Если сеть вашего устройства не защищена, вы и ваши сослуживцы могут потерять доступ к более широкой сети Министерства обороны, пока не защитите ее. Это новая философия – пока неформальная политика, которую два представителя Агентства по оборонным информационным системам сообщили промышленной группе AFCEA [2], находящейся всего в двух милях от Пентагона.
«Мы находимся в центре культурного сдвига», - сказала полковник Дарлин Страуб, офицер войск связи, возглавляющая кибер-безопасность в DISA [3]. «Мы говорим «нет» [доступа] к вещам».
За два десятилетия войн, сказала мне Страуб после своих публичных выступлений, - императив таких офицеров связи, как она, заключался в том, чтобы сначала подключить всех, каждый форпост, штаб-квартиру и агентство, а о безопасности подумать только потом. Однако теперь, когда в сети все больше и больше жизненно важных данных, подверженных все более сложным атакам, приоритеты меняются. Если ведомство не защитил программное обеспечение от хакеров или положение устройств слишком доступно для электронного подслушивания, для защиты более широкой сети и всех ее пользователей может потребоваться отсоединить их, пока проблема не будет устранена.
«То, что доступно в сети сегодня, гораздо более разрушительно», - сказала Лиза Белт, исполняющая обязанности директора по кибер-безопасности DISA, на собрании AFCEA. Системы отслеживания положения своих и союзных войск сообщают GPS-позицию транспортных средств, а иногда и перемещения людей. Эта система оказывает огромную помощь при координации маневров и избегании дружественного огня, но это может стать смертельным оружием в руках противника. Системы логистики отслеживают уровень топлива в транспортных средствах, и сроки очередного ремонта. Это огромная помощь для снабжения подразделений и сопровождающих, но формирует для противника потенциальный перечень слабых мест.
Поэтому иногда поддержание безопасности сети важнее, чем её сохранение, пояснила Ритт. Даже если ваше устройство отключено от сети, временная потеря доступа может угрожать вам меньше, чем сохранение доступа и утечка ваших данных к врагу.
«Теперь, похоже: «Мы собираемся отключать их, если вы не обеспечили должной защиты». Это совсем другое мышление, - сказала мне Страуб. «Доступность сети в противовес защиты сети - вот над чем мы заставляем задуматься командование и это сейчас влияет на принятие решений».
Это может звучать, как вмешательство в полномочия командиров по управлению подчиненными, но есть прецедент. Командир, не обеспечивший безопасности линий связи своих снабженцев, может столкнуться с проблемой обеспечения войск, а его офицеры снабжения могут сказать ему, что они не отправят конвой, опасаясь попасть в засаду. Похожая ситуация с дежурным офицером связи, доложившим командиру о невозможности передачи ему данных, в связи с подозрениями на возможности взлома. После устранения технических препятствий, неназванный генерал рассказал, как когда-то, слушая кибер-офицеров ему казалось, что он разговаривает с дельфинами, а теперь ботаники могут сказать «нет».
Страуб выразила признательность за помощь в проведении этой революции адмиралу Майклу Роджерсу, недавно уволенному руководителю кибер-командования. «Мы потратили очень много времени на защиту сетей и их обновление ... .адмирал Роджерс, планируя сроки реализации рассказал: она мне сказала «Если вы этого не сделаете, мы вас отключим». «И это новая концепция, где военные с четырьмя звездами на погонах приходят из другого рода войск и говорят: «Я собираюсь выключить».
Безопасность облачных и конечных пользователей
«Наша самая большая проблема – это не технологии, а ряд организационных ограничений - сказала Штрауб. Хотя МО может выглядеть целостным, Министерство обороны США фактически представляет собой лоскутное одеяло родовых поместий, каждое из которых отстаивает свою независимость и права. Это проявляется черз сети, которые выросли снизу вверх, причем каждая структурная единица хочет иметь собственное программное обеспечение, свое собственное оборудование и собственный сервер где-то поближе в шкафу. Теперь Пентагон старательно навязывает общие стандарты и централизованный контроль через такие агентства, как DISA и Cyber Command.
«Можем ли мы дойти до потери части контроля?» Спросила Страуб. «Возможно, ВВС не владеет своей сетью, армия не владеет их сетью .... и тогда будет легче управлять данными».
«Организационная культура должна .... победить собственничество », - сказала она.
Атавистический принцип организации - схватить «самое близкое горло и задушить», - сказал в прошлом месяце на кибер-панели третий сотрудник DISA, начальник облачных служб Джон Хейл. «Когда вы командир, и вам нужно что-то сделать, вы хотите иметь возможность связаться и отдать команды кому-то», чтобы действие произошло. (Это теория управления, с которой Дарт Вейдер был бы согласен). Пока ваша сеть является вашей собственной маленькой вотчиной, вы знаете, что кто-то из подчиненных несет ответственность за выполнение ваших распоряжений. Как только вы откажетесь от контроля над крупной организацией, вы станете не боссом, а одним из многих клиентов сети.
Одним из самых крупных шагов по отказу организации от контроля, является переход в облако, то есть перемещение данных, а иногда и программ, с их собственных серверов на централизованные сервера, поддерживаемые сторонними организациями, например Amazon. Главной особенностью облачных вычислений, помимо снижения затрат, является ее потенциал повышения безопасности путем применения единых стандартов и централизации данных. Это вариант «положить все яйца в одну корзину, а затем смотреть в неё».
Но переход в облако не позволит вам расслабиться, предупредил Хейл. Как правило, сказал он, хоть данные и хранятся облачными провайдерами, сертифицированными Пентагоном, программы или приложения, работающие с этими данными, по-прежнему принадлежат пользователю, которые должны быть уверены в своей защите.
На самом деле, сказала Страуб, нам нужно соорудить более серьезную защиту вокруг конечного пользователя и его устройств: ноутбуков, смартфонов и бесчисленных чипов, встроенных в наземные транспортные средства, корабли, самолеты и детские игрушки «Интернета вещей». Необходима «непрерывная» проверка каждого пользователя по «нескольким критериям», добавила Белт, а не просто единожды ввод имени и пароля или даже касание смарт-картой системы условного доступа.
Фокус на конечного пользователя - большой шаг от традиционной «пограничной» защиты, которая работает на недопущение взломщиков в сеть или нынешней стратегии «углубленной защиты», которая находит аномалии внутри сети, чтобы вычислить хакеров, которые «уже вошли». Он переворачивает все с ног на голову, - сказала Страуб, - и это будет тяжелой трансформацией».
Автор: Сидней Дж. Фридберг младший
Перевод: ВПК.name
Примечание ВПК.name
- DOD (Department of Defense) - министерство обороны США
- AFCEA (Armed Forces Communications and Electronics Association) – ассоциация связи и электроники вооруженных сил США
- DISA (Defense Information Systems Agency) - агентство по военным информационным системам