О ВОЗМОЖНОСТИ ПЛАНИРОВАНИЯ И РАЗВИТИЯ ПОТЕНЦИАЛА РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ ЧРЕЗВЫЧАЙНЫЕ СИТУАЦИИ

 

Игорь Андрушка

 

 

 

        Уважаемые коллеги, от имени Департамента информационных технологий позвольте представить вам доклад по теме «О возможности планирования и развития потенциала реагирования на компьютерные чрезвычайные ситуации», главная цель которого доведение до слушателей опыта зарубежных стран в данной области. Полагаю, что совместно с другими докладами у участников Конференции сложится целостное представление о серьезности обсуждаемых вопросов на данной конференции.

 

 

Введение

 

        С развитием сферы информационных технологий и сети Internet в частности Правительство, государственный и частный сектора различных стран становятся все более зависимы в своей работе от информационно - телекоммуникационных технологий, которые в свою очередь в опасной степени уязвимы от электронных или кибер-нападений со стороны враждебно настроенных государств, террористов, преступных группировок и компьютерных хакеров.

          В связи с этим, целесообразно было бы создание международного органа по управлению за рисками и инцидентами в области кибер-безопасности и по их предотвращению. Этому органу в его работе целесообразно было бы учитывать предложения по обеспечению кибер-безопасности, разрабатываемые на основе действующих моделей, доказавших свою действенность в решении проблем в других секторах (Стэндфордское соглашение по воздушному пиратству и т.д.). Но это мировой уровень. В рамках страны, целесообразно было бы создание группы, деятельность которой бы состояла бы в предотвращении кибер атак и непосредственном реагировании на уже свершившиеся атаки.

          В данном докладе я попытаюсь привести пример уже существующих и действующих таких групп, в частности в США, НАТО и немецком бундесвере.

 


 

Раздел 1. Пример создания группы в Соединенных Штатах Америки

 

        Национальный отдел кибер-реагирования (US-CERT) был создан в сентябре 2003 года как правительственный пункт координации и объединения компьютерных сетей публичного и частного сектора, основной целью которого стало усиление защиты этих сетей от кибер-атак и компьютерных преступлений.

          Данный центр был сформирован на основе товарищества между Национальным кибер подразделением безопасности (NCSD) входящего в состав Департамента областной безопасности и частным сектором. Еще одна из основных целей отдела (US-CERT) состоит в том, чтобы своевременно добыть информацию об информационных угрозах и своевременно известить об этом заинтересованные организации. Также данный отдел (US-CERT) является некой прослойкой в процессе механизма общения граждан, коммерческих организаций, а также различных учреждений с правительством США, относительно информации о кибер-безопасности.

          Данный отдел (US-CERT) был наделен со стороны Департамента областной безопасности (DHS) правами координации отношений провайдерами о появившихся уязвимостях, а также своевременного обеспечения населения аргументированной и достоверной информацией. В связи с чем, для обеспечения доведения информации о безопасности до населения US-CERT:

-                занимается сбором информации, поступившей от различных организаций как публичного, так и частного сектора;

-                обрабатывает информацию, с целью выделения главного – определения типа передаваемой информации;

-                служит центральной точкой общего определения методов и инструментария для борьбы с компьютерными угрозами и интернет атаками.

-                соблюдает стандарты контроля качества и работает для гарантии технической точности и своевременности.

          US-CERT расположен в Вашингтоне, штат Колумбия.

          US-CERT осуществляет свою деятельность на партнерских отношениях между NCSD и частным сектором. US-CERT находится в постоянном развитии и готовности заключать новые и новые договора с представителями частного сектора, провайдерами коммуникационных услуг, а также различными внутренними и международными организациями. Целями этого сотрудничества являются:

-                анализ и уменьшение кибер угроз и уязвимостей;

-                своевременное распространение информации о возможности той или иной угрозы;

-                координация ответной реакции.

Координирует и управляет работой US-CERT (как уже было сказано выше) Департамент областной безопасности.

          В своей деятельности US-CERT взаимодействует с другими подразделениями с аналогичными названиями. Но только CERT (CERT/CC) является официальным партнером US-CERT. В этом взаимодействии он является так сказать координационной точкой, служащей для предотвращения, защиты и ответной меры на кибер атаки в США.

          Данный отдел осуществляет свою деятельность с помощью национальной системы кибер-тревоги. Что из себя представляет национальная система кибер тревоги? Национальная система кибер тревоги первой способна привести в действие национальную систему безопасности США для идентификации, анализа и ранжирования уязвимостей и угроз. Управляемая отделом (US-CERT), система фильтрует поступившую информацию и, в случае необходимости в автоматическом режиме посылает сигнал тревоги всем пользователям. Это позволяет более эффективно использовать полученную информацию для предупреждения всех видов пользователей. Система обеспечивает достоверность и своевременность передаваемой информации, с необходимым временем простоя системы для обработки информации.

          Как уже было отмечено выше, одной из основных целей создания национальной системы кибер безопасности является своевременное оповещение органов управления и абонентов системы, а в частности их руководителей о возможных угрозах и существующих уязвимостях в системе защиты. В набор средств обеспечения безопасности входят:

-                кибер тревога – возможна в двух формах: для нетехнических пользователей и для технических пользователей;

-                различного рода акции – предназначенные для доведения до пользователей о новинках в области обеспечения информационной безопасности;

-                бюллетени – предназначены преимущественно для технических специалистов и содержат еженедельное резюме выпусков акций направленных на безопасность, новых уязвимостей, угроз и уязвимостей, а также действия, применение которых необходимо для смягчения угроз.

          Также необходимо отметить, что на государственном уровне, создание данной группы было введено в план национальной стратегии. Ниже в таблице перечислены 5 приоритетов национальной стратегии США в области безопасности (таблица 1).

 

5 приоритетов национальной стратегии

Таблица 1

 

Преимущества

Условия  применения

1

2

Национальная система кибер-безопасности

-   быстрая идентификация - обмен информацией и реагирование могут смягчить последствия;

-   данная система внедрена в общественные и частные организации и центры безопасности для управления обменом информации и увеличение суммарного эффекта прилагаемых усилий.

Программа снижения национальных угроз и уязвимостей кибер-безопасности

-   координация национальных усилий правительства и частного сектора по идентификации и устранению кибер угроз в форме использования лучшего мирового опыта и внедрения новых технологий;

-   повышение осведомленности, увеличение действий правового порядка, направленных на снижение кибер угроз.

 

Национальная осведомленность в области безопасности киберпространства и обучающие программы

-   повсеместное продвижение национальных обучающих программ для всего населения США по обучению основам защиты своих компьютерных сетей;

-   поощряемые и обучающие программы для нужд национальной безопасности;

Электронное пространство находящееся под покровительством правительства

-   защита системы со стороны федерального, штатского и местного правительства;

-   постоянная угроза штрафов для уязвимых кибер систем.

Международное сотрудничество в области кибер пространства

-   увеличение возможности для предотвращения атак;

-   международное сотрудничество:

-   продвижение идеи мировой «культуры безопасности»;

-   создание международных сетей наблюдения для предотвращения возможных атак.

 

Раздел 2. Уровень противостояния компьютеров НАТО
на компьютерные атаки (NCIRC)

 

        Теперь попытаемся рассмотреть, как обстоят дела в данной сфере в НАТО.

          В НАТО на сегодняшний день также ведутся работы по созданию соответствующей группы реагирования, в услуги которой должны войти следующие:

-                техническая и законодательная поддержка в качестве ответа на нарушения безопасности в пределах НАТО;

-                централизованные услуги

-                профилактические меры (обновление программного обеспечения и т.д.);

-                ответные меры (ответные реакции на атаки);

-                законодательная поддержка (судебная, расследование, модернизация политики).

          Теперь рассмотрим структуру NCIRC, состоящую из 3-х уровней:

-                первый уровень – составляет координационный центр NCIRC с его составляющими;

-                второй уровень – составляет технический центр NCIRC, а также органы, взаимодействующие с NCIRC;

-                третий уровень – составляют системные и сетевые центры (администраторы).

          Предполагается, что услуги NCIRC будут использоваться в закрытых сетях НАТО (примерно 25000 рабочих станций), открытых сетях НАТО (в том числе и Интернет), шлюзах для национальных сетей и т.д.

          К основным услугам в рамках потенциала реагирования на компьютерные инциденты будут отнесены следующие:

-                помощь при борьбе с нарушениями;

-                информация об угрозах и уязвимостях;

-                оценка риска (online / на сайте);

-                консультационные услуги;

-                БД online антивирусов, firewall-ов, а также мониторинг;

-                онлайновая поддержка (авто обновления);

-                анализ инцидентов (offline) и тестирование на уровень безопасности.

          Функционирование данной системы можно представить в виде рисунка (рисунок 1). В некоторых случаях функции системы являются полностью автоматизированными, в некоторых только частично.

 

Рисунок 1. Функционирование системы NCIRC

 

 

Раздел 3. Пример создания группы реагирования
в Германии (CERT)

 

          Теперь рассмотрим особенности создания подобной группы в Германии. Задачи данной группы в Германии следующие:

-                служит центральным элементом системы защиты информационной системы немецкого бундесвера;

-                контроль  и мониторинг основных компонентов информационной системы бундесвера;

-                планирование, координация и контроль управления инцидентами, анализ, оценка и сопровождение последствий;

-                ведение соответствующих мероприятий по предотвращению, снижению уровней рисков;

-                анализ и оценка результатов практической деятельности;

-                подготовка специалистов в данной области;

-                национальное и международное сотрудничество с другими CERT.

          CERT в Германии состоит из 3-х базовых блоков:

1)      операционный центр;

2)      центр реагирования;

3)      исследовательская лаборатория.

          Давайте рассмотрим место и роль, которое занимает каждый из блоков в системе. Итак:

          Операционный центр. В задачи данного центра входят такие как: мониторинг всех шлюзов, мониторинг применения различных решений по информационной безопасности, постоянный контроль и мониторинг статуса сети, организация в случае необходимости соответствующих действий.

          Центр реагирования. Вступает в действие, если только происходит какая-нибудь внештатная ситуация. Состоит из 2-х команд, в задачи которых входит техническая криминалистика, оценка ущерба и техническая поддержка.

          Исследовательская лаборатория. Осуществляет привинтивные действия, т.е. в ее задачи входят такие как: разработка и тестирование новых технологий в данной области, анализ и документирование угроз и атак, разработка стандартов, предотвращение НСД в будущем за счет устранения слабых мест.

          Данная лаборатория разработала стандарт в данной области «WTD 81. Тест центр для информационных технологий и электроники». В задачи данного стандарта входит тестирование будущих информационных продуктов, тестирование СОФТа и HARDа, а также анализ уязвимостей.

          В своей деятельности CERT взаимодействует не только с государственными организациями, но и с банками, а также частными техническими компаниями. На международном уровне CERT сотрудничает с CERT других стран
(США, Англия, Франция, Италия).

          Теперь рассмотрим какое место в немецком бундесвере занимает CERT. Организационная структура немецкого бундесвера представлена на рисунке 2.

 

 

Рисунок 2. Организационная структура немецкого бундесвера

          Теперь рассмотрим организационную структуру самой оперативной группы. Ее целесообразней изобразить на рисунке 3.

 

Рисунок 3. Организационная структура оперативной группы реагирования

 

          Таким, как мы видим что оптимально-разрешимым вариантом решения проблемы информационных преступлений и кибер-атак, а также снижения уровня риска является создание соответствующей группы и в нашем государстве.

 

Заключение

 

          Уважаемые коллеги, дамы и господа завершая свой доклад, хочу еще раз подчеркнуть, что при развитии в Республике Молдова идеи информационного общества, необходимо начинать развивать и технический аспект данного вопроса, в котором создание данной группы должно занять соответствующее место.

          Спасибо за внимание!

 

Литература:

 

 

 

1.             Lawrence Hale «National Cyber Security Division / U.S. Computer Emergency Readiness Team (US-CERT). Overview»

2.             Suleyman Anil «NATO Computer Incident Response Capability (NCIRC). NATO’s Cyber Defense Capabilities – Phase 1»

3.             Reinhard Lucas «A Case Study for Creating a Computer Emergency Response Team (CERT)»