Взгляды Трампа на кибербезопасность: все то же самое, то же самое
Комментарии Дональда Трампа о кибербезопасности в прошлом месяце вызвали переполох в киберсообществе. Когда кандидата в президенты от Республиканской партии спросили о киберпроблемах, он сказал: «Послушайте, мы подверглись кибератаке, забудьте о них. И мы даже не знаем, откуда это … потому что мы устарели. Прямо сейчас, особенно в России и Китае, и в других местах… Я фанат будущего, а кибернет — это будущее».
Этот беспорядочный беспорядок отсутствия ответа породил множество статей и сообщений в блогах от сообщества кибербезопасности, большинство из которых состоит из отчаяния из-за невежества Трампа в таком жизненно важном вопросе. Однако из-за этой болтовни упускается общая картина. По правде говоря, вопиющее невежество Трампа — это просто еще один пример бесчисленных случаев плохого управления кибербезопасностью со стороны Соединенных Штатов. В многочисленных чувствительных областях правительства, на самых высоких уровнях, США постоянно не реализуют разумную киберполитику или даже не понимают, что это такое. Это не партийный вопрос, поскольку нация коллективно не применяет надлежащие методы. Давайте рассмотрим несколько примеров и попытаемся понять, насколько сильно правительство США отстает в плане информационной безопасности.
Отчет Сената о кибербезопасности
В 2014 году Сенат США начал расследование, чтобы определить причину многочисленных громких нарушений безопасности. Среди них атака на частные базы данных Инженерного корпуса армии США, проникновение на серверы, принадлежащие федеральному органу кибербезопасности, Национальному институту стандартов и технологий, и ряд других. Полученный отчет представил неопровержимые доказательства того, что во всех этих инцидентах с безопасностью виноваты «настоящие упущения со стороны федерального правительства». В выводах Сената на 14 страницах сделан вывод о том, что многие из хакерских атак использовали «обычные слабости, особенно устаревшее программное обеспечение», и далее говорится, что «неспособность установить исправления программного обеспечения или обновить программы до их последней версии создает точки входа для шпионов, хакеры и другие злоумышленники. ”
Много раз в своих работах я подчеркивал, что человеческий фактор является причиной большинства нарушений безопасности. Большое количество потенциально разрушительных кибератак было вызвано чистой некомпетентностью, поскольку простые обновления патчей могли закрыть бесчисленное количество уязвимостей, которые можно было бы использовать. Тема человеческих ошибок продолжала подниматься на протяжении всего отчета за 2014 год, поскольку каждое проверяемое федеральное агентство (включая Министерство внутренней безопасности) было виновно в ненадлежащих методах работы, что помогло создать условия для успешных взломов.
В отчете сделан вывод о том, что «агентства — даже агентства, отвечающие за критически важную инфраструктуру или обширные хранилища конфиденциальных данных — продолжают оставаться уязвимыми, часто не предпринимая самых элементарных шагов для обеспечения безопасности своих систем и информации». Эта тема была верна до того, как появился этот отчет, и не похоже, что правительственные силы достаточно вовлечены, чтобы изменить ее.
CISA: Наказание граждан за некомпетентность правительства
Можно было бы предположить, что правительство, по крайней мере, попыталось бы внести изменения после доклада Сената. Это оказалось полуправдой, поскольку закон, принятый в конце концов в 2015 году, рекламировался как способ повышения кибербезопасности. Полуправда заключалась в том, что Закон об обмене информацией о кибербезопасности (CISA) на самом деле не фокусировался на недостатках правительства США. Скорее, это было в основном дальнейшее нарушение гражданских свобод.
Как написала в своем блоге помощник по законодательным вопросам ACLU Сандра Фултон, CISA позволила создать «огромную лазейку в наших существующих законах о конфиденциальности, позволив правительству просить компании о «добровольном» сотрудничестве в обмене информацией, включая содержание наших сообщений, в целях кибербезопасности. целей». Как будто Патриотического акта, массовой слежки АНБ и других навязчивых политик было недостаточно, этот новый закон, принятый во имя кибербезопасности, еще больше нарушил конфиденциальность и безопасность данных.
Логичным шагом для правительства было бы обеспечение того, чтобы все федеральные агентства выполняли протоколы безопасности. Вместо этого законодатели протолкнули законопроект, который не сделает ничего существенного для повышения информационной безопасности. Захватив власть, правительство США продемонстрировало вопиющее отсутствие заботы о кибербезопасности, что расстроило многих людей в этой области.
Частный сектор информационной безопасности — это ответ
Хотя весело шутить о том, насколько глупо правительство, и, поверьте, мне это нравится, здесь есть серьезные опасности. Похищенные в ходе этих кибератак данные могут угрожать национальной безопасности, так как часто попадают в руки опасных людей. Игнорируя каждое надежное решение, которое могло бы реально улучшить защиту США от кибератак, правительство показывает, что оно не знает об угрозах и не готово к ним.
Вот что нужно сделать, чтобы предотвратить катастрофу. США должны привлечь профессионалов из частного сектора информационной безопасности в свой ближайший круг. На мой взгляд, лучшие умы в области кибербезопасности работают не на федеральное правительство. Вместо этого их можно найти в бесчисленных частных фирмах, которые заключают контракты с самыми могущественными субъектами страны. Эти профессионалы могут давать правительству рекомендации, которые, наконец, начнут закрывать бесчисленные бреши в системе безопасности в обширной сети федеральных агентств.
Я считаю частных экспертов по кибербезопасности решением того простого факта, что федеральные эксперты бесполезны. Я говорю это в свете собранных мной свидетельств бесчисленных случаев, когда федеральные агентства и высокопоставленные чиновники этих агентств демонстрировали вопиющее пренебрежение основными протоколами. Как мы можем честно ожидать, что ФБР, ЦРУ и другие агентства будут защищать национальную безопасность, если они слишком ленивы, чтобы следовать элементарным принципам, которые должен знать каждый эксперт по информационной безопасности?
Несмотря на то, что вчерашние и сегодняшние правительственные чиновники демонстрировали невежество, подобное невежеству Дональда Трампа, так не должно оставаться. Так продолжаться не может, если Соединенные Штаты хотят обезопасить своих граждан от последствий разгорающейся кибервойны. Со всех сторон политического спектра всегда говорили о необходимости защиты нашей инфраструктуры и наших граждан. Если политическая сфера США не адаптируется и продолжит свой путь, не прибегая к значительной помощи извне, я могу с уверенностью сказать, что мы не готовы столкнуться с взломом со стороны национального государства или другой серьезной угрозой.