В 1981 году два американских автора Пэт Чоут и Сьюзен Уолтер опубликовали книгу с кричащим названием «Америка в руинах: разрушающаяся инфраструктура» (оригинальное название «America in ruins: The decaying infrastructure»). Публикация этого 97-ми страничного научно-популярного буклета подтолкнула общественность Америки к обсуждению необходимости разработки стратегии защиты критической инфраструктуры.
Следующим революционным шагом в направлении защиты объектов критической инфраструктуры стало подписание 11 мая 2017 года Президентом США Дональдом Трампом Распоряжения об усилении кибербезопасности федеральных сетей и критической инфраструктуры (оригинальное название «Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure»).
Фактически политика исполнительной власти США направлена на использование собственных полномочий по нейтрализации рисков для кибербезопасности объектов критической инфраструктуры страны вне зависимости от формы собственности этих объектов.
Американские стандарты закупок для объектов критической инфраструктуры
Директорат по науке и технике (Science and Technology Directorate), входящий в состав Департамента внутренней безопасности США (Department of Homeland Security) осуществляет тестирование и исследование новейших образцов техники и инновационных технологий на предмет их безопасности. Речь идет о том, что без соответствующего экспертного заключения этого Директората о надежности оборудования и/или технологии, ни одно государственное учреждение США не имеет права закупать какое-либо оборудование.
«Я хочу, чтобы мы каждый день спрашивали себя, как мы используем технологии, чтобы реально изменить жизнь людей»,- президент США Барак Обама.
Аналогичные ограничения накладываются в том числе на частные предприятия, если они включены в список критической инфраструктуры США. В рамках этой логики (по защите национальной безопасности), одним из знаковых решений Администрации Трампа стало введение запрета на покупку и установку система видеонаблюдения и связи, изготовленных в Китае. В августе 2018 года в «черный список» попали пять китайских компаний: Huawei Technologies Company, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company, Dahua Technology Company и ZTE Corporation.
Данные ограничения не являются чем-то новым, Дональд Трамп просто ужесточил политику своего предшественника в Белом доме. Так, в 2013 году президент США Барак Обама подписал Директиву Президентской Политики №21 (PPD-21) под названием «Защита и устойчивость критической инфраструктуры».
«Критическая инфраструктура должна быть безопасной, способной противостоять угрозам и оперативно восстанавливаться после реализованных угроз».
Целью Директивы является: уменьшение факторов уязвимости, выявление и устранение угроз, минимизация последствий, а также ускорение мер реагирования и восстановления объектов критической инфраструктуры.
В целом, положения Директивы направлены на защиту критической инфраструктуры Америки и регулируют порядок взаимодействия между государственными структурами и частными предприятиями:
«Политика Соединенных Штатов заключается в укреплении безопасности и устойчивости критической инфраструктуры против физических и киберугроз. Федеральное правительство должно работать с владельцами и операторами критической инфраструктуры, чтобы укрепить ее безопасность и устойчивость. Такие усилия должны быть комплексными и целостными, чтобы отразить взаимосвязь и взаимозависимость этой инфраструктуры».
16 секторов критической инфраструктуры США
По американскому законодательству критическая инфраструктура разделена на 16 секторов: химическая отрасль; связь; производство; плотины, шлюзы и дамбы; военно-промышленный комплекс, экстренные службы, энергетика, финансовый сектор, пищевая промышленность и сельское хозяйство; государственные учреждения; здравоохранение; ядерные реакторы и ядерные отходы; транспортная инфраструктура; система водоснабжения и водоотведения, а также коммерческий сектор.
Интересно, что к коммерческому сектору критической инфраструктуры американские законодатели отнесли любые коммерческие объекты в сфере бизнеса, торговли, развлечений или проживания, в которых пребывает «большое скопление людей».
Кстати, схожее определение для таких коммерческих объектов существует и в законодательстве Украины. Так, в статье 32 Закона Украины «О регулировании градостроительной деятельности» все объекты строительства разделены на три класса последствий (ответственности): незначительные последствия — СС1, средние последствия — СС2 и значительные последствия — СС3. По аналогии с американским законодательством, именно объекты коммерческой недвижимости с классом последствий СС3 (ТРЦ и Бизнес-центры), можно было бы отнести к критической инфраструктуре Украины в коммерческом секторе.
Кибербезопасность Интернета вещей (IoT)
11 марта 2019 года Сенатом США принят Закон об усовершенствовании кибербезопасности Интернета вещей (Internet of Things Cybersecurity Improvement Act of 2019). Если кратко, то суть закона в том, что Национальному институту стандартов и технологий (NIST) установили срок: до 30 сентября 2019 года предоставить конкретный план действий для повышения кибербезопасности устройств (IoT), в том числе используемых в повседневной жизни. При этом в пояснительной записке к законопроекту сообщается следующее:
«Ожидается, что к 2020 году рынок устройств с IoT превысит 20 миллиардов штук. Хотя многие эти устройства несут огромные преимущества для потребителей и промышленности, их незащищенность представляет огромную проблему. Часто, устройства поставляются с установленными на заводе паролями, которые не поддаются обновлению или исправлению. Устройства IoT являются слабым звеном в безопасности сетей, создавая предпосылки для атак и подвергая уязвимости глобальную сеть».
К тому же, новые стандарты и правила требуют, чтобы с 2020 года, в случае обнаружения уязвимостей, поставщики сообщали о них потребителям. Производителям запрещается жестко кодировать учетные данные в устройствах. Потребители должны иметь возможность устанавливать собственные учетные данные, в том числе имя пользователя и пароль.
Следуя этому принципу, американская корпорация Honeywell для сегмента Commercial Security выпустила новую линейку IP-видеокамер с шифрованием данных под названием «30 Серия», о которой расскажем в следующей статье.