Тестируя уязвимость правительственных учреждений и служб энергетического и финансового сектора
В течение последних семи лет мы настаивали на соблюдении определенных правил, процедур и технологий при реагировании на инциденты в Катаре. Сейчас мы пытаемся все упростить – структуру, технологии и сосредоточиться на человеческом факторе.
И хотя наша организация является регламентирующим органом, мы раньше не очень строго следили за соблюдением всех требований. Мы боялись, что если будем давить слишком сильно, то вызовем сопротивление. А если какие-либо элементы одной структуры сопротивляются, то все стоит на месте. И поэтому, используя существующие правила и юридические рычаги, мы начали оказывать помощь в таких секторах как энергетика, транспорт, водоснабжение и банковская система в создании базы, необходимой для соблюдения требований.
В 2012 г. продвижение было не таким быстрым, как нам хотелось бы, и поэтому мы решили придумать что-то новое: такое, что заставило бы заинтересованные лица быстро принимать решения и соглашаться с нашими предложениями. И мы придумали игру национального масштаба в форме периодически повторяющихся курсов киберучений.
Чтобы проверить эффективность защиты компьютерных сетей, в 2013 г. мы организовали Национальные учения по кибер-безопасности «Звезда 1». Целью учений было проведение оценки инцидента, поддержание бесперебойного функционирования участвующей организации, контроль за эскалацией и совершенствование механизма принятия решений. Мы хотели убедиться, смогут ли наши участники своевременно рассмотреть эти вопросы.
Готовясь к игре, мы тщательно изучили другие игры, в которые играли наши международные партнеры: такие как «Кибер-шторм» в США, Европейская сеть и Агентство информационной безопасности (ЕСАИБ) в Европейском Союзе, а также японский Национальный центр информационной безопасности. Мы больше года узучали, как проводятся эти тренинги в других странах, а именно: их задачи, содержание, выводы и последствия. Чтобы они подходили для условий Катара, мы упростили все эти учения. Потом мы изложили на бумаге проект предлагаемых учений и далее представили его для аккредитации, чтобы получить международное признание нашей работы. Наш проект был одобрен ЕСАИБ на конференции в 2013 г. Мы вернулись домой и стали продвигать идею национальных киберучений, делая акцент на том, что мы получили международную сертификацию.
На тот момент Отдел кибербезопасности в Министерстве информационных и коммуникационных технологий Катара (Q-CERT) имел два возможных варианта. Q-CERT мог писать письма руководителям организаций и заставлять их участвовать в учениях. В конце концов, Отдел кибербезопасности является национальным регуляторным органом в области кибертехнологий. Второй вариант предполагал побуждение вместо принуждения, показывая при этом все плюсы для руководства этих организаций. Мы выбрали вариант добровольного участия, и я рад сообщить, что 20 организаций с общим числом сотрудников 120 человек согласились участвовать.
Когда представители правительственных учреждений, энергетической промышленности и банковского сектора собрались вместе для прохождения теоретической и технической части тренинга, то сначала у нас возникли опасения, что они станут объектами насмешек своих конкурентов в правительстве и промышленном секторе. Потребовалось много часов работы для получения ответов на вопросы и ведения споров, прежде чем мы смогли убедить участников тренинга в том, что учения «Звезда 1», в конечном итоге, принесут им пользу.
Мы назначили первые национальные киберучения на 15 декабря 2013 г., как раз перед Национальным Днем Катара. Во время празднования Национального Дня, Сухопутные Силы, ВМФ и ВВС проводят парады. Мы выбрали эту дату, потому что хотели продемонстрировать людям существования и других сил, возможно, менее заметных, но которые также напряженно работают, чтобы защитить достояния страны.
У нас была «красная команда» инженеров, которые разрабатывали условные нападения на компьютеры, а участвующие организации, которым передали эти компьютеры, должны были их защитить. Чтобы снять напряжение в отношении соответствия профессиональной квалификации участников, наша учебная программа имела три уровня сложности – «бронзовый», «серебряный» и «золотой», которые использовались в возрастающем порядке. Некоторые участники выразили обеспокоенность в том, что если они будут находится в одной комнате с представителями крупных банков и энергетических компаний, это может поставить их в неловкое положение, если их техническая оснащенность и навыки окажутся ниже уровня.
Самая главная цель учений состояла в том, чтобы посмотреть, будут ли участники учений общаться друг с другом. Если, к примеру, банк А сидит рядом с банком Б, и у них похожие проблемы с обеспечением кибербезопасности, то нам бы хотелось, чтобы они сообща решали эти проблемы во время учений «Звезда 1». Положительный результат учений в том, что мы смогли собрать участников и определить их сильные стороны, но в то же время мы были неудовлетворены степенью обмена информацией и взаимодействием участников, а также уровнем обмена опытом между секторами.
Мы учли эти уроки при проведении Национальных учений по кибербезопасности «Звезда 2», которые состоялись в тот же самый день в 2014 г. Учения «Звезда 2» привлекли к себе еще больше внимания: участвовали 32 организации с общим количеством более 320 человек. Мы внесли в учения некоторые изменения: передали виртуальные компьютеры членам каждой группы, чтобы они условно работали как отдельная сеть или сервер. Их работа состояла в том, чтобы усилить защитные свойства компьютера и устранить атаки «красной команды». Учения заняли почти 15 часов. И опять, задача состояла в том, чтобы посмотреть, будут ли эти эксперты координировать свои усилия в случае национального кризиса. Чтобы побудить к такому сотрудничеству, мы использовали такие сценарии, при которых ущерб будет нанесен не одной команде, а всему сектору вцелом, как единой группе: отключение телекоммуникаций, от которого пострадают абсолютно все правительственные учреждения, или сбой на центральном пункте управления, который одновременно поразит все энергетические компании.
Мы посылали сообщения финансовым институтам, энергетическим компаниям и правительственным учреждениям, в которых объявляли угрозы и просили участников действовать системно и сообща. Мы достигли своей цели. Мы упростили задания и попросили участников не выходить за рамки общих требований, а также предложили искать новые решения. Их попросили найти инновационные подходы, и они их нашли! Все это было достигнуто при помощи простой игры. С учетом позитивных результатов, мы хотели бы расширить масштаб этих учений до уровня региона. Большинство стран региона – Бахрейн, Оман, ОАЭ, Иордания, Египет, Кувейт и Саудовская Аравия – испытывают аналогичные трудности. Нам нужно сделать что-то похожее всем вместе при сотрудничестве с правительством США, которое может помочь установить единые стандарты, чтобы все могли их придерживаться.