Принципы обеспечения стабильности киберпространства на ближайшие 10 лет - logos-pres.md
EUR/MDL - 20.13 0.1515
USD/MDL - 17.64 0.0537
VMS_91 - 3.03%
VMS_364 - 9.54%
BONDS_2Y - 7.40%
GOLD - 4,175.35 1.09%
EURUSD - 1.14 0%
BRENT - 86.11 19.63%
SP500 - 744.78 0.13%
SILVER - 62.38 2.05%
GAS - 3.14 6.8%

Принципы обеспечения стабильности киберпространства на ближайшие 10 лет

Выступление Главного сотрудника по безопасности Huawei USA Дональда Энди Перди «Уроки, которые мы должны извлечь из управления, подотчетности, прозрачности и важности конкуренции» на Региональном форуме по кибербезопасности, посвященном развитию систем защиты информации, технологиям и инновациям, проходившем в Молдове 19-20 ноября в рамках Moldova Cyber Week-2019.
По Материалам Пресс-Релиза Время прочтения: 11 минут
Размер текста
Ссылка скопирована
Принципы обеспечения стабильности киберпространства на ближайшие 10 лет

Выступление Главного сотрудника по безопасности Huawei USA Дональда Энди Перди «Уроки, которые мы должны извлечь из управления, подотчетности, прозрачности и важности конкуренции» на Региональном форуме по кибербезопасности, посвященном развитию систем защиты информации, технологиям и инновациям, проходившем в Молдове 19-20 ноября в рамках Moldova Cyber Week-2019.

Что такое кибербезопасность и почему ее важность растет по мере развития технологий?

Мы достигли конца двадцатипятилетнего периода стратегической стабильности и относительного мира между крупными державами. Конфликт между государствами приобрел новые формы, и киберактивность играет ведущую роль в этой новой нестабильной среде. За последнее десятилетие число и уровень изощренности кибератак со стороны государственных и негосударственных субъектов возросли, что угрожает стабильности киберпространства. Проще говоря, люди и организации больше не могут быть уверены в своей способности безопасно и надежно использовать киберпространство, в доступности и целостности услуг и информации.

При этом информационные и коммуникационные технологии (ИКТ) приносят конкретную пользу организациям и гражданам, а также обещают гораздо большие выгоды для нашего образа жизни и нашего экономического роста в предстоящие десятилетия.

Неизбежно то, что мы станем более зависимыми от этих технологий и ощутим негативное воздействие, если они вдруг перестанут быть доступны. Кибербезопасность — это устранение риска для сетей и цифровых систем от злонамеренных атак или вторжений. Речь идет об использовании управления рисками для защиты триады кибербезопасности, C.I.A .: конфиденциальность, целостность (точность) и доступность данных.

Для каждой нации — правительств, владельцев сетей и операторов, организаций и частных лиц — важно, чтобы поддерживались высокий уровень транспарентности и устойчивости сетей и систем. Должна существовать объективная и прозрачная основа для того, чтобы знать, делают ли сетевые и мобильные операторы, а также поставщики оборудования, компонентов и услуг, от которых они зависят, то, что они должны делать.

Необходимо внедрять единые стандарты и распространять лучшие практики, а также сопровождающие программы соответствия для обеспечения прозрачности в оценке и управлении рисками для ИКТ. Правительствам и частным организациям следует стимулировать поставщиков ИКТ к соблюдению строгих требований к закупкам и предоставлению услуг с учетом рисков и привлекать их к ответственности за невыполнение этих требований.

Для выработки рекомендаций по продвижению киберстабильности была создана Глобальная комиссия по стабильности киберпространства (GCSC). (Инициирована двумя независимыми аналитическими центрами, Гаагским центром стратегических исследований (HCSS) и Институтом EastWest (EWI), поддерживается правительствами Франции, Швейцарии, Японии и ряда других государств, Делегацией ЕС в ООН (Женева), Microsoft Corporation и др., — прим. ред.).

В начале деятельности Комиссии мы начали с определения структуры киберстабильности, состоящей из семи элементов. Эта структура включает в себя: (1) участие многих заинтересованных сторон; (2) принципы киберстабильности; (3) разработку и внедрение добровольных норм; (4) соблюдение международного права; (5) меры по укреплению доверия; (6) наращивание потенциала; и (7) открытое распространение и широкое использование технических стандартов, обеспечивающих устойчивость киберпространства. После определения этой структуры Комиссия подробно изучила три ее элемента: взаимодействие с различными заинтересованными сторонами, принципы и нормы.

Некоторые по-прежнему считают, что обеспечение международной безопасности и стабильности является почти исключительно обязанностью государств. На практике, однако, поле кибернетических битв (то есть киберпространство) разрабатывается и эксплуатируется в основном негосударственными субъектами, и мы считаем, что их активное участие также необходимо для обеспечения стабильности киберпространства. Более того, их участие неизбежно, поскольку негосударственные субъекты часто первыми попадают под удар.

Комиссия пришла к выводу, что эти негосударственные субъекты имеют не только решающее значение для обеспечения стабильности киберпространства, но и должны руководствоваться определенными принципами и связанными с ними нормами. Четыре принципа отражают эту точку зрения, призывая все стороны быть ответственными, проявлять сдержанность, принимать меры и уважать права человека:

Ответственность: каждый несет ответственность за обеспечение стабильности киберпространства.

Ограничение: ни один государственный или негосударственный субъект не должен предпринимать действия, которые нарушают стабильность киберпространства.

Требование к действию: государственные или негосударственные субъекты должны принимать разумные и надлежащие меры для обеспечения стабильности киберпространства.

Уважение прав человека: усилия по обеспечению стабильности киберпространства должны соблюдать права человека и верховенство закона.

Опираясь на эти принципы и стремясь дополнить, а не дублировать работу других, Комиссия разработала восемь норм, призванных улучшить стабильность киберпространства и устранить технические проблемы или пробелы в ранее объявленных нормах.

Государственные и негосударственные субъекты не должны:

  • ни вести, ни сознательно разрешать деятельность, которая преднамеренно и существенно наносит ущерб общедоступности или целостности ядра Интернета и, следовательно, стабильности киберпространства.
  • проводить, поддерживать или разрешать кибероперации, направленные на нарушение технической инфраструктуры, необходимой для проведения выборов, референдумов или плебисцитов.
  • вмешиваться в продукты и услуги при разработке и производстве, а также допускать их изменения, если это может существенно ухудшить стабильность киберпространства.
  • распоряжаться ресурсами ИКТ широкой общественности для использования в качестве бот-сетей или для аналогичных целей.

Государствам следует:

  • создавать процедурно-прозрачные рамки для оценки того, следует ли и когда раскрывать уязвимости или недостатки в информационных системах и технологиях, которые становятся им известны. Предположение по умолчанию должно быть в пользу раскрытия.
  • принять соответствующие меры, включая законы и нормативные акты, для обеспечения базовой компьютерной гигиены.

Разработчики и производители продуктов и услуг, от которых зависит стабильность киберпространства, должны (1) отдавать приоритет безопасности и стабильности, (2) предпринимать разумные шаги для обеспечения того, чтобы их продукты или услуги не подвергались значительной уязвимости, и (3) своевременно принимать меры в отношении уязвимостей, которые обнаруживаются впоследствии. Эти шаги и меры должны быть прозрачными и общеизвестными. Все участники обязаны обмениваться информацией об уязвимостях, чтобы помочь предотвратить или смягчить злонамеренную киберактивность.

Негосударственные субъекты не должны участвовать в наступательных кибер-операциях, а государственные должны предотвращать такие действия и реагировать на них в случае их возникновения.

Комиссия рекомендует государственным и негосударственным субъектам, в том числе международным институтам:

  • принимать и внедрять нормы, повышающие стабильность киберпространства путем содействия сдержанности и поощрения действий.
  • в соответствии со своими обязанностями и ограничениями должным образом реагировать на нарушения норм, обеспечивая, чтобы те, кто их нарушает, сталкивались бы с предсказуемыми и значимыми последствиями.
  • наращивать усилия по обучению персонала и содействию общему пониманию важности стабильности киберпространства с учетом разнородных потребностей различных сторон.
  • собирать, обмениваться, анализировать и публиковать информацию о нарушениях норм и последствиях такой деятельности.
  • создавать и поддерживать сообщества по интересам, стремящиеся помочь обеспечению стабильности киберпространства.

Для решения проблем стабильности должен быть создан постоянный механизм взаимодействия с участием многих заинтересованных сторон, в рамках которого государства, частный сектор (включая техническое сообщество) и гражданское общество могли бы должным образом участвовать и проводить консультации.

Опубликовав эти выводы, Комиссия выполнила возложенные на нее задачи. Однако для членов и сторонников GCSC, а также всех тех, кто поддерживает ее цели, кропотливая работа, необходимая для реализации этих принципов, норм и рекомендаций, только начинается. А начать ее нужно обязательно, так как преимущества киберпространства будут потеряны, если не будет обеспечена его стабильность.


Дональд (Энди) Перди, JD, CISSP, CIPP/US. Помогал разработать Национальную стратегию США по защите киберпространства (2003), после чего работал в Департаменте внутренней безопасности (DHS), где помог сформировать, а затем руководил Национальным отделом кибербезопасности (NCSD) и Группой по готовности к компьютерным чрезвычайным ситуациям в США (US-CERT) с 2004 по 2006 год. Также являлся сопредседателем Национальной координационной группы по кибер-ответам (NCRCG), основной межведомственной группы США по подготовке и реагированию на кибер-инциденты национального значения, и был представителем DHS в Комитете по системе национальной безопасности (CNSS), который устанавливает политику для классифицированных информационных сетей страны.

Затем был главным стратегом кибербезопасности для корпорации компьютерных наук США (CSC). В этой роли он внес стратегический вклад в разработку и реализацию скоординированной общекорпоративной инициативы, направленной на удовлетворение потребностей глобальной клиентской базы CSC в области кибербезопасности, и работал на национальных и международных площадках, определяющих общественную политику и осведомленность о кибербезопасности.

С 2012 года руководит службой кибербезопасности Huawei в США.


Подписывайтесь на наши обновления


Реклама недоступна
Ещё от автора*

Мы всегда рады вашим отзывам!

Последние новости
Популярное сейчас*
Обязательно к прочтению*