В предыдущих статьях я обещал, что мы будем и далее наблюдать за мерами по обеспечению кибербезопасности критический инфраструктуры США. За три летних месяца, помимо опубликованного мною, выделю:
- создание государственного ресурса по борьбе с кибервымогателями, активное наполнение соответствующих разделов на сайте CISA,
- выдвижение в июне House Energy and Commerce Committee четырёх законопроектов по безопасности;
- публикацию CISA рекомендаций для операторов КИИ в США
- выдвижение законопроекта, обязывающего операторов критической инфраструктуры отчитываться перед федеральным правительством о киберинцидентах;
- назначение нового директора CISA и объявление ей новых инициатив в области кибербезопасности.
Но сейчас расскажу о другом. Помните «Вредные советы»?
CISA официально анонсировала создание реестра «ненадлежащих методов кибербезопасности» («bad cybersecurity practices’») для операторов критической инфраструктуры, национальных критических функций (National Critical Functions).
CISA подчёркивает, что наличие таких ненадлежащих, недобросовестных практик у вышеназванных операторов опасно и увеличивает риск для национальной безопасности, экономической стабильности, а также жизни, здоровья и безопасности населения.
Ресурс размещён на GitHub, будет пополняться по мере появления новых «bad practices».
Среди них использование:
- неподдерживаемого (или отслужившего свой срок) программного обеспечения;
- использование известных (фиксированных, заданных по умолчанию) паролей и учетных данных;
- однофакторной аутентификации для удаленного или административного доступа к системам, поддерживающим работу критической инфраструктуры и национальных критических функций (NCF),
подчеркивается, что это особенно опасные практики в отношении технологий, доступных через Интернет.
Вы улыбнётесь – «детский сад», «это основы», «и так всем понятно», «это первое, от чего отказывается любой безопасник». Надеюсь, что у нас, во всяком случае на тех предприятиях, безопасность которых обеспечивают наши читатели, так всё и обстоит.
По заявлению CISA, одной из причин создания этого реестра стало то, что требования и надлежащие практики представляют собой довольно объемные документы, поэтому учитывая риски для критической инфраструктуры, предприятия (организации) должны «положить конец самым вопиющим рискам», «приложить согласованные усилия, чтобы положить конец недобросовестным действиям», то есть, учитывая ограниченность ресурсов, наряду с внедрением надлежащих и лучших практик, исполнением требований кибербезопасности оперативно и в первую очередь устранить «плохие практики».
А какие «плохие практики» есть у нас? Что мы порекомендуем друг другу в первую очередь исправить? Какие «дыры» в безопасности закрыть?
Есть ли такие ситуации, опасность которых мы понимаем, отчётливо видим и формулируем риски, но нет возможности их устранить или минимизировать?