Кибербезопасность США – новая программа

Добрый день, коллеги!

   Месяц назад я писал об указе президента России "Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности" и упоминал о новых санкциях против Российской Федерации, введённых администрацией президента США Байдена буквально через три дня (15 апреля), в том числе содержащих обвинения нашей страны во вредоносной кибердеятельности.

   Одним из существенных моментов, отражённым в информационном бюллетене о санкциях, был вывод о «рисках использования информационно-коммуникационных технологий и услуг, предоставляемых компаниями, которые обрабатывают или хранят пользовательские данные в России или полагаются на разработку программного обеспечения или удаленную техническую поддержку со стороны персонала в России», в связи с чем в нём был поднят вопрос следует ли принять меры, чтобы «лучше защитить цепочку поставок этих ИКТ и услуг от дальнейшей эксплуатации Россией».

   И менее чем месяц спустя, 12 мая на сайте Белого дома был опубликован указ президента США о повышении кибербезопасности страны (национальной кибербезопасности, Executive Order on Improving the Nation’s Cybersecurity).

   Не стоит думать, что он является следствием кибератаки на трубопровод, которая произошла 7 мая и в связи с которой через три дня - 11 мая - Cybersecurity & Infrastructure Security Agency (CISA) выпустило оповещение «DarkSide Ransomware: лучшие практики предотвращения сбоев в работе бизнеса в результате атак Ransomware» (Alert AA21-131A).

   Новый указ представляет собой подробную программу действий по повышению кибербезопасности федеральных гражданских учреждений США и состоит из 11 разделов:

  1. Политика (Policy).
  2. Устранение барьеров для обмена информацией об угрозах.
  3. Модернизация кибербезопасности федерального правительства.
  4. Повышение безопасности цепочки поставок программного обеспечения.
  5. Учреждение Совета по кибербезопасности.
  6. Стандартизация системы реагирования федерального правительства на уязвимости и инциденты в сфере кибербезопасности.
  7. Улучшение обнаружения уязвимостей и инцидентов кибербезопасности в сетях федерального правительства.
  8. Улучшение возможностей федерального правительства по проведению расследований и устранению последствий.
  9. Системы национальной безопасности.
  10. Определения.
  11. Общие положения.

   Отмечу, что в указе нет ни слова ни про России, ни про «русских хакеров» - задача решается в целом, без политических акцентов. Отмечается рост киберугроз, а в отношении противников используется термин «malicious cyber actors» («злонамеренные лица, действующие в киберпространстве»).

   Цель указа – определить последовательность действий по улучшению усилий по выявлению, сдерживанию, защите от, обнаружению и реагированию на «постоянные и всё более изощренные вредоносные киберкампании (persistent and increasingly sophisticated malicious cyber campaigns), которые угрожают государственному сектору, частному сектору и, в конечном итоге, безопасности и частной жизни американского народа».

   В качестве основного момента выделяется то, что необходима совместная работа (партнёрство) федерального правительства с частным сектором (партнерств). В начале первого раздела говорится, что:

  • «частный сектор должен адаптироваться к постоянно меняющейся среде угроз, обеспечивать создание и безопасную работу своих продуктов, а также сотрудничать с федеральным правительством для создания более безопасного киберпространства»;
  • доверие к цифровой инфраструктуре должно быть пропорционально тому, насколько она надежна и прозрачна, а также возможным последствиям (если это доверие окажется неуместным);
  • «постепенные улучшения не дадут необходимой безопасности; вместо этого федеральному правительству необходимо произвести смелые изменения и значительные инвестиции, чтобы защитить жизненно важные институты, которые лежат в основе американского образа жизни»;
  • правительство «должно задействовать весь объем своих полномочий и ресурсов для защиты и обеспечения безопасности своих компьютерных систем, независимо от того, являются ли они облачными, локальными или гибридными»;
  • «в сферу защиты и безопасности должны входить системы, обрабатывающие данные (информационные технологии - ИТ), и системы, управляющие жизненно важным оборудованием, обеспечивающим нашу безопасность (операционные технологии - ОТ)»;
  • политика администрации президента США «заключается в том, что предотвращение, обнаружение, оценка и устранение последствий киберинцидентов является главным приоритетом и имеет важное значение для национальной и экономической безопасности»;
  • «все федеральные информационные системы должны соответствовать или превосходить стандарты и требования по кибербезопасности, изложенные в данном приказе и изданные в соответствии с ним».

   Выделим основные задачи.

   Задача 1. Устранить барьеры при обмене информацией о киберугрозах и киберинцидентах в федеральных системах между поставщиками услуг в области ИКТ и агентствами, ответственными за расследование или устранение последствий киберинцидентов, в т.ч. содержащиеся в действующих условиях контрактов. Для чего:

  • проанализировать требования и формулировки контрактов к Федеральному положению о закупках (Federal Acquisition Regulation, FAR) и Дополнению к Федеральному положению о закупках для обороны для заключения контрактов с поставщиками услуг (ИТ, ОТ) и рекомендовать Совету FAR и другим соответствующим агентствам обновить эти требования и формулировки (в т.ч. при необходимости опубликовать для публичных комментариев);
  • предпринять соответствующие шаги для обеспечения того, чтобы поставщики услуг делились с агентствами данными, необходимыми для реагирования на киберугрозы, инциденты и риски.

   Эти рекомендации должны включать описание подрядчиков (поставщики услуг), на которых будут распространяться предлагаемые формулировки контрактов, и должны быть разработаны таким образом, чтобы они:

  1. «собирали и сохраняли данные, информацию и отчетность, относящиеся к предотвращению, обнаружению, реагированию и расследованию событий кибербезопасности на всех информационных системах, которыми он управляют, включая системы, управляемые от имени агентств, в соответствии с требованиями агентств;
  2. делились такими данными, информацией и отчетностью, относящимися к киберинцидентам или потенциальным инцидентам, имеющим отношение к любому агентству, с которым они заключили контракт, непосредственно с таким агентством и любым другим агентством, которое директор OMB (Director of the Office of Management and Budget), после консультаций с министром обороны, генеральным прокурором, министром внутренней безопасности и директором национальной разведки, считает подходящим, в соответствии с применимыми законами, правилами и политикой конфиденциальности;
  3. сотрудничали с федеральными агентствами кибербезопасности или следственными агентствами в расследовании и реагировании на инциденты или потенциальные инциденты в федеральных информационных системах, в том числе путем внедрения технических возможностей, таких как мониторинг сетей на предмет угроз в сотрудничестве с агентствами, которые они поддерживают, по мере необходимости;
  4. делились с агентствами информацией о киберугрозах и инцидентах, делая это, по возможности, в признанных в отрасли форматах для реагирования на инциденты и устранения последствий».

   Политика федерального правительства заключается в том, чтобы поставщики услуг в области ИКТ, заключающие контракты с ведомствами:

  • незамедлительно сообщали таким ведомствам об обнаружении киберинцидента, связанного с программным продуктом или услугой, предоставляемой таким ведомствам, или с системой поддержки программного продукта или услуги, предоставляемой таким ведомствам;
  • напрямую сообщали в CISA, а CISA централизованно собирала и управляла такой информацией;
  • отчеты, относящиеся к системам национальной безопасности, принимались и обрабатывались соответствующим агентством. 

   В частности, мы видим, что одним из результатов снятия барьеров были как возможность, так и обязанность поставщиков услуг передавать информацию о киберугрозах и киберинцидентах не только в те агентства, с которыми заключен контракт, но в другие ведомства, участвующие в обеспечении национальной кибербезопасности.

   Для реализации этой политики необходимо разработать формулировку контракта с поставщиками и процедуры, обеспечивающие оперативный и надлежащий обмен сообщениями о киберинцидентах между ведомствами. Формулировка контракта в которая должна определять:

  • характер киберинцидентов, которые требуют отчетности;
  • типы информации о киберинцидентах, которые требуют отчетности для содействия эффективному реагированию на киберинциденты и устранению последствий;
  • надлежащие и эффективные меры защиты частной жизни и гражданских свобод;
  • сроки, в течение которых подрядчики должны сообщать о киберинцидентах на основе градуированной шкалы серьезности, при этом отчетность о наиболее серьезных киберинцидентах не должна превышать 3 дней после первоначального обнаружения;
  • требования к отчетности по системам национальной безопасности;
  • тип подрядчиков и связанных с ними поставщиков услуг, на которых будет распространяться предлагаемая формулировка контракта.

   Задача 2. Разработать единые (стандартные) требования кибербезопасности для всех федеральных агентств, в том числе стандартизированный язык контракта для соответствующих требований кибербезопасности, указать круг подрядчиков и поставщиков сопутствующих услуг, на которых будет распространяться предлагаемая формулировка контракта.

   Агентства должны обновить свои требования кибербезопасности, чтобы удалить любые требования, которые дублируют такие обновления FAR, и в последующем изменять их при появлении новых требований.

   Отметим, что директор OMB должен включить в ежегодный бюджетный процесс анализ стоимости всех рекомендаций, разработанных в соответствии с данным разделом.

   Задача 3. «Повышение видимости со стороны Правительства угроз при защите частной жизни и свобод граждан».

   Для реализации этой задачи федеральное правительство должно:

  • внедрить лучшие практики безопасности;
  • продвинуться к архитектуре нулевого доверия;
  • ускорить переход к безопасным облачным сервисам, включая программное обеспечение как услугу (SaaS), инфраструктуру как услугу (IaaS) и платформу как услугу (PaaS);
  • централизовать и упорядочить доступ к данным по кибербезопасности, чтобы использовать аналитику для выявления и управления рисками кибербезопасности;
  • инвестировать в технологии и персонал для достижения этих целей модернизации.

   Особое внимание уделяется безопасности облачных технологий.

   Среди мероприятий отметим:

  • обновление существующих планов по обеспечению кибербезопасности агентств с целью определения приоритетности ресурсов для внедрения и использования облачных технологий;
  • разработка плана внедрения Zero Trust Architecture;
  • разработка принципов безопасности, регулирующие деятельность поставщиков облачных услуг (CSP);
  • разработка и выпуск для федеральных агентств документации по технической эталонной архитектуре облачной безопасности, которая будет иллюстрировать рекомендуемые подходы к миграции в «облако» и защите данных для сбора данных и отчетности агентств, и руководства по управлению облачными сервисами;
  • оценка типов и критичности несекретных данных своих соответствующих агентств (оценка должна определить приоритетность выявления несекретных данных, которые, по мнению агентства, являются наиболее критичными и подвергаются наибольшей угрозе, а также соответствующие решения по обработке и хранению этих данных);
  • внедрение многофакторной аутентификации и шифрования данных как при хранении, так и при передаче;
  • создание структуры для сотрудничества в области кибербезопасности и реагирования на инциденты, связанные с облачными технологиями (облачными ресурсами) федеральных агентств, с целью обеспечения эффективного обмена информацией между ведомствами и провайдерами облачных услуг;
  • внедрение автоматизации на протяжении всего жизненного цикла систем, включая оценку, авторизацию, постоянный мониторинг и соблюдение требований;
  • проведение оцифровки и оптимизации документации, которую должны заполнять поставщики, в том числе посредством онлайн-доступа и предварительно заполненных форм.

   Обратите внимание – предусмотрено создание аналога российского НКЦКИ именно в сфере обеспечения облачных ресурсов федеральных структур.

   Задача 4. Повышение безопасности цепочки поставок программного обеспечения.

   То есть - внедрение более строгих и предсказуемых механизмов для обеспечения безопасного функционирования продуктов в соответствии с их назначением.

   Отметим, что в указе используется понятие "критические важное программное обеспечение (critical software)" - программное обеспечение, выполняющее функции, критически важные для доверия (например, предоставляющего или требующего повышенных системных привилегий или прямого доступа к сетевым и вычислительным ресурсам). 

   Планируется его официальная публикация для включения в соответствующее руководство (см. ниже). Данное определение должно отражать

  • уровень привилегий или доступа, необходимый для функционирования, интеграцию и зависимость с другим программным обеспечением,
  • прямой доступ к сетевым и вычислительным ресурсам,
  • выполнение функции, критически важной для доверия,
  • и потенциальный ущерб в случае компрометации.

   Для обеспечения его безопасности и целостности федеральное правительство должно будет принять меры для быстрого улучшения безопасности и целостности цепочки поставок программного обеспечения, уделяя первоочередное внимание критическому программному обеспечению, в том числе провести следующие мероприятия:

  • определить существующие или разработать новые стандарты, инструменты и лучшие практики для соблюдения стандартов, процедур или критериев;
  • выпустить руководство, определяющее практики, повышающие безопасность цепочки поставок программного обеспечения;
  • определить и предоставить агентствам список категорий программного обеспечения и программных продуктов, используемых или находящихся в процессе приобретения, отвечающих определению критического программного обеспечения;
  • опубликовать руководство с описанием мер безопасности для критического программного обеспечения, включая применение практики наименьших привилегий, сегментации сети и надлежащей конфигурации;
  • исключение агентствами (по мере необходимости и в соответствии с применимым законодательством) программных продуктов, не отвечающие требованиям измененного FAR, из всех контрактов с неопределенным сроком поставки и неопределенным количеством, федеральных графиков поставок, федеральных контрактов на закупки в рамках всего правительства, договоров о бланкетной закупке и контрактов (Multiple Award Contracts);
  • директор OMB, действуя через Администратора Управления электронного правительства в рамках OMB, должен потребовать от агентств, использующих программное обеспечение, разработанное и закупленное до даты настоящего приказа (устаревшее программное обеспечение), либо выполнить любые требования, установленные в соответствии с подразделом (k) настоящего раздела, либо предоставить план, описывающий действия по исправлению или выполнению этих требований, и далее должны требовать от агентств, стремящихся продлить контракты на программное обеспечение, включая устаревшее программное обеспечение, соблюдения любых требований;
  • публикация руководящих принципов, рекомендующих минимальные стандарты для тестирования поставщиками исходного кода их программного обеспечения, включая определение рекомендуемых типов ручного или автоматизированного тестирования (таких как инструменты обзора кода, статический и динамический анализ, инструменты композиции программного обеспечения и тестирование на проникновение);
  • инициация пилотных программ, основанных на существующих программах маркировки потребительских товаров, для информирования общественности о возможностях безопасности устройств Интернета вещей (IoT) и практике разработки программного обеспечения, рассмотрение способов стимулирования производителей и разработчиков к участию в этих программах;
  • определение критериев кибербезопасности IoT для программы потребительской маркировки и рассмотрение вопроса о том, может ли такая программа потребительской маркировки работать совместно с любыми аналогичными существующими государственными программами или по их образцу в соответствии с действующим законодательством;
  • определение безопасной практики разработки программного обеспечения или критерии для программы маркировки потребительского программного обеспечения, а также рассмотрение вопроса о том, может ли такая программа маркировки потребительского программного обеспечения работать в сочетании или по образцу любых аналогичных существующих государственных программ, в соответствии с действующим законодательством;
  • в течение 1 года с даты издания настоящего указа - проведение обзора пилотных программ, консультации с частным сектором и соответствующими агентствами для оценки эффективности программ, определение возможных улучшений;
  • в течение 1 года с даты издания настоящего указа - предоставление президенту отчета о результатах, достигнутых в соответствии с данным разделом, предложение дополнительных шагов, необходимых для обеспечения безопасности цепочки поставок программного обеспечения.

   Руководство, определяющее практики, повышающие безопасность цепочки поставок программного обеспечения, должно:

  • определять инновационные инструменты или методы для демонстрации соответствия безопасной практике;
  • включать:
  • критерии, которые могут быть использованы для оценки безопасности программного обеспечения,
  • критерии для оценки практики безопасности самих разработчиков и поставщиков,
  • стандарты, процедуры,

касающиеся:

  • безопасной среды разработки программного обеспечения;
  • генерирования и, по требованию покупателя, предоставления артефактов, демонстрирующих соответствие процессам;
  • использования автоматизированных инструментов или сопоставимых процессов для поддержания надежных цепочек поставок исходного кода, обеспечивая тем самым целостность кода;
  • использования автоматизированных инструментов или сопоставимых процессов для проверки известных и потенциальных уязвимостей и их устранения, которые должны работать регулярно или, как минимум, до выпуска продукта, версии или обновления;
  • предоставления по запросу покупателя фактов выполнения инструментов и процессов, и предоставления в открытый доступ краткой информации о завершении этих действий, включая краткое описание оцененных и уменьшенных рисков;
  • поддержания точных и актуальных данных, происхождение программного кода или компонентов, а также контроля над внутренними и сторонними компонентами программного обеспечения, инструментами и услугами, присутствующими в процессах разработки программного обеспечения, и проведения аудита и обеспечение соблюдения этих мер контроля на регулярной основе;
  • предоставления покупателю спецификации материалов по программному обеспечению (SBOM) для каждого продукта напрямую или путем публикации на общедоступном веб-сайте;
  • участия в программе раскрытия информации об уязвимостях, которая включает в себя процесс отчетности и раскрытия информации;
  • подтверждения соответствия безопасной практике разработки программного обеспечения;
  • обеспечения и подтверждения, насколько это практически возможно, целостности и происхождения программного обеспечения с открытым исходным кодом, используемого в любой части продукта.

   «Критерии должны отражать базовый уровень безопасной практики и, если это возможно, должны отражать все более полные уровни тестирования и оценки, которым может подвергнуться продукт.

Критерии должны отражать все более комплексные уровни тестирования и оценки, которым может подвергаться продукт, и должны использовать или быть совместимыми с существующими схемами маркировки, которые производители используют для информирования потребителей о безопасности своих продуктов». 

   Необходимо отметить, что «учреждения могут запросить отказ от любых требований, установленных в соответствии с подразделом (k) данного раздела.  Исключения должны рассматриваться Директором OMB, по согласованию с APNSA (Assistant to the President and National Security Advisor), в каждом конкретном случае, и предоставляться только в исключительных обстоятельствах и на ограниченный срок, и только при наличии сопутствующего плана по снижению любых потенциальных рисков».

   Задача 5. Учреждение Совета по кибербезопасности (Cyber Safety Review Board).

   Совет создаётся для рассмотрения и оценки активности угроз, уязвимостей, мероприятий по смягчению последствий и ответных мер ведомств в отношении значительных киберинцидентов, затрагивающих информационные системы, управляемые федеральными гражданскими исполнительными органами (кроме систем национальной безопасности) или не федеральные системы.

   В состав Совета должны входить представители Министерства обороны, Министерства юстиции, CISA, АНБ и ФБР, а также представители соответствующих поставщиков кибербезопасности или программного обеспечения из частного сектора по решению министра внутренней безопасности.

   Министр внутренней безопасности должен созывать Совет:

  • после значительного киберинцидента, который послужил основанием для создания Объединенной координационной группы по киберинцидентам (UCG) в соответствии с разделом V(B)(2) PPD-412;
  • в любое время по указанию президента;
  • в любое время, которое министр внутренней безопасности сочтет необходимым.

   Министр внутренней безопасности после завершения рассмотрения соответствующего инцидента должен предоставлять президенту любые советы, информацию или рекомендации Совета по улучшению практики и политики кибербезопасности и реагирования на инциденты.

   Задача 6. Стандартизация системы реагирования федерального правительства на уязвимости и инциденты в сфере кибербезопасности.

   Отмечено, что

  • «процедуры реагирования на уязвимости кибербезопасности и инциденты, используемые в настоящее время для выявления, устранения и восстановления после уязвимостей и инцидентов, затрагивающих их системы, различаются в разных ведомствах, что препятствует способности ведущих ведомств более комплексно анализировать уязвимости и инциденты в масштабах всего ведомства;
  • стандартизированные процессы реагирования обеспечивают более скоординированную и централизованную каталогизацию инцидентов и отслеживание прогресса агентств в успешном реагировании».

   В связи с чем, необходимо разработать стандартный набор оперативных процедур (руководство, playbook) для использования при планировании и проведении мероприятий по реагированию на уязвимости кибербезопасности и инциденты в отношении информационных систем, управляемых федеральными гражданскими исполнительными органами (кроме систем национальной безопасности). 

   Данное руководство должно:

  • включать все соответствующие стандарты NIST;
  • использоваться учреждениями (федеральными гражданскими исполнительными органами);
  • формулировать (описывать) ход и завершение всех этапов реагирования на инцидент.

   Отметим, что для обеспечения общего понимания киберинцидентов и статуса кибербезопасности агентства, в руководстве (playbook) должны быть определены и согласованы с законодательными актами ключевые термины, тем самым будет создан общий лексикон для агентств, использующих это руководство (playbook).

   В отношении агентств, имеющих руководства, отличающиеся от указанного, сказано, что они могут их применять только после консультации с директором OMB и APNSA и демонстрации того, что эти процедуры соответствуют или превосходят стандарты, предложенные в вышеуказанном руководстве.

   Задача 7. Улучшение обнаружения уязвимостей и инцидентов кибербезопасности в сетях федерального правительства.

   Указано, что «федеральное правительство должно использовать все соответствующие ресурсы и полномочия для максимального раннего обнаружения уязвимостей и инцидентов кибербезопасности в своих сетях» и «этот подход должен включать в себя повышение видимости и обнаружение уязвимостей и угроз кибербезопасности в сетях ведомств с целью укрепления усилий федерального правительства по обеспечению кибербезопасности».

   Среди необходимых мероприятий:

  • развертывание инициативы по обнаружению и реагированию на конечные точки (EDR) для поддержки проактивного обнаружения инцидентов кибербезопасности в инфраструктуре федерального правительства, активной киберохоты (cyber hunting), локализации и устранения последствий, а также реагирования на инциденты;
  • выпуск требований для агентств FCEB (Federal Civilian Executive Branch) по принятию подходов EDR в масштабах всего федерального правительства;
  • выпуск отчёта, в котором будут рекомендованы процедуры, гарантирующие, что критически важные системы не будут нарушены, процедуры уведомления владельцев систем об уязвимых правительственных системах, а также диапазон методов, которые могут быть использованы во время тестирования информационных систем FCEB. 

   Задача 8. Улучшение возможностей федерального правительства по проведению расследований и устранению последствий. 

   Указано, что «информация из сетевых и системных журналов федеральных информационных систем (как для локальных систем, так и для соединений, размещенных у третьих лиц, таких как CSP) является бесценной как для целей расследования, так и для целей устранения последствий».

   В связи с чем должны быть:

  • разработаны рекомендации по требованиям к регистрации событий и сохранению других соответствующих данных в системах и сетях агентства. 
  • сформулированы политики для агентств с целью установления требований к регистрации, хранению журналов и управлению журналами, которые должны обеспечить централизованный доступ и видимость для операционного центра безопасности высшего уровня каждого агентства. 

   Директор OMB должен работать с руководителями агентств, чтобы быть уверенным в наличии у агентств ресурсов, достаточных для выполнения разработанных рекомендаций и требований.

   Разработанные рекомендации и требования должны включать в себя

  • типы журналов, которые необходимо вести,
  • сроки хранения журналов и других соответствующих данных,
  • сроки, в течение которых агентства должны обеспечить выполнение рекомендованных требований к регистрации и безопасности,
  • способы защиты журналов и данных, в т.ч.
  • журналы должны быть защищены криптографическими методами для обеспечения целостности после сбора и периодически проверяться по хэшам на протяжении всего срока хранения;
  • данные должны храниться в соответствии со всеми применимыми законами и правилами о конфиденциальности;

а также требования, обеспечивающие, чтобы агентства по запросу предоставляли журналы министру внутренней безопасности через директора CISA и ФБР, в соответствии с применимым законодательством. 

Требования должны позволять агентствам обмениваться информацией из журналов, по мере необходимости и необходимости, с другими федеральными агентствами.

   Задача 9. Системы национальной безопасности.

   Принять требования к системам национальной безопасности, которые будут эквивалентны или превосходить требования кибербезопасности, изложенные в настоящем приказе.

   У нас в стране в рамках обеспечения безопасности критической информационной инфраструктуры с осени прошлого года обсуждаются проекты нормативно-правовых документов по переводу всех объектов КИИ (не только значимых) на российское ПО (ОС, прикладное ПО, СЗИ), причем планируется, что предприятия за 3 месяца должны определиться с тем, какое иностранное ПО на какое российское будут заменять.

   В США такой необходимости нет – у них и так практически всё ПО - «отечественное». В этом указе они спланировали свои действия по безопасной разработке и поставке критичного ПО в федеральные гражданские учреждения, по выявлению и расследованию киберинцидентов, в том числе применительно к облачным сервисам, для обеспечения надежной и безопасной работы системы государственного управления. Надеюсь, что к концу года сможем прочесть первый отчёт о результатах его реализации.

Оставайтесь на связи, Михаил Смирнов