Путь к безопасности?

СТРАТЕГИИ

Индустрия готовит план упреждающей обороны сетей

Кэрон Карлсон

Американскими ИТ-компаниями подготовлен набор рекомендаций по усилению безопасности киберинфраструктуры, с тем чтобы бизнес мог решить эту задачу без законодательных мер со стороны правительства. Все предложения предполагают добровольное участие и, по сведениям участников этой работы, включают телевизионную информацию для малого бизнеса и анализ данных об угрозах, накопленных компаниями и федеральными властями.

Чуть больше года назад американский Белый дом представил Национальную стратегию безопасности киберпространства, предусматривающую потенциальные действия частного сектора для улучшения защищенности своих сетей, однако федеральных политиков по-прежнему беспокоит их уязвимость. Например, в феврале сенатор Патрик Лихи от штата Вермонт заявил, что стране еще везет, так как террористы не проникли в ее сети. "И можно, увы, допустить, что, имея такую возможность, они рано или поздно воспользуются ею. Нам очень важно начать работу с частным сектором, скрупулезно оценить свои слабости и принять адекватные меры", - сказал Лихи.

Адам Путиам (справа), Ховард Шмит (слева)

Национальную стратегию критиковали за отсутствие конкретных директив, и в декабре три базирующиеся в Вашингтоне отраслевые организации - Information Technology Association of America (ITAA; Американская ассоциация информационных технологий), Business Software Alliance (Альянс производителей ПО для бизнеса) и TechNet - объединились с Торговой палатой США для выработки идей по реализации стратегии. Однако пока что главный результат их деятельности - еще один общий проект, а большинство деталей оставлено для будущих дискуссий.

"Наши рекомендации в основном будут напоминать дорожные карты, показывающие, что нужно сделать, чтобы добраться к желаемому месту. О мгновенных решениях здесь говорить не приходится", - сказал Гари Гарсиа, вице-президент ITAA по политике информационной безопасности.

Главной целью отраслевой инициативы, в которой занято пять рабочих групп, является максимальная активизация всех заинтересованных лиц, включая собственников инфраструктуры, пользователей и производителей. Чтобы быть услышанными малым бизнесом и индивидуальными пользователями, рабочие группы рекомендуют проводить просветительские кампании, в том числе используя телевидение.

У бизнеса есть опасения, что Конгресс наложит на корпорации новые обременительные обязательства в области безопасности, так как значительная доля взаимосвязанной национальной ИТ-инфраструктуры находится в частных руках. Политики пытались выработать меры, стимулирующие компании инвестировать безопасность аппаратуры, ПО и процессов. В прошлом году конгрессмен Адам Путнам от штата Флорида выдвинул идею обязать компании публиковать отчеты по аудиту своей ИТ-безопасности, однако, по информации его помощника, Путнам все еще обсуждает с лидерами индустрии альтернативные предложения.

Представителей власти особенно пугает вероятность широкомасштабной атаки на компьютерные сети параллельно с атакой на объекты физической инфраструктуры. На недавних слушаниях по угрозе кибертеррора сенатор Джон Кил от штата Аризона заявил, что разрушения и потери вследствие террористической атаки 11 сентября могли бы быть еще сильнее, если бы она сопровождалась кибернападением на электросети или системы водоснабжения Нью-Йорка. "Атака на эти системы парализовала бы действия служб спасения и превратила бы многих свидетелей нападения в его жертв", - сказал Кил.

Хотя деятельность рабочих групп сосредоточена вокруг общего каркаса для улучшения сетевой безопасности, она предполагает и ряд конкретных рекомендаций.

"Мы не желаем только разговаривать, нам нужны действия", - сказал Ховард Шмидт, отвечающий за информационную безопасность в фирме eBay (Сан-Хосе, шт. Калифорния). По его словам, они выработают детально расписанные планы и, в частности, предложения по улучшению образования, например, такие, как введение курса сетевой безопасности в общую программу государственных колледжей.

Рабочие группы тесно сотрудничают с Министерством национальной безопасности, и, как сообщается, в числе их предложений будут совместные исследования и разработки, связанные со сбором данных о проникновениях в сети. ИТ-индустрия надеется, что министерство сможет финансировать ряд исследований по безопасности, для которых иначе сложно выделить ресурсы.

Помимо корпоративного управления и просвещения общественности готовятся и рекомендации по совершенствованию раннего предупреждения. По словам Гарсиа, они в основном будут сосредоточены на интеграции широкого спектра уже существующих систем предупреждения. Намечаются также предложения, стимулирующие более эффективный обмен информацией.