованный доступ и видимость для операционного центра безопасности высшего уровня каждого агентства.
Директор OMB должен работать с руководителями агентств, чтобы быть уверенным в наличии у агентств ресурсов, достаточных для выполнения разработанных рекомендаций и требований.
Разработанные рекомендации и требования должны включать в себя
- типы журналов, которые необходимо вести,
- сроки хранения журналов и других соответствующих данных,
- сроки, в течение которых агентства должны обеспечить выполнение рекомендованных требований к регистрации и безопасности,
- способы защиты журналов и данных, в т.ч.
- журналы должны быть защищены криптографическими методами для обеспечения целостности после сбора и периодически проверяться по хэшам на протяжении всего срока хранения;
- данные должны храниться в соответствии со всеми применимыми законами и правилами о конфиденциальности;
а также требования, обеспечивающие, чтобы агентства по запросу предоставляли журналы министру внутренней безопасности через директора CISA и ФБР, в соответствии с применимым законодательством.
Требования должны позволять агентствам обмениваться информацией из журналов, по мере необходимости и необходимости, с другими федеральными агентствами.
Задача 9. Системы национальной безопасности.
Принять требования к системам национальной безопасности, которые будут эквивалентны или превосходить требования кибербезопасности, изложенные в настоящем приказе.
У нас в стране в рамках обеспечения безопасности критической информационной инфраструктуры с осени прошлого года обсуждаются проекты нормативно-правовых документов по переводу всех объектов КИИ (не только значимых) на российское ПО (ОС, прикладное ПО, СЗИ), причем планируется, что предприятия за 3 месяца должны определиться с тем, какое иностранное ПО на какое российское будут заменять.
В США такой необходимости нет – у них и так практически всё ПО - «отечественное». В этом указе они спланировали свои действия по безопасной разработке и поставке критичного ПО в федеральные гражданские учреждения, по выявлению и расследованию киберинцидентов, в том числе применительно к облачным сервисам, для обеспечения надежной и безопасной работы системы государственного управления. Надеюсь, что к концу года сможем прочесть первый отчёт о результатах его реализации.