Huawei: США нуждается в более ответственном отношении к кибербезопасности
Считает директор по безопасности Huawei Andy Purdy
За последнее десятилетие количество утечек данных увеличилось более чем вдвое. Недавно кибератакам были подвергнуты такие гиганты, как SolarWinds и Microsoft Exchange, что вызвало озабоченность у правительства и частных компаний.
В прошлом месяце президент США Джо Байден издал указ о начале разработки базовых требований безопасности для государственных учреждений и компаний, которые сотрудничают с ними. Согласно данному указу, необходимо разработать и внедрить модель нулевого доверия, которая «исключает доверие к любому элементу или узлу, а вместо этого требует непрерывной проверки» из нескольких источников.
Некоторые аспекты указа весьма перспективны. Например, правительство планирует запустить пилотные программы по информированию общественности о безопасности программного обеспечения, продаваемого правительству.
Но эти требования распространяются только на федеральные агентства и компании, сотрудничающие с ними. Для других компаний данный указ носит рекомендательный характер.
В идеале каждая организация должна стремиться к прозрачному соблюдению применяемых стандартов и лучших отраслевых практик. Например, каждая организация должна использовать такой инструмент анализа рисков, как система кибербезопасности, разработанная NIST. Это поможет понять уровень риска и перестроить работу согласно данной деловой среде. Было бы замечательно, если бы SEC потребовала от официально торгующих компаний принять эту практику.
Правительство США также пытается содействовать лучшему обмену информацией между частными компаниями и федеральными агентствами. Любая компания, заключившая контракт с правительством, теперь должна будет раскрывать существенные кибер-инциденты. «Наше правительство взломали в прошлом году, и мы не знали об этом в течение нескольких месяцев», — объяснил министр внутренней безопасности Алехандро Майоркас после взлома SolarWinds в декабре 2020 года. Только когда третья сторона уведомила SolarWinds о взломе, и компания предупредила правительство, масштаб и важность события стали ясны.
Эффективная стратегия кибербезопасности должна стать стратегическим государственно-частным партнерством в глобальном масштабе. США и другие страны должны иметь более тесные деловые связи и лучше обмениваться информацией, чем сейчас. Правительства и компании также должны использовать многолетний опыт разработки норм поведения в киберпространстве. Недавно группа экспертов из 25 стран-членов ООН опубликовала доклад о продвижении ответственного поведения государства в киберпространстве. Выводы доклада должны быть скомпилированы с другими материалами и использованы для создания кибернетических норм. В идеале они в конечном итоге будут прописаны в договорах или потенциально действенных соглашениях о взаимном доверии между странами, причем международные поставщики и операторы будут подписывать такие соглашения как со своими клиентами, так и с правительствами стран, в которых они ведут бизнес.
Если бы правительства и мировые компании подверглись верификации стратегически важных компонентов, это бы существенно усилило их безопасность. Это может стать шагом к сдерживанию подписавших соглашение стран и поставщиков, которые не соблюдают эти нормы, создавая таким образом основы для подотчетности во всем мире.