Глобальный ущерб от ковида равен десяти триллионам долларов. Можете представить ущерб от кибер-пандемии?

Глобальный экономический ущерб от COVID-19 оценивается в 10-12 триллионово долларов. Представьте себе, что может случится в результате киберпандемии.

В сентябре 2024 года в Бедфорде, штат Песильвания, США состоялся семинар “Новые парадигмы безопасности”, материалы которого были опубликованы в январе нынешнего года. В числе прочих на семинаре была представлена работа уже знакомого нам специалиста по кибербезопасности Адама Шостака (я писал о его последней книге в этом блоге) и его соавтора Джосайи Дийкстра, который двадцать лет проработал в АНБ.

Поскольку опубликованный материал назывался “Борьба с киберугрозами пандемического масштаба: Уроки COVID-19”, я воспринял это как продолжение направления размышлений Адама Шостака, с которым познакомился в его книжке. Поэтому я решил не просто пересказать, а перевести эту статью на русский язык и предложить ее вашему вниманию, благо объем сравнительно небольшой.

Понятие “киберинцидент пандемического масштаба” вводится в этой статье гипотетически, но на примерах киберинцидентов последних 40 лет показывается, как близки мы были к этому. И хотя киберпандемия пока не случилась, готовиться к ней надо. Еще одна причина, по которой я заинтересовался этим материалом заключается в том, что много лет назад, во второй половине нулевых годов этого века, мне довелось принять участи в работе АДЭ — Ассоциации документальной электросвязи. Эта уникальная профессиональная организация в форме общественно-государственного объединения ежегодно проводит конференцию под названием “Обеспечение доверия и безопасности при использовании ИКТ”. Работа, в которой я принимал участие двадцать лет назад относилась к разработке отраслевых рекомендация по взаимодействию операторов связи и сервис провайдеров в условиях чрезвычайных ситуаций и чрезвычайных происшествий (ЧС и ЧП). В терминах приведенной ниже статье Шостака и Дейкстры этот документ являлся плейбуком для угроз любого характера (all-hazards). Все примеры в статье приводятся на примере США, то ли глобального партнера России, то ли вероятного противника, если вы не уверены — дождитесь очередного интервью Трампа. Ведется ли работа по разработке плейбуков для киберсобытий пандемического масштаба в России, я пока не знаю, но собираюсь узнать и отчитаться в одной из следующих публикаций.

В тексте упоминается множество угроз и инцидентов, которые мне пришлось гуглить, чтобы освежить в памяти. Следы этого своего гугления я оставил в виде примечаний к переводу статья, чтобы вы могли не отрываться от чтения, а гуглить позже и глубже. Надеюсь, это окажется полезным.

Перевод статьи Шостака и Дийкстры.

Оригинал находится здесь:

https://dl.acm.org/doi/10.1145/3703465.3703466

Борьба с киберугрозами пандемического масштаба: Уроки COVID-19

Аннотация

Разрушительные последствия пандемии COVID-19 для здоровья, общества и экономики подсвечивают возможные риски неготовности к катастрофическим киберсобытиям пандемического масштаба. Хотя природа этих угроз различна, реакция на COVID-19 дает ценные уроки, которыми можно руководствоваться при подготовке и реагировании на киберсобытия. Опираясь на критическую важность сотрудничества и заранее определенных ролей в реагировании на пандемию, мы подчеркиваем необходимость разработки аналогичной доктрины и набора навыков для киберугроз. Мы здесь представляем рамочную структуру действий, описывая характеристики киберсобытия пандемического масштаба и отличая его от менее масштабных инцидентов, с которыми мир сталкивался ранее. Эта схема ориентирована на Соединенные Штаты. Мы анализируем шесть важнейших уроков COVID-19, излагая ключевые соображения для успешного достижения состояния готовности, признавая при этом ограниченность метафоры пандемии и предлагая практические шаги для разработки надежной системы киберзащиты. Изучив опыт COVID-19, правительственные агентства, частный сектор, специалисты по кибербезопасности, ученые и политики смогут разработать проактивные стратегии, которые обеспечат защиту критической инфраструктуры, минимизируют экономический ущерб и обеспечат устойчивость общества перед лицом будущих киберсобытий.

1 Введение

Пандемия COVID-19 привела к тому, что человечество столкнулось с широкомасштабной, смертоносной и быстро распространяющейся угрозой. Она привела к ужасающим последствиям для жизни людей и мировой экономики. COVID-19 дает возможность задуматься о том, как мы должны подходить к подготовке и реагированию на катастрофические цифровые события, несмотря на их заметные отличия от биологического мира,. Люди, процессы и технологические системы в 2024 году не были готовы к цифровым угрозам пандемического масштаба, но своевременное и эффективное реагирование будет более вероятным, если мы учтем уроки COVID-19.

COVID-19 нарушил нашу жизнь и жизнь общества так, как, как мы все надеемся, бывает только раз в жизни. Людям пришлось переоснащать свои рутинные процессы, а бизнесу – перестраиваться. Дети, остающиеся дома, удаленная работа, невозможность навестить друзей и родственников, находящихся в уязвимом положении, оказали значительное влияние на всех нас. Многие люди, занимающие важные должности или работающие в сфере услуг, вынуждены были продолжать присутствовать на работе лично в условиях быстро меняющихся правил, и зачастую они были публичным лицом меняющихся правил поведения для растерянной, напуганной и разгневанной общественности.

В многочисленных отчетах отражено, как COVID-19 вызвал эффекты второго порядка в виде новых киберугроз, а также повлиял на практику киберзащиты. К ним относятся: стресс от перехода на удаленную работу, стресс от поддержания кибербезопасности в организациях с ограниченными ресурсами, киберугрозы для исследований и учреждений здравоохранения [21], а также фишинг и дезинформация, которые подпитывались COVID-тематикой [28]. Хотя эти эффекты второго порядка не являются предметом нашей работы, они очень значимы и требуют дальнейшего изучения для их ослабления.

Мы исследуем, как ответ на разрушительную глобальную киберугрозу может использовать опыт ответных мер на биологическую пандемию COVID-19. Реагирование на киберсобытие пандемического масштаба потребует международного осознания и сотрудничества, а также эффективной подготовки. Тем не менее, для сохранения масштаба охвата и в качестве отправной точки мы намеренно ограничиваемся рассмотрением вопросов на национальном уровне в Соединенных Штатах. Мы признаем, что некоторые виды киберсобытий имеют географическую составляющую, что закрыть границу в киберпространстве сложнее, чем в физическом мире, и что меры реагирования как на пандемии, так и на киберсобытия обычно принимаются на правительственном уровне, где важна международная координация. Соединенные Штаты относят сектор информационных технологий к критической инфраструктуре, но на международном уровне Интернет не признается и не управляется как критическая инфраструктура. В будущем необходимо учитывать эти моменты.

События пандемического масштаба (PSE), определенные в разделе 2, могут показаться слишком большими, слишком редкими или слишком сложными, чтобы иметь для них осязаемый, полезный план и схему действий. Тем не менее, это не предположение «что будет если…», а предположение, которое спрашивает: «что будет, когда…» [22]. В действительности разнообразие потенциальных PSE больше, чем сходств, которые роднят биологические пандемии. Область моделирования угроз предлагает полезные идеи для размышлений о PSE. Если заблаговременно продумать возможные сценарии, точки принятия решений и стратегии смягчения последствий, то даже высокоуровневая программа действий может значительно уменьшить хаос и улучшить время реагирования во время крупномасштабного киберсобытия. Такая готовность способствует более взвешенной и скоординированной защите, сводя к минимуму потенциальные сбои и ущерб. Моделирование угроз с его акцентом на понимание систем и того, что в них может пойти не так, обеспечивает структурированный подход к созданию такой программы действий. Применяя эти действия и взгляд на PSE, мы можем предвидеть группы проблем, предсказать их потенциальные последствия и разработать планы реагирования, которые эффективно решают уникальные проблемы киберпандемии.

Если все делать правильно, подготовка Соединенных Штатов и других стран к киберсобытию масштаба пандемии принесет огромную пользу. Подготовка и тренировка — это ключ к тому, чтобы избежать дорогостоящих ошибок — экономических и иных —  из-за предвзятости действий и принятия необдуманных решений во время кризиса [12]. Стратегии превентивного реагирования также способствуют защите и устойчивости критически важных национальных функций во время киберсобытий пандемического масштаба. Сотрудничество будет иметь ключевое значение, так же как оно имеет ключевое значение для жизни и безопасности в критически важных функциях — от транспорта до поставок продовольствия. Современная кибербезопасность – это не только технологии, но и разработка доктрины, навыков и распределение ролей. Нигде это не проявляется так ярко, как в киберсобытиях масштаба пандемии.

Мы приводим аргументы в пользу немедленной и всесторонней подготовки к киберугрозе пандемического масштаба, используя междисциплинарные уроки, полученные в ходе COVID-19. В разделе 2 мы даем определение и характеристику события пандемического масштаба. В разделе 3 мы извлекаем из COVID-19 шесть важнейших уроков, которые могут быть полезны для кибербезопасности. В разделе 4 представлены критические соображения. В разделе 5 мы предлагаем идеи для создания практического руководства к действию (плейбук), а в разделе 6 делаем выводы.

2 Киберсобытия масштаба пандемии

В этой статье мы рассматриваем события, которые требуют от каждого члена большой группы людей изменить свое поведение, что приводит к изменению образа жизни или ведения бизнеса в течение месяца или более. Исторически такие события происходят нечасто. Поэтому мы сосредоточимся на событиях «раз в несколько десятилетий» и расскажем, что это могут быть за события. На языке общественного здравоохранения определяющими различиями между эпидемиями и пандемиями являются скорость и масштаб распространения инфекционного заболевания. Цифровые угрозы могут быть как инфекционными, так и неинфекционными, но и те, и другие могут затрагивать большие группы людей и требовать изменения поведения. Такие киберсобытия могут быть связаны с уязвимостями в аппаратном и программном обеспечении, но они также могут быть результатом и включать в себя мультидисциплинарные проблемы в разнообразных областях, такие как крупномасштабные явления физического мира в виде солнечного супершторма [47] или сильного электромагнитного импульса. Несмотря на нечастое появление сильных геомагнитных бурь, существует «потенциал необратимых повреждений, которые могут привести к чрезвычайно длительному времени восстановления» [7].

События масштаба пандемии – это нечто большее, чем непредвиденные уязвимости или слабости. Такие уязвимости, как Heartbleed¹ или коллекция проблем Log4Shell², действительно являются событиями типа «свистать всех наверх!», которые подвергают стрессу целый сегмент цифровой системы, включая владельцев бизнеса и специалистов по кибербезопасности. Однако эти уязвимости появляются регулярно, начиная с червя Морриса³, «клуба баг-месяца-в-Sendmail”⁴ или так называемому «Лету Червей»⁵. Хотя Slammer и Code Red⁶ оказали значительное влияние, они не требовали устойчивых изменений в поведении широкой группы пользователей (хотя можно утверждать, что сотрудники Microsoft, чьи процессы разработки изменились, подпадают под это определение). Эти уязвимости объединяет то, что они находятся в программном обеспечении, ориентированном на интернет, часто в коде предварительной авторизации, и легко эксплуатируются. В этом смысле их можно сравнить с лесными пожарами или наводнениями. Специалисты по ликвидации последствий чрезвычайных ситуаций имеют большой опыт и хорошо определенные процессы для борьбы с ними. Такие события могут кардинально изменить или даже оборвать жизнь людей, но делают это в ограниченных пределах. Можно также сказать, что такие события, как взлом кредитных карт TJX⁷, утечка финансовой информации из Equifax⁸, DDoS-атака ботнета Mirai⁹ на DNS Dyn или взлом OPM (Агенства кадровой службы США), не требовали ответных мер пандемического масштаба или продолжительности.

Можно представить себе широко распространенные киберугрозы, которые действительно требуют столь масштабных ответных мер — либо изменения поведения, либо производства нового оборудования. Например, довольно легко эксплуатируемые уязвимости Spectre или Meltdown¹⁰, вынуждающие клиентов массово и на длительное время покидать облако, могут потребовать разработки, производства, поставки и развертывания нового оборудования у облачных провайдеров. Такими инцидентами могли быть инцинденты с Gigabyte и Barracuda в 2023 году. У Gigabyte был дефект в конструкции материнской платы, из-за которого материнские платы небезопасно загружали и исполняли контент. Это было обнаружено в 2023 году, и Gigabyte успела выпустить патч. Компания Barracuda, чей дефект также был обнаружен в 2023 году, рекомендовала заменить свои аппаратные устройства для защиты электронной почты. Что, если бы дефект Gigabyte не был так легко исправлен? Что, если бы проблема Barracuda затронула бы, скажем, Cisco или Juniper, или других производителей основных интернет-маршрутизаторов? Эти маршрутизаторы выходят в Интернет, и замена тысяч из них может привести к истощению запасов и перегрузке экономно настроенного производства, возможно не более нескольких крупных маршрутизаторов в день. Это, вероятно, приведет к истощению цепочки поставок различных компонентов, ограничит производство и повлияет на выпуск других товаров. (Нехватка микросхем сократила производство автомобилей, по оценкам, на 9,5 миллиона машин во время пандемии, а наводнения в Таиланде в 2011 году угрожали замедлить производство персональных компьютеров по всему миру [3, 4]). Хотя некоторые части интернета устойчивы, другие довольно хрупки. Системы энергоснабжения уязвимы, и длительное их отключение почти наверняка приведет к катастрофе. Аналогичным образом, длительное отключение DNS затруднит восстановление (проводимое без остановки работы). По описанию, перебои в работе Crowdstrike в июле 2024 года затронули 674 000 организаций ¹¹[24]. Несмотря на масштаб проблемы, мы не считаем, что она представляет собой то, что мы называем пандемией, потому что для большинства людей это было «выполнить эти шаги, один раз». Аналогично, другие очень крупные инциденты, такие как Solarwinds и OPM, не предполагали изменения поведения большой группы людей.

Другие группы тоже обеспокоены, в том числе финансовый сектор. Финансовый кризис 2008 года стал одним из примеров того, как системный риск привел к серьезным последствиям и привел к тому, что надо было что-то делать с учреждениями, которые были «слишком большими, чтобы обанкротиться». В 2021 году председатель Федеральной резервной системы Джером Пауэлл заявил, что «риск, за которым мы сейчас следим больше всего, – это киберриск» [15]. Кибератака на одну финансовую организацию может распространиться и превратиться в событие масштаба пандемии.

К счастью, мы можем утверждать, что киберугроз, сравнимых с COVID-19 по масштабам и последствиям, пока не было. Хотя такие киберугрозы вполне возможны, мы не беремся судить об их вероятности. Если такое произойдет, то мы захотим быть готовыми, и здесь мы можем извлечь уроки из подготовки и реагирования на Covid.

Мы не первые, кто исследует катастрофические киберинциденты. В исследовании 2007 года сообществу кибербезопасности было предложено подготовиться к «распространению широкомасштабного отказа или сбоя в работе систем критической инфраструктуры с сопутствующим большим количеством вреда для общества» [30]. Исследователи представили характеристики, признаки и симптомы таких событий без конкретных предложений по их предотвращению, подготовке к ним и реагированию на них. В 2014 году президентский Консультативный комитет по телекоммуникациям в сфере национальной безопасности (NSTAC) выпустил отчет, содержащий схему эскалации участия государства в киберинцидентах с национальными и экономическими последствиями [6]. Всемирный экономический форум стимулировал обсуждение идеи «киберпандемии» [26]. Эйта и Газит [14] изучили шестичасовое отключение Facebook, произошедшее в 2021 году, и представили совокупность потенциальных последствий широкомасштабного отключения. Респонденты их опроса сообщили о сложной смеси реакций, включая даже радость от кратковременного отключения. В исследовании сценариев поведения 754 американских студентов, проведенном до Covid, участники прогнозировали последствия длительного и широкомасштабного отключения Интернета и больше внимания уделяли личным последствиям, чем общественным [19]. Мы расширяем и дополняем эти работы.

2.1 Характеристики события пандемического масштаба

Классическое определение пандемии – это «эпидемия, возникающая во всем мире или на очень большой территории, пересекающая международные границы и обычно затрагивающая большое количество людей» [36]. Это определение недостаточно применительно к киберсобытиям, поскольку масштаб не является единственной значимой и отличительной характеристикой. Может возникнуть позыв охарактеризовать PSE по шкале порядка величины, например, в 10 или 100 раз больше жертв, больше дней бездействия или больше финансовых потерь по сравнению с каким-то эталонным событием. История показывает, что все более крупные утечки данных не привели к изменениям в поведении, и неясно, существует ли масштаб, при котором они могли бы произойти. Большинство клиентов жертв утечки данных не меняют своего поведения [25].

Мы характеризуем события пандемического масштаба как те, которые требуют от каждого члена большой группы изменить свое поведение, что приводит к изменению образа жизни или ведения бизнеса в течение месяца или более, или события, которые нарушают давно сложившиеся представления. В данном разделе эти критерии конкретизируются. Мы называем их по-разному, слегка варьируя термин “события пандемического масштаба (PSE)” для более ясного изложения и подразумеваем всякий раз одно и то же.

«Каждый член большой группы». Если рассматривать это как «команда безопасности не может справиться с проблемой самостоятельно», то этот критерий встречается чаще всего, поскольку многие проблемы требуют участия технологических служб. Замена материнской платы может быть сложной для каждого отдельного сотрудника; выход из облака может повлечь за собой крах усилий всей компании.

«Изменение поведения». Изменение большее, чем «выполнить эти шаги один раз». Например, дефект в Bluetooth может повлечь за собой отключение всех устройств Bluetooth, в том числе на устройствах Apple функцмй AirDrop, AirPlay и «FindMy», включая AirTags, и требует либо новых способов достижения этих целей, либо признания того, что они какое-то время будут недоступны.

«Новое производство». Проблема, которая может надолго вывести из строя аппаратное обеспечение, потребует несколько месяцев или даже лет для восстановления. Мы видели весь диапазон предвестников таких событий, от аппаратной ошибки вычислений в Pentium 4¹², через Spectre и заканчивая дефектами BMC/IPMI¹³.

«Нарушение предположений». Планировщики пандемии предполагали, что заражение будет сопровождаться симптомами, такими как лихорадка или кашель. Это позволило бы проводить быструю проверку в аэропортах и других местах, чтобы замедлить первоначальное распространение. Covid нарушил это предположение («без симптомов нет заражения»). В кибербезопасности может случиться то же самое. Самым очевидным будет сбой основного криптографического алгоритма, например SHA-2-256, или режима работы, например AES-GCM или AES-CCM. Могут подойти под определение и новые семейства уязвимостей с широко распространенными случаями, которые легко найти (например, организованное распознавание проблем с форматной строкой), но мы отмечаем, что и криптографические сбои, и новые семейства уязвимостей случаются «раз в несколько лет».

Другие исследователи тоже сравнивали признаки кибер- и биологических угроз; наша же цель – улучшить подготовку к будущим кибер-инцидентам, используя наблюдения за глобальной реакцией на COVID-19. Общими признаками, которые мы считаем определяющими, являются: новизна угроз, высокая степень их распространения, серьезные осложнения и быстрый глобальный охват. Даже программы-вымогатели и социальная инженерия, несмотря на их значимость, не достигают этого порога. Однако можно представить себе вредоносное ПО, отвечающее этим четырем критериям.

Кроме того, деятельность в повседневной жизни (ADL) – это термин, который используется в здравоохранении с 1950 года для обозначения основных задач повседневной жизни, которые люди выполняют самостоятельно и которые способствуют безопасности и качеству жизни [13]. ADL включает прием пищи, одевание и передвижение. Исследователи изучали влияние пандемий на ADL, изучая изменения в способности людей выполнять основные задачи под воздействием различных факторов, связанных с пандемиями и другими причинами. Было бы интересно изучить составляющие цифровой деятельности повседневной жизни, особенно если какая-то шкала или индекс могут количественно оценить влияние PSE.

2.2 Пределы пандемической метафоры

В некоторых отношениях цифровой мир существенно отличается – даже лучше подготовлен, чем биологический. Уязвимости регулярно исправляются. Крупнейшие производители программного обеспечения уже имеют хорошо отлаженные механизмы распространения патчей, которые могут работать или не работать в PSE. В некоторых случаях вред также можно ограничить. Атаки, использующие инфраструктуру доверия, могут быть ограничены даже одной жертвой. Такие атаки, как северокорейская атака на Sony или иранская атака на Saudi Aramco, были весьма разрушительными, но их масштабы были ограничены. В случае с Aramco 30 000 компьютеров были стерты и нуждались в переустановке, но их можно было переустановить. Если бы был перезаписан их UEFI (интерфейс  между операционной системой и микропрограммами), Aramco пришлось бы заменить эти 30 000 машин.

Биологические болезни часто приводят к заболеванию и смерти своих носителей и представляют особую опасность для людей, которые дышат тем же воздухом, подвергаются воздействию других выделений, могут заразиться через кровь и так далее. Люди, которые выздоравливают после болезни, могут иметь иммунитет к дальнейшему заражению, хотя патогенные микроорганизмы мутируют. Биологическое выздоровление также может охватывать более широкий спектр, нежели бинарный цифровой мир — «или инфицирован, или нет», включая такие состояния как “постковидный синдром” или “постполиомелитный синдром”.

Есть моменты, в которых цифровой мир более уязвим, чем биологический. Так, например, поскольку многие устройства по своей природе объединены в сеть, скорость и возможность распространения угроз огромны. Еще двадцать лет назад Роберт Моррис мог сказать: «В первом приближении каждый компьютер напрямую связан с каждым другим компьютером в мире[32]». Три месяца предупреждения, которые мы имели при появлении Covid, могут оказаться недоступными для нас во время киберугрозы.

Наконец, скорость и масштаб проблем здравоохранения или общества могут быть классифицированы как пандемия, эпидемия или даже «медленная эпидемия». Пандемии характеризуются по скорости распространения и географическому охвату [33]. Существуют также эпидемии и понятие «медленных эпидемий», которые возникают в течение многих лет. Например, в 1997 году Всемирная организация здравоохранения объявила ожирение глобальной эпидемией, учитывая его быстрый и повсеместный рост в предыдущие десятилетия [34]. Точно так же, реагируя на рост фишинга, мы медленно смирились с неудобствами многофакторной аутентификации, ложными срабатываниями спам-фильтров и другими изменениями в нашем поведении. Если бы фишинг появился внезапно, это могло бы стать событием масштаба пандемии. Сегодня фишинг, как и Covid, стал эндемичным в той мере, в какой не стал таковым ransomware. То есть люди смирились с тем, что фишинг присутствует в окружающей среде. В отличие от этого, ransomware воспринимается как «событие», которое привлекает внимание в новостях и в залах заседаний. К сожалению, пандемия COVID показала, что некоторые проблемы достигают той стадии, когда общественность считает, что ничего нельзя сделать или что то, что можно сделать, не стоит того. Фишинг и спам, возможно, достигли этой стадии.

3 Уроки пандемии COVID-19 для кибермира

В своей книге «Уроки войны c Covid», вышедшей в 2023 году, Кризисная Ковид группа (Covid Crisis Group), оглядываясь на прошедшие три года,  задокументировала личный опыт, многочисленные интервью с представителями правительства и отрасли, а также экспертный анализ ключевых тем и проблем [20]. В состав группы вошли известные профессора, авторы, историки, руководители компаний и бывшие государственные деятели. Они собрались для того, чтобы заложить основу для создания Национальной комиссии по Ковиду по образцу Комиссии 9/11, однако в США подобную комиссию по Covid так и не собрали. Поскольку эти эксперты определили основные уроки с точки зрения здравоохранения и общественного здоровья, мы используем их работу в качестве информационного руководства для осмысления киберугроз пандемического масштаба. Это не единственные уроки и не единственные соображения, касающиеся кибербезопасности, но они иллюстрируют фундаментальные темы для понимания и действий сегодня.

3.1 Урок 1: Достоверная статистика — основополагающее требование

Обнаружение, отслеживание распространения, сдерживание и анализ последствий событий пандемического масштаба возможны благодаря данным и учреждениям, которые их собирают, анализируют и сообщают. То есть, благодаря статистической инфраструктуре. Эта инфраструктура была необходима во время COVID-19. Биомедицинский надзор опирается на инфраструктуру и участие, которые не могут быть быстро созданы после возникновения угрозы. Кризисная группа Covid пишет, что «в сфере здравоохранения формируется консенсус относительно того, что необходимый обмен данными в США больше не может быть сугубо добровольным, случайным» [20].

Однако данные слишком часто рассматриваются как «скучные» и хронически недофинансируются. Когда появился Covid, системы сбора данных работали со скрипом; некоторые в буквальном смысле пользовались отчетами, отправленными по факсу [45]. По данным Исследовательской службы Конгресса США, CDC уже несколько десятилетий работает над переводом системы наблюдения за общественными данными на более надежные интегрированные электронные системы; к моменту начала пандемии этот процесс был еще не завершен» (курсив авторов) [41].

Официальный сбор данных, анализируемых исключительно уполномоченными специалистами, ограничивает скорость и разнообразие точек зрения на знания, получаемые из этих данных. Добровольцы, занимающиеся изучением данных, были мотивированы на то, чтобы помочь выявить новые тренды и предложить новые меры по их снижению. У этих непрофессиональных аналитиков почти наверняка было больше времени для глубокого погружения и широкого исследования. Краудсорсинг должен осуществляться этично и ответственно. Юридическая защита данных о здоровье и последствия для кибербезопасности были тщательно рассмотрены Седенбергом [40].

Сегодня сбор и обмен данными о кибербезопасности сильно фрагментирован и зачастую разрознен. Технологические компании располагают огромными объемами данных как о собственном программном обеспечении и инфраструктуре, так и о трафике, который они видят в Интернете. В случае киберсобытия масштаба пандемии потребуется консолидация и авторитетные источники. Подобно CDC в здравоохранении, логическим центром для сбора и обмена статистическими данными по кибербезопасности могла бы стать такая правительственная организация, как CISA. Другие специалисты предложили создать специальное Бюро киберстатистики [27].

3.2 Урок 2: Неформальные сети невероятно сильны

В дополнение к формальным отношениям, сложившимся в результате регулирования, волонтерским организациям и договорным обязательствам, во время COVID-19 возникли устоявшиеся неформальные связи и новые сети взаимодействия людей, которые принесли неожиданную пользу. Кризисная группа Covid писала, что «гораздо более ценной в условиях кризиса оказалась просто большая неформальная сеть ученых и врачей, работающих в больницах и лабораториях по всему миру, включая сети, связанные через более влиятельные некоммерческие фонды» [20].

Возьмем один конкретный пример. «Во время “Operation Warp Speed»¹⁴. . . фармацевт  Патель был ключевым членом команды, которая разработала план распространения сотен миллионов вакцин Covid в рамках беспрецедентного партнерства с частными аптечными сетями, такими как CVS и Walgreens» [20]. В случае киберсобытия пандемического масштаба мы должны предположить, что некоторые блестящие и неожиданные индивидуальные участники могут стать ключевыми игроками. Мы должны ожидать нестандартных решений, возможно, от местных компаний или экспертов, чтобы помочь людям справиться с киберугрозой. Возможно, нам также придется иметь дело с людьми, которые кажутся чудаками из-за их твердой приверженности необычным идеям. Кто знает, они, может и чудаки… а может блестящие одиночки.

Специалисты по кибербезопасности дополняют официальную деятельность по реагированию неформальными сетями — от личных связей до приватных чатов. Установление доверия развивается со временем, но в условиях кризиса эти отношения могут превзойти медленный формальный обмен информацией. При подготовке к кибернетическому PSE следует признать, что эти неформальные сети будут играть определенную роль в реагировании, предоставить данные и инструменты для расширения их возможностей и найти способы максимально использовать их преимущества. Неформальные сети были признаны в качестве урока, усвоенного еще киберзащитниками, реагировавшими на червя Морриса[37]. Тестам, основанным на сценариях, следует учитывать роль неформальных отношений.

3.3 Урок 3: Неясные роли и обязанности препятствуют прогрессу

В современном мире здравоохранение представляет собой сложную систему, в которую вовлечены врачи, занимающиеся частной практикой, тех, кто работают в больницах, и тех, кто делают и то, и другое. Существуют местные и сетевые аптеки, испытательные лаборатории, исследователи и производители лекарств; список можно продолжать до бесконечности. Взаимозависимость прослеживается во всей экосистеме.

Управление здравоохранением в Соединенных Штатах также является сложной задачей, поскольку существует множество агентств и нет центрального руководителя. Существуют учреждения, занимающиеся исследованиями (например, Национальные институты здоровья), безопасностью лекарств (например, Управление по контролю за продуктами и лекарствами), общественным здравоохранением (например, Центры по контролю и профилактике заболеваний), Центры Medicare и Medicaid Services, здравоохранение (частные и государственные), а также биофармацевтика (государственная и частная). В то время как федеральные департаменты и агентства могут обеспечить лидерство и руководство, органы власти штатов и местного самоуправления в конечном итоге играют уникальную роль в реальном оказании медицинской помощи, не говоря уже об управлении. Попадание вакцин в руки людей происходит на местном уровне.

Учитывая нынешний децентрализованный характер ролей и обязанностей в сфере кибербезопасности в США, нет причин ожидать, что ответ на киберпроисшествие масштаба пандемии будет спонтанно хорошо скоординирован. CISA является ведущим федеральным агентством по обеспечению устойчивости гражданской кибербезопасности [23]. Однако, как мы видели во время COVID-19, угроза пандемии может привести к привлечению оборонного аппарата, включая Закон об оборонном производстве, предписывающий предприятиям уделять первоочередное внимание работе, имеющей важное значение для национальной обороны. Кроме того, пандемия COVID показала нам, что перед лицом масштабных событий существующие институты отходят на второй план. Жесткий отбор лидеров не так важен, как общее понимание того, кто обладает полномочиями и возможностями для достижения конкретных результатов. Как и в случае с местным здравоохранением, некоторые киберсобытия пандемического масштаба потребуют ответных мер на местах, например, замены оборудования. Для многих людей даже установка или изменение конфигурации программного обеспечения потребует индивидуальной помощи.

3.4 Урок 4: Коммуникации должны быть четкими и эффективными

Своевременное создание, распространение, доставка и потребление полезной информации крайне важно в условиях кризиса. Стоит обратить внимание на два аспекта: уязвимость каналов связи и доверие получателя к сообщению.

Урок 4А: Наши цифровые коммуникации уязвимы. Огромная часть человеческого общения, распространения информации и развлечений сегодня осуществляется с помощью интернета. Если киберинцидент масштаба пандемии выведет из строя интернет-коммуникации, что придет на смену? Как вещание, так и личные коммуникации теперь в основном цифровые. Телевидение, радио и газеты — все они зависят от интернета и местных компьютерных систем производства и передачи информации. PSE, выводящая из строя компьютеры или сети, может помешать широкому распространению информации об устранении последствий и восстановлении. Отметим, что местные системы реагирования, разработанные для чрезвычайных ситуаций любого типа (all-hazards), имеют неинтернетные двусторонние радиостанции и средства связи с населением, включая местное радио, телевидение и газеты [1].

Урок 4B: Плохие коммуникации подрывают доверие и уверенность. Люди жаждут социальных связей и общения, и особенно в условиях кризиса и неопределенности. Во время COVID-19 люди приспособились звонить по телефону и собираться на открытом воздухе, чтобы преодолеть изоляцию. Когда больные и умирающие не могли быть рядом со своими близкими, медицинские работники импровизировали и обеспечивали связь между ними.

Эффективному информированию общественности мешали научные споры, например, о том, что капельная передача инфекции отличается от воздушно-капельной. Эти споры усугублялись политическим вмешательством и несоблюдением требований на всех уровнях правительств многих стран. Например, президент Трамп объявил, что не будет носить маску, а премьер-министр Борис Джонсон устраивал вечеринки на Даунинг-стрит, 10. В результате возникли путаница и вакуум для заполнения его дезинформацией. Политизацию следует ожидать в ближайшем будущем. Более того, предоставление медицинской дезинформации во время COVID оказалось прибыльным делом и обеспечило путь к известности. Например, газета Washington Post рассказала о том, как «четыре крупные некоммерческие организации, которые стали известны во время пандемии коронавируса, используя распространение медицинской дезинформации, в общей сложности получили более 118 миллионов долларов в период с 2020 по 2022 год» [39]. Представляется разумным рассмотреть возможность дезинформации после PSE. Группы по обмену кибернетической информацией, возникшие во время пандемии, подверглись нападкам за «цензуру» [38]. Установление фактов, а также убеждение людей понять и принять их — это проблема, выходящая за рамки одной лишь пандемии; однако подготовку эффективных коммуникаций необходимо планировать и тестировать уже сейчас.

Коммуникации играют ключевую роль в повышении устойчивости человека к внешним воздействиям, способствуя взаимопониманию, укрепляя сообщество и содействуя эффективному реагированию на вызовы. В одном из анализов уроков, извлеченных из пандемии, подчеркивается тема устойчивости. Авторы подчеркивают, что «ясные и доступные коммуникации» необходимы для управления кризисом, независимо от угрозы [31]. Кроме того, они отмечают, что коммуникации и анализ данных были полезны не только для правительств; общественность, ученые и промышленные круги поощрялись к использованию имеющихся данных для содействия усилиям по реагированию.

3.5 Урок 5: Существующие планы могут оказаться недостаточными для руководства к действию

Еще до появления COVID-19 пандемии представляли собой достаточно серьезную угрозу, чтобы для них составляли методические руководства. К сожалению, как отмечает Кризисная группа «COVID», «…в методичке не было ни одного сценария. Там не было «как». Она не объясняла, что делать» [20]. Планы были недостаточны для руководства к действию, и это усугублялось бессимптомным проявлением COVID у многих жертв.

Существующие планы могут оказаться неэффективными, если не подтверждаются базовые предположения или меняются факты. Например, план действий на случай пандемии может предполагать, что граждане будут в основном доверять медицинской науке и следовать ей. Неожиданные масштабы дезинформации резко снизили уровень использования обычных мер предосторожности при заболевании, включая маски, дистанцирование и вакцинацию. Следующий раз может быть еще хуже. Инструменты дезинформации становятся все более мощными. Существует вероятность того, что PSE будет связана с кибератакой, выполненной «комбинированным способом» – техническая атака и связанная с ней кампания по дезинформации.

Развертывание киберсобытия пандемического масштаба потребует не только диагностики, но и того, что нужно делать на самом деле. В 2021 году в указ 14028 о повышении кибербезопасности страны был включен раздел, предписывающий «Стандартизацию руководства федерального правительства по реагированию на уязвимости и инциденты в сфере кибербезопасности». Реализация этой цели носит фрагментарный характер. Агентство по кибербезопасности и защите инфраструктуры (CISA), например, возглавляет работу с информационными системами федеральных гражданских органов исполнительной власти. Неясно, будет ли CISA отвечать за реагирование на уязвимость в каждом смартфоне или маршрутизаторе.

Наконец, планы и подготовка должны сочетаться со способностью быть гибкими. Президент Эйзенхауэр утверждал, что наибольшую ценность представляет практика разработки планов и изучения всех возможных вариантов. На ранних этапах распространения COVID-19 было неясно, как распространяется вирус. В результате первые средства защиты, такие как тканевые маски, впоследствии оказались неэффективными. Как однажды сказал Майк Тайсон, «у каждого есть план, пока ему не дадут в морду».

3.6 Урок 6: Синдемические проблемы, вероятно, будут препятствовать реагированию

Синдемии (одновременные или последовательные эпидемии) могут возникать, когда социальные, политические или экономические факторы усиливают воздействие эпидемий или сдерживают ответные меры [43]. COVID и другие вирусы усугубляются существующими социальными проблемами и неравенством в области здравоохранения, оказывая непропорционально сильное воздействие на уязвимые группы населения. В цифровой сфере группы и организации, находящиеся в неблагоприятном положении из-за нехватки ресурсов, осведомленности и знаний, также окажутся в более невыгодном положении. Цифровой разрыв отражает неравенство в физическом мире, и маргинализированные группы могут особенно пострадать от PSE, если они не будут учтены в явном виде.

Понятие синдемии может быть применена к сфере кибербезопасности. Цифровой мир с каждым днем становится все более взаимозависимым. Такая сложность делает каскадные сбои все более вероятными, а также затрудняет их картирование. Уязвимости в системе могут группироваться, усиливая воздействие отдельных эксплойтов. Например, непропатченное программное обеспечение с множеством уязвимостей может вызвать эффект домино при обнаружении одного недостатка. Даже избыточность, обычно желательная для обеспечения отказоустойчивости, может непреднамеренно привести к каскадным сбоям.

Социальные факторы также могут играть синдемическую роль. Фишинговая атака, направленная на население, уже находящееся в состоянии стресса из-за внешнего кризиса (экономический спад, стихийное бедствие), может иметь более высокий процент успеха из-за повышенной тревожности. Кроме того, недостаточная осведомленность пользователей в вопросах кибербезопасности может помешать эффективному реагированию на атаку. Понимание этой синдемической динамики в кибербезопасности имеет решающее значение для разработки надежных стратегий защиты. Признавая взаимосвязь между техническими уязвимостями и социально-поведенческими факторами, организации могут повысить свою готовность и эффективность реагирования.

Отметим, что синдемии также могут возникать в результате кумулятивных эффектов, возникающих в результате последовательных эпидемий и приводящих к другим широкомасштабным изменениям. В разделе 2 мы отметили, что интернет-черви начала 2000-х годов – Code Red (2001), Nimda (2001), Blaster (2003), Slammer (2003) – сами по себе не были событиями пандемического масштаба; однако они привели к осознанию и фундаментальным изменениям в практике разработки безопасного программного обеспечения и управления обновлениями.

3.7 Дополнительные уроки

Пока эта статья находилась в печати, нам стало известно о ретроспективе Энтони Фаучи, бывшего главного медицинского советника президента и члена целевой группы Белого дома по коронавирусу, и Грегори Фолкерса [16]. Они излагают десять уроков COVID-19 для обеспечения готовности к пандемии. Некоторые из них, в том числе «ожидайте неожиданностей», подчеркивают жизненно важную роль глобального обмена информацией и сотрудничества. Они также обсуждают «важность использования уже существующих возможностей, таких как обширная внутренняя и международная сеть инфраструктуры клинических испытаний» [16]. Мы можем извлечь аналогичный урок для киберугроз, используя возможности индустрии кибербезопасности. Их восьмой урок о том, что «давние системные неравенства в здравоохранении и социальной сфере определяют неравенство, связанное с пандемией», в точности повторяет наш урок 6, а их девятый урок о дезинформации тесно связан с нашим четвертым. Мы были удивлены, насколько хорошо их выводы совпадают с теми, что представлены здесь.

4 Другие вопросы кибербезопасности

Уроки COVID-19 проливают свет на области кибербезопасности, которые способствуют уязвимости при подготовке к PSE. В этом разделе мы приводим дополнительные факторы, которые делают готовность и реагирование на PSE сегодня особенно сложной задачей.

4.1 Отсутствует жизненно важная статистика и инфраструктура данных

Система общественного здравоохранения располагает системами сбора данных, включая критерии, определяющие, какие симптомы определяют заболевание, и механизмы регулярного сбора, обобщения и распространения таких данных. Данные собираются по различным точкам соприкосновения с системой здравоохранения, включая госпитализацию, смертность и «регистрируемые заболевания», вызывающие большую озабоченность системы общественного здравоохранения. Ответственность за отчетность возлагается на медицинских работников, обычно в качестве этического требования и требования лицензирования.

Эти вопросы стали спорными в COVID-19, когда возникли разногласия по поводу того, умирают ли люди «от COVID» или «с COVID». В настоящее время ведется работа по измерению «избыточной смертности» по сравнению с уровнем до Covid.

До сих пор не существует организации, собирающей и публикующей публичную статистику по кибербезопасности, которая позволила бы получить представление об уязвимости и устойчивости PSE. Статистика нужна и для того, чтобы люди знали, когда запускать методики PSE. Сложно (даже для Microsoft) точно определить количество компьютеров под управлением Windows на планете и процент исправлений на них. Поставщики, такие как Cisco, также вряд ли раскроют количество высокопроизводительных маршрутизаторов, которые они могут произвести за месяц. У нас даже нет общепринятых терминов, чтобы описать эквивалент “смерти” для устройства, за исключением грубого описания  как устройства превращают в «кирпич» или других атак типа «отказ в обслуживании» [42]. В Соединенных Штатах отсутствует обязательная отчетность за пределами регулируемых отраслей, и у нас нет статистических органов, которые могли бы свести все воедино. Ограниченные данные, собранные в частном порядке, такие как ежегодный отчет Verizon о расследовании утечек данных, могут быть полезным моментальным снимком, но они узконаправлены и не помогут в наблюдении за состоянием “здоровья” в режиме реального времени.

4.2 Роли и обязанности дублируются и остаются сложными

В разделе 3.3 Кризисная группа Covid обратила внимание на последствия нечеткого управления для реакции на Covid. Мир кибербезопасности не менее сложен, чем мир здравоохранения. Органы власти и регуляторы различают роли для осуществления политик и стратегий, не говоря уже о коммерческих поставщиках аппаратного и программного обеспечения, компаниях, занимающихся кибербезопасностью, и т. д. На передовой доминирует промышленность, а государственные и местные ресурсы для борьбы с киберугрозами ограничены.

Американские меры, принимаемые во многих областях кибербезопасности, уже демонстрируют организационную сложность, подобную Covid. В правительстве США есть Управление национального кибердиректора, отвечающее за политику и стратегию, которое отлично от правоохранительных органов (например, ФБР), внешней разведки (например, АНБ), внутреннего руководства (например, CISA), стандартов (например, NIST) и обороны (DoD). Федеральное правительство регулирует и реагирует на проблемы кибербезопасности по секторам, например:

• Управление по контролю за продуктами и лекарствами (FDA) выпускает руководство для производителей устройств по безопасности и эффективности медицинских изделий.

• Комиссия по ценным бумагам и биржам (SEC) выпускает руководство для публично торгуемых компаний.

• Администрация транспортной безопасности (TSA) выпускает обязательные правила для трубопроводов и т. д.

• Департамент обороны (DoD) издает обязательные правила для оборонной промышленной базы.

• Банки регулируются Федеральным советом по экспертизе финансовых институтов (FFIEC).

Кибербезопасность также регулируется «горизонтально» различными департаментами и агентствами на федеральном уровне, в том числе:

• Федеральная торговая комиссия (ФТК) наказывает компании за «нечестную» или «обманчивую» практику.

• Согласно указу № 14028, компании, продающие программное обеспечение правительству США, должны подтвердить, что они используют методы обеспечения безопасности в соответствии с NIST Secure Software Development Framework (SSDF).

• CISA выпустила руководство, призывающее компании поставлять продукты, которые безопасны по умолчанию и безопасны по дизайну.

Нормативные акты штатов включают в себя как отраслевые, так и общие нормы, и многие из них касаются любой компании, ведущей бизнес в своем штате. Например:

• Калифорнийский закон о защите частной жизни и Виргинский закон о защите персональных данных (и еще около десятка законов, которые следуют виргинской модели, но в них отсутствует «право на частный иск» в калифорнийском законе).

• Департамент финансовых услуг Нью-Йорка регулирует деятельность банков, имеющих лицензию в Нью-Йорке, то есть всех значимых банков.

• Закон штата Вашингтон «Мое здоровье, мои данные» признает, что большое количество данных может быть использовано для получения информации о гендере и репродуктивном здоровье, и регулирует их соответствующим образом.

В некризисные времена киберрегулирование, ориентированное на конкретный сектор, желательно, поскольку оно позволяет адаптировать коммуникации, средства защиты и планы к тем, которые наиболее актуальны для той или иной подгруппы. Существующая сегментация приведет к различиям между секторами, и эти различия могут вызвать проблемы с коммуникацией или сотрудничеством во время крупномасштабных событий.

4.3 Планов на случай киберсобытия масштаба пандемии не существует

В разделе 3.5 приведен урок, полученный в ходе Covid, и заключался он в том, что существующие планы недостаточны. Насколько нам известно, в США нет ни одного правительственного или промышленного плана на случай события такого масштаба, которое мы назвали «пандемией». Дэн Гир определил безопасность как отсутствие непреодолимой неожиданности [18]. События, которые мы здесь описываем, сложнее предотвратить, поэтому для обеспечения безопасности необходимо, чтобы реакция не была неожиданной.

В 2018 году исследователи представили постмортем гипотетического североамериканского блэкаута в результате кибератаки в 2038 году [2]. В этом документе рассматривались технические уязвимости и недостатки, но ничего не говорилось о человеческих, общественных и правительственных аспектах реагирования и ответственности за сценарий. Расширенные сценарии, подобные этому, могут быть полезны для планирования ответных мер на события пандемического масштаба.

Одна из существующих сегодня структур — сообщества доверия, включающие группы реагирования на компьютерные чрезвычайные ситуации (CERT) и группы реагирования на компьютерные инциденты (CIRT). На национальном (US-CERT), отраслевом и организационном уровнях эти структуры призваны координировать защиту и реагировать на кибер-инциденты. Координационный центр CERT (CERT/CC) был впервые создан для реагирования на червя Morris.

Взаимоотношения и партнерские отношения, существующие внутри и между организациями по реагированию на чрезвычайные ситуации, несомненно, могут сыграть свою роль в реагировании на PSE.

Наконец, один из рецензентов отметил, что «есть инженерия, а есть политика». Часть работы, например, укрепление сетей доверия и поощрение людей к разработке методов связи, которые могли бы пережить отключение Slack или Discord, является инженерной [29]. Некоторые системные работы могут быть политическими.

4.4 Пример: безопасность выборов как иллюстрация проблем класса PSE

Чтобы показать всю сложность киберсобытий масштаба пандемии, мы предлагаем рассмотреть безопасность выборов как реальный микрокосм проблем, не связанных с PSE, с которыми сталкиваются Соединенные Штаты,.

В федеральной системе США выборы проводятся штатами. Как следствие, доступность и качество обучения, ресурсов и возможностей в области кибербезопасности сильно различаются. Например, в штате Миссури насчитывается около 80 местных избирательных органов, и их электронная почта обрабатывается различными доменами .com, .org и даже несколькими доменами .mo.gov. Если Миссури решит не уделять приоритетного внимания кибербезопасности или проблема возникнет, несмотря на все их усилия, это будет их правом и обязанностью. Так, например, штат Миссури должен защищать свои выборы от угроз со стороны российских кибератак, а необходимость обеспечения безопасности работы избирательных участков стала предметом большого количества дезинформации. Конечно, есть некоторые ресурсы, доступные от госсекретаря, CISA и различных некоммерческих организаций, но ресурсы и потенциальное реагирование на инциденты децентрализованы, в них участвуют организации с различными полномочиями, структурами отчетности, мандатами и бюджетами.

Является ли это «изменением, которое потребует от каждого члена большой группы изменить свое поведение на месяц или больше?». Возможно, нет. Это может быть пограничным для тех, кто живет в штатах, где голосование осуществляется по почте, и не очень для тех, кто живет в местах с очным голосованием. Однако проблемы, с которыми мы сталкиваемся при обеспечении безопасности выборов, иллюстрируют проблемы, с которыми мы столкнемся при PSE.

Кибератаки на избирательную инфраструктуру и вполне реальные кампании по дезинформации, ведущиеся против выборов в целом, могут помочь понять, что может произойти в PSE.

5 На пути к плейбук по киберпроисшествиям пандемического масштаба

Нам срочно нужен плейбук по PSE. Первый национальный плейбук по PSE может быть разработан небольшой командой за несколько месяцев работы. Соединенные Штаты проводят большую работу по планированию готовности к стихийным бедствиям в других областях и могут использовать этот опыт. Разработка, репетиция и внедрение плейбуков призваны ускорить время и эффективность реагирования в случае возникновения ситуаций. Хорошие плейбуки пригодны для действий, то есть они предусматривают тактические действия и распределение задач. Они также должны быть протестированы, чтобы убедиться в их реалистичности. В помощь плейбукам — сбор данных, позволяющий получить индикаторы заблаговременного предупреждения и четкие критерии для выполнения. Для киберсобытий масштаба пандемии потребуется несколько многоуровневых плейбуков, учитывая сложность и разнообразие заинтересованных сторон в различных сценариях. Реагирование и координация действий при сильных геомагнитных бурях будут отличаться, например, от разрушительной и широкомасштабной уязвимости программного обеспечения. В этих двух сценариях могут потребоваться разные отраслевые партнеры. Многоуровневые плейбуки потребуются на уровне общества (например, FEMA), на уровне отрасли (например, ISAC по информационным технологиям), на уровне отдельных компаний (например, Microsoft и Google), а также на уровне штатов и местных сообществ.

5.1 Разработка плейбука

Несмотря на широкое распространение тактических плейбуков в промышленности и правительстве, существует мало руководств по разработке и оценке плейбуков национального масштаба. Исключением является CISA Infrastructure and Resilience Planning Framework, созданный в ответ на NSM-22, который помогает нефедеральным организациям разработать плейбук [8, 23]. В области кибербезопасности понятие плейбука развивалась постепенно, по мере становления этой сферы. Плейбуки появились потому, что киберсобытия требовали более структурированного и быстрого реагирования и методичного подхода. Несмотря на то что сегодня существуют различные планы, плейбуки и правительственные организации, ни по отдельности, ни в совокупности они не являются достаточными для PSE. Важно отметить, что PSE — это экстраординарный инцидент, но общие плейбуки по реагированию на инциденты недостаточны для решения задач, связанных со сложностью и последствиями PSE.

Если говорить о формализации и стандартизации понятия в контексте кибербезопасности, Национальный институт стандартов и технологий (NIST) сыграл значительную роль благодаря своим руководствам и принципам. Работа NIST оказала значительное влияние на то, как организации управляют рисками кибербезопасности, реагируют на инциденты и внедряют протоколы безопасности. Своими публикациями она способствовала широкому распространению и совершенствованию понятия плейбуков. Одним из основополагающих документов, который можно считать соответствующим концепции киберплейбука, является специальная публикация NIST 800-61 «Руководство по отработке инцидентов компьютерной безопасности» [5]. Впервые опубликованная в 2004 году и неоднократно обновленная с тех пор, SP 800-61 содержит руководство по отработке и реагированию на инциденты компьютерной безопасности.

CISA разработала плейбук по реагированию на инциденты и уязвимости в сфере кибербезопасности для федеральных органов власти (Federal Government Cybersecurity Incident & Vulnerability Response Playbook), в который вошли несколько ссылок на NIST [9]. Однако в этом руководстве не рассматриваются киберсобытия пандемического масштаба. Основное внимание в этом руководстве уделяется инцидентам, затрагивающим федеральные гражданские системы исполнительной власти. Киберсобытия пандемического масштаба могут не ограничиваться этими системами и затрагивать более широкий круг угроз и заинтересованных сторон. Существует также Национальный план реагирования на киберинциденты (NCIRP), предназначенный специально для «значительных киберинцидентов, представляющих риск для критической инфраструктуры» [11]. Он явно не является тактическим или оперативным планом.

Федеральное агентство по управлению чрезвычайными ситуациями (FEMA) также опубликовало «Соображения по планированию для киберинцидентов: Руководство для менеджеров по чрезвычайным ситуациям» [17]. Согласно определению FEMA, PSE может квалифицироваться как чрезвычайная ситуация, и в этом документе описаны роли и обязанности руководителей в чрезвычайных ситуациях на государственном и местном уровнях по обеспечению безопасности и экономическому воздействию на отдельные сообщества. Это, пожалуй, самый близкий к рассмотрению непредвиденных и далеко идущих последствий PSE.

В 2023 году было создано Управление по обеспечению готовности к пандемиям и политике реагирования (OPPR) в рамках Исполнительной канцелярии президента (EOP). В его задачи входит обеспечение готовности к биологическим угрозам, которые могут привести к пандемии в Соединенных Штатах, и реагирование на них. Также в составе EOP находится Офис национального директора по кибербезопасности (ONCD). ONCD самостоятельно или вместе с OPPR, является естественным лидером в разработке руководства по PSE на национальном уровне.

5.2 Ключевые вопросы для плейбука

Традиционные, не относящиеся к PSE, плейбуки существуют сегодня в различных формах в сфере кибербезопасности, часто в отдельных компаниях. Плейбуки PSE будут выглядеть совершенно иначе и не смогут быть просто масштабированными версиями корпоративных плейбуков. Разработка плейбуков PSE потребует участия множества заинтересованных сторон и должна быть реализована на семинарах с участием экспертов из правительства, промышленности и научных кругов. Затем эти планы должны регулярно проверяться в ходе учений, чтобы убедиться в их эффективности и в том, что заинтересованные стороны приобретают опыт их реализации.

Разработка плейбуков для PSE потребует вклада многих заинтересованных сторон и будет развиваться по мере накопления знаний и опыта. Вместо того чтобы публиковать недостаточно проработанный черновик, мы предлагаем следующие вопросы и соображения для будущей разработки плейбука для PSE:

• Как задействовать неформальные сети? Есть ли смысл, например, субсидировать конференции сообществ (например, B-Sides¹⁵) или обеспечить доступ к спискам участников? Должно ли существовать исключение из NDA для “доброго самаритянина”? Например, следует ли оградить сотрудников Amazon от последствий за то, что они поделились информацией в кризисной ситуации? Защитить государственных служащих, которые поделились полезной информацией?

• Как предоставить возможность и полномочия людям, находящимся рядом с теми, кто нуждается в помощи? Например, какова может быть роль местного магазина Best Buy в Сент-Луисе в оказании помощи местным жителям?

• Какие механизмы могут понадобиться для краудсорсинга и обеспечения краудсорсинга инфраструктурой заранее?

• Как отслеживать и управлять известными рисками (подобно риску отсутствия достаточного количества средств индивидуальной защиты)?

• Как отслеживать возникающие риски? Существует ли эквивалент двадцати географических семейств вирусов?

• Как ускорить и оптимизировать ответные меры в случае возникновения проблемы?

• Какова роль CERTs/CIRTs/ISAC/ISAO и других доверительных сообществ в реагировании на пандемию? Как можно эффективно использовать их опыт и сети?

• Какие индикаторы раннего предупреждения уже существуют?

• Как можно провести стресс-тестирование или разумные планшетные учения?

• Какие последствия для конфиденциальности мы должны учитывать?

• Как защитить «санитаров» и других сотрудников, работающих на передовой, которые должны обеспечить реагирование на PSE, в том числе уберечь их устройства, сети и оборудование от заражения или уничтожения?

• заражения или уничтожения?

• Существуют ли предсказуемые точки стресса, такие как выгорание?

• Как выглядит восстановление? Есть ли фаза «возвращения к нормальной жизни» или «адаптации к новой нормальной жизни»?

5.3 Задействовать плейбук легче, когда есть данные

Объявление чрезвычайной ситуации в области общественного здравоохранения пандемией облегчается наличием обширной инфраструктуры для сообщения о заболеваниях и соответствующих критериев [35]. Нам не хватает таких мероприятий по сбору данных или институтов для обеспечения кибербезопасности. Создать такие институты следует раньше, чем они нам понадобятся.

Надежные системы сбора и анализа данных имеют решающее значение для эффективного применения плейбуков киберсобытий масштаба пандемии. Подобно тому, как организации здравоохранения отслеживают такие ключевые показатели, как количество заболевших, число госпитализаций и смертей, чтобы определить тяжесть и траекторию развития биологических пандемий, специалистам по кибербезопасности необходимы аналогичные данные для оценки масштабов и воздействия цифровых угроз. Имея доступ к такой информации в режиме реального времени, лица, принимающие решения, могут более уверенно определять, когда киберинцидент достигает масштабов, требующих активации протоколов PSE. Кроме того, основанные на этих данных индикаторы, могут служить ранним предупреждением о возникающих угрозах, позволяя действовать проактивно, а не реактивно. Создание инфраструктуры и процессов для сбора и анализа этих критически важных данных о кибербезопасности сейчас — до наступления кризисной ситуации — позволит быстрее, целенаправленнее и эффективнее реализовать плейбуки PSE, когда возникнет такая необходимость.

5.4 Плейбуки необходимы, но не достаточны

Пандемические плейбуки предупреждают нас: хотя они существовали и до Covid, в ретроспективе они, к сожалению, не были достаточно действенными, чтобы быть релевантными и полезными. Этой ошибки можно избежать, регулярно обновляя их и проводя стресс-тестирование как можно более реалистично.

Необходим не только документ с описанием действий. Чтобы быть эффективными, они нуждаются в регулярном тестировании, оценке и обновлении по мере изменения организации и технологий. Плейбуки требуют согласования ролей и обязанностей между заинтересованными сторонами. В одном из исследований, посвященных оценке плейбуков по реагированию на инциденты, было обнаружено, что некоторые из них недостаточно подробны для использования в реальных условиях, особенно для младшего персонала [44]. Их рекомендации, вероятно, будут еще более важны в условиях срочности, воздействия и сложности события масштаба пандемии.

В период с 2006 по 2024 год Department of Homeland Security провел девять национальных киберучений, известных как «Кибершторм», направленных на проверку национального руководства по кибербезопасности и федеральных ролей. Среди основных выводов, сделанных в 2022 году, было то, что «во время учений национальные планы и политика в том виде, в котором они были написаны и обсуждены, оказали ограниченное воздействие или влияние на реакцию частного сектора» [10]. В целом, извлеченные уроки подтвердили наше утверждение о том, что плейбука по PSE не существует и что он был бы полезен.

6 Выводы

Когда произойдет киберинцидент пандемического масштаба, неизвестно, но подготовка к нему уже сейчас поможет максимально эффективно противостоять его последствиям. COVID-19 стал катастрофой, не ограничившись ущербом для здоровья людей. Сообщество кибербезопасности должно извлечь из нее все необходимые уроки и уже сейчас готовиться к киберпроисшествиям пандемического масштаба.

Пандемия COVID-19 служит ярким напоминанием о необходимости разработки надежных планов обеспечения непрерывности бизнеса в условиях непредвиденных событий с высоким уровнем воздействия. Нассим Николас Талеб писал, что «логика „черного лебедя“ делает то, чего вы не знаете, гораздо более значимым, чем то, что вы знаете» [46]. «Имейте в виду, —  сказал он, — что многие «черные лебеди» могут быть вызваны и усугублены [просто] тем, что они неожиданны». Подобные «черные лебеди» в кибербезопасности — непредсказуемые кибератаки с разрушительными последствиями — могут разрушить цифровую инфраструктуру организации и прервать критически важные операции. Подобно тому, как пандемия выявила уязвимые места в планировании и обеспечении непрерывности бизнеса на физическом уровне, извлеченные уроки можно применить для повышения готовности к кибербезопасности. Развивая культуру выживания и уделяя приоритетное внимание планам реагирования на киберинциденты наряду с традиционными мерами по восстановлению после катастроф, организации могут быть лучше подготовлены к предвидимым и непредвиденным сбоям, будь то биологические или цифровые.

В этой статье мы рассказываем о важнейших уроках, извлеченных из пандемии COVID-19, которые можно применить для усиления нашей защиты от будущих крупномасштабных кибератак. Кризисы случаются, когда происходит то, во что мало кто верит. Осознав характерные черты киберсобытия масштаба пандемии, сообщество кибербезопасности и наши партнеры могут заблаговременно разработать систему реагирования, основанную на сотрудничестве, заранее определенных ролях и надежном учебнике по киберзащите. Реализовав эти практические шаги, основанные на опыте COVID-19, мы сможем защитить критическую инфраструктуру, минимизировать экономические сбои и обеспечить устойчивость общества перед лицом нового вида глобального кризиса. Эта концепция открывает путь к дальнейшему обсуждению и сотрудничеству между политиками, специалистами по безопасности и исследователями, чтобы воплотить полученные уроки в конкретные планы действий, что в конечном итоге будет способствовать созданию более безопасного цифрового будущего.

Примечания.

¹ Heartbleed (CVE-2014-0160) — критическая уязвимость, ошибка чтения за пределами буфера (англ. buffer over-read) в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Название — это каламбур (Heartbeat/Heartbleed, Биение сердца/Кровотечение сердца), отсылающий к тому, что уязвимость была внесена вместе с расширением Heartbeat для протоколов TLS и DTLS.

 ² Log4Shell (CVE-2021-44228) уязвимость нулевого дня в Log4j, популярной среде ведения журналов Java, включающая выполнение произвольного кода. Предположительно самая страшная категория критических уязвимостей (10 по шкале CVSS), на поиске которых сосредоточено большинство разработчиков вирусов. Про эту было неизвестно целых восемь лет.

³ Morris worm —один из первых сетевых червей, распространявшихся через Интернет, назван по имени его создателя, Роберта Морриса, сына ученого-криптографа Роберта Морриса, который даже в Википедии есть. В народе этого червяка называли еще Великим Червем, но это не аллюзия на Дюну или, упаси боже, на вселенную Метро, а на Толкиена. Реального вреда не причинил, только на два дня напугал весь тогда еще молодой (1988) Интернет (тогда еще в форме ARPANET).

⁴ Sendmail bug of the month club — тоже шутка, аллюзия на маркетинговую технику “Book of the month club”. Смысл шутки в том, что в Sendmail – почтовом демоне Unix – обнаружили такое количество уязвимостей, точ долгие годы потом ушли на то, чтобы их закрыть.

⁵ Summer of worms — ссылка на 2003 год, когда один за одним обнаруживали все новых и новых червей: Slammer (январь), Blaster, Sobig.F, Welchia/Nachi (все три последних — в августе 2003). Отсюда шутка про лето.

⁶ Code Red — червь 2001 года, заразил 359,000 серверов и нанес экономический ущерб в два миллиарда долларов, но все еще не пандемия.

⁷ TJX hack навсегда связан с именем киберпреступника Альберта Гонзалеса, который руководил этим взломом. Недавно (2023) вышел из тюрьмы, где отбывал двадцать лет. Всего украл 170 миллионов кредитных карт, из них 45 миллионов — в системе магазинов TJX.

⁸ Equifax — бюро кредитных историй, прошляпили почти 148 миллионов записей, что является рекордом киберпреступлений в категории “кража личности”. И все еще не пандемия!

⁹ Mirai botnet — названный в честь анимешного японского сериала Mirai Nikki, использовалась для самых массивных и разрушительных DDOS атак, в том числе на серверы Minecraft и на сайт блогера, который нашел и разоблачил авторов червя, который порабощал не только компьютеры, но и IoT устройства, из которых строил сеть ботов.

¹⁰ Spectre и Meltdown — две аппаратных уязвимости категории “утечка по стороннему каналу”, возникшие из-за ошибки в реализации механизма спекулятивного выполнения команд в процессорах Intel и ARM (но не AMD). В эппловских процессорах эти уязвимости тоже обнаружены, но их эксплойты гораздо сложнее.

¹¹ Процитированный отчет – самое большое заявление о затронутых системах, которое мы смогли найти. Мы не утверждаем, что этот анализ достоверен, но считаем его полезным в качестве напоминания об очевидном масштабе инцидента. (Это примечание авторов – прим. перев.)

¹² Кто-нибудь еще помнит, что это такое?

¹³ BMC — это микроконтроллер для материнских плат серверов в архитектуре IPMI,

¹⁴ Operation Warp Speed — частно-общественное партнерство, инициированное правительством США для содействия и ускорения разработки, производства и распределению вакцин от COVID-19.

¹⁵ B-Sides конференции ведут свое начало с известной конференции по кибербезопасности Black Hat Briefings 2009 года, когда было представлено столько презентаций, что они не могли уместиться в основную программу конференции,  не вошедшие презентации были представлены небольшой группе специалистов. Этот формат был назван B-sides по аналогии с маркировкой  обратной стороны виниловых граммпластинок, на которой содержались менее важные треки, по сравнению со стороной A (добивка, дописка — на языке виниловых и катушечных меломанов). Эта сноска для тех, кто еще помнит что такое винил.

Ссылки

[1] Federal Emergency Management Agency. 1996. Guide for All-Hazard Emergency Operations Planning. https://www.fema.gov/pdf/plan/slg101.pdf

[2] Prashant Anantharaman, J Peter Brady, Patrick Flathers, Vijay H Kothari, Michael C Millian, Jason Reeves, Nathan Reitinger, William G Nisen, and Sean W Smith. 2018. Going Dark: A Retrospective on the North American Blackout of 2038. In Proceedings of the New Security Paradigms Workshop. 52–63.

[3] Charles Arthur. 2011. Thailand’s devastating floods are hitting PC hard drive supplies, warn analysts. https://www.theguardian.com/technology/2011/oct/25/thailand-floods-hard-drive-shortage

[4] Stephanie Brinley. 2024. The Semiconductor Shortage Is – Mostly – Over for the Auto Industry. https://www.spglobal.com/mobility/en/research-analysis/thesemiconductor-shortage-is-mostly-over-for-the-auto-industry.html

[5] Paul Cichonski, Tom Millar, Tim Grance, and Karen Scarfone. 2012. Computer Security Incident Handling Guide. Technical Report Special Publication 800-61 Revision 2. National Institute of Standards and Technology.

[6] National Security Telecommunications Advisory Committee. 2014. NSTAC Report to the President on Information and Communications Technology Mobilization. Technical Report. President’s National Security Telecommunications Advisory Committee. https://www.cisa.gov/sites/default/files/publications/NSTAC%20%20Information%20and%20Communications%20Technology%20Mobilization%20Report%2011-19-2014.pdf

[7] National Research Council. 2008. Severe Space Weather Events: Understanding Societal and Economic Impacts: A Workshop Report. The National Academies Press, Washington, DC. https://doi.org/10.17226/12507

[8] Cybersecurity and Infrastructure Security Agency. 2024. Infrastructure Resilience Planning Framework Playbook. https://www.cisa.gov/sites/default/files/2024-07/IRPF-Playbook-07-17-2024.pdf

[9] Cybersecurity and Infrastructure Security Agency. 2021. Federal Government Cybersecurity Incident & Vulnerability Response Playbooks.

https://www.cisa.gov/sites/default/files/2024-03/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf

[10] Cybersecurity and Infrastructure Security Agency. 2022. Cyber Storm VIII: After Action Report. https://www.cisa.gov/sites/default/files/2023-02/final-cyber-storm-viii-after-action-report-082022.pdf

[11] Department of Homeland Security. 2016. The National Cyber Incident Response Plan (NCIRP). https://www.cisa.gov/sites/default/files/2023-01/national_cyber_incident_response_plan.pdf

[12] Josiah Dykstra, Jamie Met, Nicole Backert, Rebecca Mattie, and Douglas Hough. 2022. Action Bias and the Two Most Dangerous Words in Cybersecurity Incident Response: An Argument for More Measured Incident Response. IEEE Security & Privacy 20, 3 (2022), 102–106.

[13] Peter F Edemekong, Deb Bomgaars, Sukesh Sukumaran, and Shoshana B Levy. 2019. Activities of daily living. StatPearls (2019).

[14] Tal Eitan and Tali Gazit. 2023. No social media for six hours? The emotional experience of Meta’s global outage according to FoMO, JoMO and internet intensity. Computers in Human Behavior 138 (2023), 107474.

[15] Giulia Fanti and Kari Kostiainen. 2022. Missing Key: The challenge of cybersecurity and central bank digital currency. Atlantic Council.

[16] Anthony S. Fauci and Gregory K. Folkers. 2023. Pandemic preparedness and response: lessons from COVID-19. The Journal of Infectious Diseases 228, 4 (2023), 422–425. https://doi.org/10.1093/infdis/jiad095

[17] Federal Emergency Management Agency. 2023. Planning Considerations for Cyber Incidents Guidance for Emergency Managers. https://www.fema.gov/sites/default/files/documents/fema_planning-considerations-cyber-incidents_2023.pdf

[18] Dan Geer. 2022. Extracting Unlearned Lessons from Past Poor Choices lest They be Learned the Hard Way in the Future. The Cyber Defense Review 7, 1 (2022), 163–174.

[19] Sukeshini A Grandhi, Linda Plotnick, and Starr Roxanne Hiltz. 2020. An internet less world? Expected impacts of a complete internet outage with implications for preparedness and design. Proceedings of the ACM on Human-Computer Interaction 4, GROUP (2020), 1–24.

[20] Covid Crisis Group. 2023. Lessons from the Covid War: An Investigative Report. Public Affairs.

[21] Ying He, Aliyu Aliyu, Mark Evans, and Cunjin Luo. 2021. Health care cybersecurity challenges and solutions under the climate of COVID-19: Scoping review. Journal of Medical Internet Research 23, 4 (2021), e21747.

[22] Cormac Herley and Wolter Pieters. 2015. “If you were attacked, you’d be sorry’ Counterfactuals as security arguments. In Proceedings of the 2015 New Security Paradigms Workshop. 112–123.

[23] The White House. 2024. National Security Memorandum on Critical Infrastructure Security and Resilience. https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

[24] Interos. 2024. IT Outage Impact Analysis – At Least 674,000 Enterprise Customers at Risk of Disruption Globally. https://www.interos.ai/blog-crowdstrike-impact-analysis-at-least-674000-enterprise-customers-at-risk-of-disruption-globally/

[25] Ramkumar Janakiraman, Joon Ho Lim, and Rishika Rishika. 2018. The effect of a data breach announcement on customer behavior: Evidence from a multichannel retailer. Journal of marketing 82, 2 (2018), 85–105.

[26] Jeremy Kaye, Mitch Muro, and Katerina Megas. 2021. Protecting critical infrastructure from a cyber pandemic. https://www.weforum.org/agenda/2021/10/protecting-critical-infrastructure-from-cyber-pandemic/

[27] Angus King and Mike Gallagher. 2020. Cyberspace Solarium Commission. https://www.solarium.gov/report

[28] Harjinder Singh Lallie, Lynsay A Shepherd, Jason RC Nurse, Arnau Erola, Gregory Epiphaniou, Carsten Maple, and Xavier Bellekens. 2021. Cyber security in the age of COVID-19: A timeline and analysis of cyber-crime and cyber-attacks during the pandemic. Computers & security 105 (2021), 102248.

[29] Nancy G Leveson. 2012. Engineering a Safer World: Systems Thinking Applied to Safety. MIT Press.

[30] Bret Michael, Jeffrey Voas, and Phil Laplante. 2009. Cyberpandemics: History, inevitability, response. IEEE Security & Privacy 7, 1 (2009), 63–67.

[31] Gareth Mott, Jason RC Nurse, and Christopher Baker-Beall. 2023. Preparing for future cyber crises: lessons from governance of the coronavirus pandemic. Policy Design and Practice 6, 2 (2023), 160–181.

[32] Peter G Neumann. 2017. Trustworthiness and truthfulness are essential. Commun. ACM 60, 6 (2017), 26–28.

[33] Columbia School of Public Health. 2021. Epidemic, Endemic, Pandemic: What are the Differences? https://www.publichealth.columbia.edu/news/epidemic-endemic-pandemic-what-are-differences

[34] World Health Organization. 2000. Obesity: preventing and managing the global epidemic: report of a WHO consultation. (2000).

[35] World Health Organization. 2013. Pandemic Influenza Preparedness and Response: A WHO Guidance Document. World Health Organization. https://www.ncbi.nlm.nih.gov/books/NBK143061/

[36] Miquel Porta (Ed.). 2014. A Dictionary of Epidemiology (6th ed.). Oxford University Press.

[37] Jon A Rochlis and Mark W Eichin. 1989. With microscope and tweezers: The worm from MIT’s perspective. Commun. ACM 32, 6 (1989), 689–698.

[38] Marc Rogers. 2024. Statement by Marc Rogers on the CTI League. https://cti-league.com/statement-by-marc-rogers-on-the-cti-league/

[39] Marc Rogers. 2024. Tax records reveal the lucrative world of covid misinformation. https://www.washingtonpost.com/nation/2024/02/21/covidmisinformation-earnings/

[40] Elaine M Sedenberg and Deirdre K Mulligan. 2015. Public Health as a model for cybersecurity information sharing. Berkeley Tech. LJ 30 (2015), 1687.

[41] Kavya Sekar and Angela Napili. 2020. . Technical Report R46588. Congressional Research Service. https://crsreports.congress.gov/product/pdf/R/R46588

[42] Adam Shostak. 2022. . Technical Report 22-02. CyberGreen Institute. https://cybergreen.net/technical-report-22-02/

[43] Merrill Singer and Charlene Snipes. 1992. Generations of suffering: Experiences of a treatment program for substance abuse during pregnancy. Journal of Health Care for the Poor and Underserved 3, 1 (1992), 222–234.

[44] Rock Stevens, Daniel Votipka, Josiah Dykstra, Fernando Tomlinson, Erin Quartararo, Colin Ahern, and Michelle L Mazurek. 2022. How ready is your ready? assessing the usability of incident response playbook frameworks. In Proceedings of the 2022 CHI Conference on Human Factors in Computing Systems. 1–18.

[45] Darius Tahir. 2020. Virus hunters rely on faxes, paper records as more states reopen. https://www.politico.com/news/2020/05/10/coronavirus-health-records-245483

[46] Nassim Nicholas Taleb. 2010. The Black Swan: The Impact of the Highly Improbable (second ed.). New York: Random House Publishing Group.

[47] Bruce T Tsurutani, Walter Demétrio Gonzalez, GS Lakhina, and S Alex. 2003. The extreme magnetic storm of 1–2 September 1859. Journal of Geophysical Research: Space Physics 108, A7 (2003).