Последствия
атак программ-вымогателей на правительства штатов и местные органы власти
продолжают попадать в заголовки газет. Нашумевшие атаки на
Атланту, Балтимор, а теперь и на Ривера-Бич и Лейк-Сити во Флориде выявляют
проблемы, с которыми сталкиваются губернаторы, мэры и местные лидеры, при принятии решений о том, платить
ли киберпреступникам выкуп, чтобы восстановить контроль над своими данными. Выдвигались
аргументы в пользу того, что ни один правительственный чиновник не должен
платить выкуп (Атланта), что федеральное правительство виновато в том, что
позволило украсть инструменты кибератак и опубликовать их в Интернете
(Балтимор), и что выплата выкупа — единственный вариант (Ривьера-Бич). У
всех сторон в этих дебатах есть важные точки зрения со сторонниками в
индустрии кибербезопасности, но их аргументы упускают из виду ключевой вопрос:
наши государственные и местные органы власти не располагают надлежащими
ресурсами для защиты своих сетей. Необходим
лучший и разумный подход, и ответ НЕ ТОТ, который предложила на прошлой неделе редакция The Washington Post:законодательство,
запрещающее платежи с помощью программ-вымогателей.
В
Соединенных Штатах нет правительства штата или местного самоуправления, которое
бы полностью финансировало защиту своих ИТ-сетей от кибератак. Как и многие
предприятия частного сектора, государственные и местные органы власти в силу
своих ограниченных ИТ-бюджетов находят компромисс между конкурирующими приоритетами,
зная, что они не могут удовлетворить все потребности в области
кибербезопасности. Хотя за этим подходом стоит множество причин, таких
как недостаточное укомплектование персоналом и обучение,
ключевыми проблемами являются осведомленность об угрозе и финансирование для
обеспечения безопасности и отказоустойчивости
систем.
Последний
опрос, проведенный Deloitte и Национальной ассоциацией государственных
информационных служб (NASCIO), ясно показывает, что бюджет является главной
проблемой, стоящей перед правительствами штатов в области кибербезопасности, –
проблема, которая не изменилась с момента первого опроса, проведенного в 2010
году. К сожалению, что изменилось, так это среда угроз, которая
становится все более сложной, где растет возможность использовать уязвимости, а
сложность, необходимая для проведения таких атак, уменьшается. В
результате наши государственные и местные органы власти еще больше отстают в
гонке за защиту своих цифровых сетей.
Существует
очень реальный вопрос о том, какова должна быть роль федерального правительства
в оказании помощи правительствам штатов и местным органам власти в улучшении их
кибербезопасности. Мы знаем, каков был бы ответ в физическом мире, но
мы все еще проигрываем в цифровом мире. Что
сейчас необходимо, так это признание Конгрессом того, что защита цифровой
инфраструктуры нашей страны является приоритетом национальной и экономической
безопасности, который стоит на одном уровне с защитой нашей физической
инфраструктуры. Несмотря на то, что мы стали зависимыми от Интернета
в отношении многих государственных
услуг, мы не предоставили нашим государственным и местным органам власти
возможности сделать эти услуги устойчивыми перед лицом постоянных кибератак.
Недавно
представленный сенаторами Марком Уорнером (D-VA_) и Кори Гарднером (R-CO) Закон
о киберустойчивости штата предусматривает создание программы грантов для
государственных и местных органов власти, которым нужна помощь в оплате
цифровой поддержки. Это хороший первый шаг, но требуется нечто большее.
Недостаточно просто выделить деньги на решение проблемы; федеральному
правительству необходимо разработать активную программу координации и
устранения последствий, которая поддерживается Министерством внутренней
безопасности (DHS) и Агентством национальной безопасности (NSA) для
правительств штатов и местных органов власти.
Предлагаемый
закон должен быть расширен, чтобы обеспечить программу для федерального
правительства по оказанию прямой поддержки правительствам штатов и местным
органам власти в устранении тех уязвимостей, которые NSA и DHS считают
критическими, особенно в тех случаях, когда правительства штатов и местные
органы власти не могут сделать это сами. Программа также поможет
штатам и местным органам власти в наиболее важных первых шагах по обеспечению
киберустойчивости: составить карту сетей, которыми они владеют, понять, что в
них находится, и оказать помощь в повышении их безопасности. Такой подход позволил бы федеральному
правительству помочь нашим штатам и местным органам власти быстро и эффективно
устранить свои киберпроблемы.
Независимо
от того, являются ли уязвимости результатом эксплуатации, созданной
национальными государствами, преступными организациями или другими лицами, момент упущен; среда
угроз будет только ухудшаться, и наши государственные и местные органы власти
будут продолжать отставать, если Конгресс не поможет сейчас. Атланта, Балтимор и Ривьера-Бич — самые свежие примеры
тяжелой ситуации, с которой сталкиваются наши государственные и местные органы
власти в борьбе с киберугрозами.
Кибербезопасность
— один из немногих вопросов, где имеется
двухпартийная поддержка. Конгресс должен укрепить и принять Закон о
киберустойчивости штата, полностью финансируемый государством, в качестве
необходимого первого шага к тому, чтобы сделать наши сети штата и местных
органов власти более подготовленными и устойчивыми.