У 1981 році два американських автора Пет Чоут і Сьюзен Волтер опублікували книгу з гучною назвою “Америка в руїнах: інфраструктура, що руйнується” (оригінальна назва “America in ruins: The decaying infrastructure”). Публікація цього 97-ми сторінкового науково-популярного буклету підштовхнула громадськість Америки до обговорення необхідності розробки стратегії захисту критичної інфраструктури.
Наступним революційним кроком в напрямку захисту об’єктів критичної інфраструктури стало підписання 11 травня 2017 року Президентом США Дональдом Трампом Розпорядження про посилення кібербезпеки федеральних мереж і критичної інфраструктури (оригінальна назва “Presidential Executive Order on Strengthening the Cybersecurity of”).
Фактично політика виконавчої влади США спрямована на використання власних повноважень з метою нейтралізації ризиків для кібербезпеки об’єктів критичної інфраструктури країни незалежно від форми власності цих об’єктів.
Американські стандарти закупівель для об’єктів критичної інфраструктури
Директорат з науки і техніки (Science and Technology Directorate), що входить до складу Департаменту внутрішньої безпеки США (Department of Homeland Security) здійснює тестування та вивчення нових зразків техніки та інноваційних технологій на предмет їх безпеки. Йдеться про те, що без відповідного експертного висновку цього Директорату про надійність обладнання та/або технології, жодна державна установа США не має права купувати будь-яке обладнання.
“Я хочу, щоб ми кожен день питали себе, як ми використовуємо технології, щоб реально змінити життя людей”, – президент США Барак Обама.
Аналогічні обмеження накладаються у тому числі на приватні підприємства, якщо вони включені до переліку критичної інфраструктури США. В рамках цієї логіки (щодо захисту національної безпеки), одним із знакових рішень Адміністрації Трампа стало введення заборони на купівлю і встановлення систем відеоспостереження і зв’язку, виготовлених у Китаї. У серпні 2018 року до “чорного списку” потрапили п’ять китайських компаній: Huawei Technologies Company, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company, Dahua Technology Company і ZTE Corporation.
Ці обмеження не є чимось новим, Дональд Трамп просто посилив політику свого попередника в Білому домі. Так, у 2013 році президент США Барак Обама підписав Директиву Президентської Політики №21 (PPD-21) під назвою “Захист та стійкість критичної інфраструктури”.
“Критична інфраструктура повинна бути безпечною, здатною протистояти загрозам і оперативно відновлюватися після реалізованих загроз”.
Метою Директиви є: зменшення факторів уразливості, виявлення та усунення загроз, мінімізація наслідків, а також прискорення заходів реагування та відновлення об’єктів критичної інфраструктури.
Загалом, положення Директиви спрямовані на захист критичної інфраструктури Америки і регулюють порядок взаємодії між державними структурами і приватними підприємствами:
“Політика Сполучених Штатів полягає в зміцненні безпеки і стабільності критичної інфраструктури проти фізичних і кіберзагроз. Федеральний уряд повинен працювати з власниками і операторами критичної інфраструктури, щоб зміцнити її безпеку і стійкість. Такі зусилля повинні бути комплексними і цілісними, щоб відобразити взаємозв’язок і взаємозалежність цієї інфраструктури”.
16 секторів критичної інфраструктури США
За американським законодавством критична інфраструктура розділена на 16 секторів: хімічна галузь; зв’язок; виробництво; шлюзи і греблі; військово-промисловий комплекс, екстрені служби, енергетика, фінансовий сектор, харчова промисловість і сільське господарство; державні установи; охорона здоров’я; ядерні реактори і ядерні відходи; транспортна інфраструктура; система водопостачання та водовідведення, а також комерційний сектор.
Цікаво, що до комерційного сектору критичної інфраструктури американські законодавці віднесли будь-які комерційні об’єкти у сфері бізнесу, торгівлі, розваг або проживання, в яких перебуває “велике скупчення людей”.
До речі, схоже визначення для таких комерційних об’єктів існує і в законодавстві України. Так, у статті 32 Закону України “Про регулювання містобудівної діяльності” усі об’єкти будівництва розділено на три класи наслідків (відповідальності): незначні наслідки – СС1, середні наслідки – СС2 і значні наслідки – СС3. За аналогією з американським законодавством, саме об’єкти комерційної нерухомості з класом наслідків СС3 (ТРЦ і Бізнес-центри), можна було б віднести до критичної інфраструктури України в комерційному секторі.
Кібербезпека Інтернету речей (IoT)
11 березня 2019 Сенатом США прийнято Закон про вдосконалення кібербезпеки Інтернету речей (Internet of Things Cybersecurity Improvement Act of 2019). Якщо стисло, то зміст закону полягає в тому, що Національному інституту стандартів і технологій (NIST) встановили термін: до 30 вересня 2019 року надати конкретний план дій для підвищення кібербезпеки пристроїв (IoT), у тому числі, що використовуються у повсякденному житті. При цьому в пояснювальній записці до законопроекту повідомляється наступне:
“Очікується, що до 2020 року ринок пристроїв з IoT перевищуватиме понад 20 мільярдів одиниць. Хоча більшість цих пристроїв надають величезні переваги для споживачів і промисловості, їх незахищеність становить величезну проблему. Частіше, пристрої постачаються із встановленими на заводі паролями, які не піддаються оновленню або виправленню. Пристрої IoT є слабкою ланкою в безпеці мереж, створюючи передумови для атак і піддаючи уразливості глобальну мережу”.
До того ж, нові стандарти і правила вимагають, щоб з 2020 року, в разі виявлення вразливостей, постачальники повідомляли про них споживачам. Виробникам забороняється жорстко кодувати облікові дані в пристроях. Споживачі повинні мати можливість встановлювати власні облікові дані, у тому числі ім’я користувача та пароль.
Дотримуючись цього принципу, американська корпорація Honeywell для сегменту Commercial Security випустила нову лінійку IP-відеокамер з шифруванням даних під назвою “30 Серія”, про яку розповімо у наступній статті.