В апреле текущего года, в Сенате США был зарегистрирован законопроект «Акт о кибербезопасности 2009» (Cybersecurity Act of 2009), который предлагает значительно расширить полномочия федеральных властей в сфере безопасности компьютерных сетей. Данный законопроект, если он будет принят, может существенно повлиять на структуру и саму суть современного Интернет. Мы решили предоставить Украинским читателям краткое содержание законопроекта. Комментарии директора ООО «Центр интернет-имен Украины» Алексея Пташного приведены курсивом.
“Акт о Национальный Безопасности в Сети Интернет 2009” (The Cybersecurity Act of 2009)
1. Содержание
2. Свидетельства
Этот раздел включает в себя свидетельства и материалы, подтверждающие необходимость создания данного органа.
3. Создание Консультативной Группы по Кибер-Безопасности
В этом разделе содержится обращение, призывающее Президента создать/назначить Консультативную Группу по Безопасности в Интернет.
Эта группа должна состоять из экспертов в области кибер-безопасности, представителей бизнеса, академических кругов и некоммерческих организаций, участвующих в информационно-пропагандистской деятельности, которые будут призваны консультировать Президента по вопросам, связанным с кибер-безопасностью.
Пояснение аналитиков: Эта консультативная группа представлена группами интересов представителей бизнеса, научных и гражданских кругов. Группа призвана дать потенциальным группам поддержки гражданских свобод возможность пересмотра программы федеральной Безопасности в Сети и корректировки усилий сообщества в направлении прогресса. Группа готовит доклад Президенту раз в два года, предоставляя рекомендации по улучшению программы.
Хорошо, что создатели данного законопроекта отдают себе отчет в том, что в результате выполнения акта потенциально возможно ущемление интересов бизнеса, а так же гражданских свобод в угоду интересам «кибер-безопасности».
4. Установка Панели Кибер-Безопасности
Этот раздел обосновывает необходимость внедрения комплексной приборной панели по управлению безопасностью в Сети, работающей динамически в режиме реального времени. Панель позволит отслеживать и сообщать о статусе и наличии уязвимостей во всех федеральных информационных системах и сетях, в рамках создаваемого Управления.
Пояснение аналитиков: отсутствие оперативного контроля за динамикой ситуации Интернет является одним из ключевых ограничений в обеспечении кибер-безопасности. Предлагаемый инструмент призван предоставлять визуальную информацию, которая позволит новому Управлению анализировать уровень возникающих в Сети угроз, с тем, чтобы эффективно руководить распределением ограниченных ресурсов противодействия угрозам.
Данная документация по внедрению Комплексной Приборной Панели может рассматриваться в контексте пилотного проекта для последующего еще большего усиления роли Федерального правительства в Интернет.
Информационная панель позволит в режиме реального времени отслеживать потенциальные и существующие угрозы кибер-безопасности, возникающие во всем мире. Каждый регион будет представлен отдельной областью на информационной панели, вероятно ресурсы будут разделены по признаку домена верхнего уровня или диапазону IP адресов. Украина будет представлена доменами .UA
5. Программа по обеспечению государственной безопасности в Сети на национальном и региональном уровнях
Данная программа призвана решать вопросы безопасности в Интернет на уровне компаний малого и среднего бизнеса силами создаваемых национальных и региональных центров безопасности.
Тогда как крупные компании, по мнению аналитиков, обладают собственными ресурсами и опытом для решения вопросов сетевой безопасности, представители среднего и малого бизнеса нуждаются в государственной защите. Данная программа призвана оказать такую защиту.
Действительно, компьютерная безопасность настолько сложное и дорогостоящее дело, что многие компании просто не могут себе позволить всерьез заняться данным вопросом. Если государство сможет предложить компаниям малого и среднего бизнеса рекомендации специалистов, аудит безопасности и другие необходимые услуги, это будет очень полезно.
6. Необходимость разработки новых стандартов Национальным институтом стандартов и технологий (НИСТ) США.
Этот раздел обязывает НИСТ разработать стандарты измерения и проверки состояния безопасности в Интернет для всех уровней федерального правительства, его подрядчиков и других грантов критической информационной инфраструктуры систем и сетей.
Этот раздел также обязывает НИСТ разработать и установить стандарты и показатели безопасности в Интернет – стандарты управления, программного обеспечения и конфигурации. Запланировать соответствующее увеличение ассигнований НИСТ для решения поставленных задач.
Создаваемая комплексная информационная панель должна базироваться на каких-то стандартах и критериях. В настоящее время не существует единой шкалы измерения безопасности. Стандарты и критерии, разрабатываемые НИСТ призваны помочь оценивать по стандартной шкале уровень кибер-угрозы и уровень защищенности компьютерных сетей.
7. Лицензирование и сертификация специалистов по безопасности в Интернете
Этот раздел вменяет в обязанности Президента, используя соответствующие департаменты и агентства, разработать и интегрировать национальную программу лицензирование и сертификация специалистов по безопасности в Сети.
Этот раздел также обязывает всех существующих федеральных специалистов по безопасности в Сети пройти данную сертификацию.
Пояснение аналитиков: если представители обычных профессий – врачи, юристы, водопроводчики, электрики и т.д. обязаны иметь лицензию для подтверждения их
квалификации, то профессионалы по безопасности в Сети тем более не должны быть исключением из правила. Существующие в настоящее время различные сертификаты по кибербезопасности не в счет, т.к. не объединены общим стандартом.
Сложно представить такую единую систему сертификации, существует очень большое число специализаций внутри единой темы «кибер-безопасность». Тема настолько динамично меняющаяся, буквально ежедневно возникают новые типы угроз и новые способы борьбы с ними. Возможно, было бы более логично сделать некий сертификат «благонадежности», аналог уровня доступа к секретной информации. Таким образом, хакер, который является крупным техническим специалистом и способен пройти любую техническую сертификацию, тем не менее не сможет получить доступ к сетям федеральных ведомств.
8. Ревизия существующего контракта с Национальной Администрацией по Информации и Телекоммуникациям при Департаменте Торговли США по управлению доменным пространством
Этот раздел предполагает создание Консультативной группы для ревизии и последующей модификации существующих контрактов Национальной Администрацией по Информации и Телекоммуникациям на предмет их соответствия интересам обеспечения национальной безопасности США.
Пояснение аналитиков: это положение касается существующего контракта Департамента Торговли США с ICANN управляющим доменным пространством, являющимся самим «сердцем» Интернет. Таким образом, предлагается исключить возможность ущемления интересов информационной безопасности США, вследствие уступки ICANN международному давлению с тем, чтобы вывести его из-под контроля правительства США.
По мнению авторов законопроекта, контроль над Интернет должен остаться за правительством США. Нам четко дается понять о неприемлемости международного контроля над Интернетом.
9. DNSSEC – Безопасность системы адресации доменных имен
Данный раздел обязывает Помощника Секретаря Национальной Администрацией по Информации и Телекоммуникациям при Департаменте Торговли США разработать стратегию и обеспечить выполнение программы безопасности в системе адресации имен в Интернете.
Мнение аналитиков: сохраняется множество разногласий по вопросу внедрения системы DNSSEC – защищенной версии системы доменных имен. (Защищенной только для США) Хотя в обязанности ICANN входило руководство данными процессами, однако эта организация не смогла справится с данными обязанностями, поэтому федеральное правительство должно употребить свое влияние с тем, чтобы окончательно решить вопрос безопасности в Интернете.
DNSSEC еще не до конца разработанная и утвержденная стратегия. В настоящее время она напрямую внедряется только в США, для доменов и поддоменов .GOV (должна быть внедрена до конца 2009 года). Однако существует множество противоречий и сложностей, в частности несогласие многих стран и держателей gTLD с данной стратегией, , например представителями Российской Федерации не раз заявлялось о несогласии с предложенной схемой. Кроме того, существуют очевидные технические сложности внедрения данной технологии.
10. Пропаганда осознания важности вопросов безопасности в Сети Интернет.
Этот раздел призван санкционировать Советника Президента на проведение кампании пропаганды и информирования общественности по вопросам безопасности и существующих рисков, а так же использования возможных контрмер для защиты.
Хакеры с успехом пользуются отсутствием у обывателей представлений об информационной безопасности, возможных рисках и базовых способах противодействия. Программа призвана повысить средний уровень информированности обывателей, что само по себе может в разы уменьшить глобальные потери, связанные с кибер-преступлениями.
11. Федеральная программа по кибер-безопасности: исследования и разработки
Этот раздел призван увеличить федеральную поддержку научных исследований и разработок по вопросам безопасности Национального научного фонда. Секция также подчеркивает важность ответственных областей исследований в соответствии с рекомендациями доклада Президентского консультативного комитета по Информации и Технологиям от 2005 года.
12. Выделение стипендий и грантов для обслуживания программы
Этот раздел предполагает создать в уставе Программы Национального научного Фонда стипендии ориентированные на набор студентов на учебную программу по безопасности в Сети. После окончания данные студенты будут служить обществу войдут в государственные агентства и департаменты для применения полученных навыков. Эта секция предполагает увеличение количества учащихся от существующих 300 до 1000 в год.
Пояснение аналитиков: стипендия за услуги была учреждена на основе Исполнительного указа, что определяет ее ранг. Дополнительно определяются полномочия для присвоения Стипендии уже служащим на Федеральной Службе сотрудникам без необходимости участия в отборочных конкурсных процедурах.
13. Проведение соревнований и конкурсов в области кибер-безопасности
Этот раздел предполагает поручить Директору Национальной Администрации по Информации и Телекоммуникациям учреждать проведение соревнований и конкурсов по проблемам безопасности в Сети с целью привлечения и найма наиболее талантливых людей в этой области.
14. Создание объединенного государственно-частного федерального клирингового центра
Этот раздел позволит Советнику Национальной Администрации по Информации и Телекоммуникациям определить клиринговое федеральное агентство для работы в качестве государственно-частного центра по безопасности в Сети угрозы и уязвимым данным. Данное клиринговое агентство будет отвечать за распределение и совместное использование данных критическими операторами в инфраструктуре федерального правительства и частного сектора.
По мнению аналитиков, один из главных недостатков существующей федеральной системы безопасности заключается в системе обмена критической информацией между федеральным правительством и представителями отрасли. Обмена важными данными между ними просто не происходило. Федеральное правительство, имеющее доступ к данным о потенциальных угрозах, не ставит в известность представителей отрасли (которые могут являться объектом потенциальных атак). Комиссия прямо призывает правительство изменить свое отношение с частным сектором (скажем, с Google, блогосферой и т.д.) и содействовать обмену информацией в целях повышения безопасности в Сети.
Необходимо принятие соответствующего законодательства, регламентирующего обмен информацией с частным сектором. (Скажем, обязывающего «стучать» по фактам неугодных действий)
В данном случае обмен информацией частного сектора с государством может быть и принудительным, однако для того, чтобы это выполнялось потребуется создать соответствующий инструментарий, соответствующие сети оповещений, соответствующие службы контроля.
15. Доклад по безопасности управлению и рисками в Сети Интернет
Этот раздел предполагает информирование Президента о создании рыночных механизмов по безопасности и управлению рисками в Сети, включая страхование гражданско-правовой ответственности и ответственности Правительства.
16. Обзор правовых рамок доклада
Эта секция обязывает Президента, силами соответствующих ведомств, завершить детальный обзор федеральных законов и нормативов, применимых к безопасности в Интернете.
17. Нормы идентификации пользователей и гражданские свободы в Интернет.
Эта секция обязывает президента предложить программы по установления подлинности личности и идентификации пользователей Интернета в интересах безопасности.
Аналитика: многие эксперты полагают, что анонимный характер Интернет является одной из главных причин его уязвимости. Эксперты считают, что установления подлинности личности и идентификации в Интернете будут содействовать интересам общей безопасности. Предлагается предварительная проработка данной меры, ввиду ее спорности с точки зрения гражданских свобод.
Пожалуй самый важный пункт законопроекта, именно этот пункт может перевернуть интернет с ног на голову и коснуться буквально каждого пользователя сети. Анонимность является ключевой особенностью Интернет, возможно даже одной из движущих сил. Трудно представить каким бы был Украинский интернет, если бы не было анонимности. Во многом, именно благодаря анонимности Интернет, в Украине появилась настоящая свобода слова. Уверен, многие наши политики были бы не против таких мер, которые потенциально способны вернуть информационный контроль в руки власть имущих.
18. Безопасность в Интернете – обязанности и полномочия
Разработка всеобъемлющей национальной стратегии в области кибер-безопасности находится в компетенции Президента. Президент также будет обладать возможностью отключения любого федерального департамента или агентства от Интернета в случаях, если они не принимают меры по исправлению, находясь в опасности.
19. Четырехгодичные проверки программы
Данный раздел обязывает президента раз в четыре года проводить проверку программы США по кибер-безопасности, подвергая ревизии стратегию, принципы, правила и бюджеты.
Аналитика: Данные проверки будут повторять периодические четырехгодичные проверки Департамента обороны для анализа состояния безопасности Сети в стране.
Это типичная практика для США. Они не только принимают законы, но в отличие от нас, контролируют их исполнение
20. Объединение разведывательных служб в оценке угроз
Данная секция обязывает Директора Национальной Службы Разведки и Министра торговли (Глава Департамента Торговли – головной организации ICANN) совместно обеспечивать оценку угроз и уязвимости важнейших национальных информационных ресурсов, коммуникаций и сетевой инфраструктуры.
21. Координация международных усилий содействия безопасности Интернета
Данный раздел обязывает президента развивать международные стандарты и технологии повышения безопасности Интернета.
Аналитика. Учитывая, что Интернет не ограничен географическими границами, необходимо координировать международные усилия по безопасности Сети на глобальной основе.
Меры предлагаемые Актом выделяют США из ряда других стран. С такой позицией, возможно, им будет трудно договориться с другими странами, претендующими на лидерство. Хотя, пожалуй, как показывает практика, если поручить такую важную задачу международной организации, то мы не увидим никаких результатов.
22. Федеральный совет по Закупкам безопасных товаров и услуг
Этот раздел предполагает создание совета по Закупкам безопасных товаров и услуг. Совет по Закупкам несет ответственность за сертификацию, удостоверяющую, что продукция, закупаемая федеральным правительством, соответствует стандартам безопасности, установленным Советом.
Аналитика: Многие критики призвали федеральное правительство использовать свои возможности закупок в качестве способа принуждения производителей и поставщиков продукции и программного обеспечения к повышению безопасности своих товаров и услуг.
Многие из ответственных за закупки лиц не включают требование обеспечения безопасности в закупочные контракты (от недостатка знаний и понимания важности они не считают это обязательным), а Совет по Закупкам призван устранить эту проблему, рассматривая и утверждая закупаемые информационные и коммуникационные технологии.
Со своим колоссальным бюджетом на государственные закупки, США в одиночку могут ввести во всем мире де-факто стандарты кибер-безопасности товаров и услуг. Производители, всегда были хорошо простимулированными возможностью заказов со стороны правительства США.
Источник: http://ukrnames.com/news/cyber-security2009.html
