В мире растет число кибератак, и правительства отдельных стран принимают меры по противодействию злоумышленникам. Некоторые инициативы выглядят довольно строгими. Так, индийский регулятор обязал пострадавшие от хакерских атак компании предоставлять отчеты о взломах в течение шести часов после инцидента. В то же время многие регуляторы пытаются найти баланс между ужесточением требований к информационной безопасности и интересами частного сектора.
Полный доступ для правоохранителей
В США растет число инцидентов, связанных с киберпреступностью, что привлекает повышенное внимание регуляторов. Так, в конце прошлого года Федеральная торговая комиссия (FTC) обязала организации финансового сектора раскрывать информацию о кибератаках на их инфраструктуру в течение месяца. Поправка распространяется на утечки данных, которые затрагивают более 500 человек.
Примерно в то же время Комиссия по ценным бумагам и биржам США (SEC) обновила ИБ-регламенты для компаний, акции которых торгуются на бирже. Теперь они должны сообщать об утечках данных и других киберинцидентах, повлекших материальные риски, в течение четырех дней (если раскрытие этой информации не создаст угрозу общественной безопасности). Новые правила уже встретили сопротивление со стороны компаний. Далеко не все из них обладают ресурсами и инструментарием, чтобы в сжатые сроки оценить последствия кибератаки и подготовить отчеты. И некоторые члены правительственного аппарата говорят, что контроль кибербезопасности вообще-то находится за пределами полномочий SEC.
Хотя наиболее жаркие дискуссии в индустрии вызвала инициатива, предложенная Министерством обороны США и NASA — Federal Acquisition Regulation (FAR). Она вводит новые регламенты кибербезопасности для государственных подрядчиков. Вот его основные положения:
Компании-партнеры обязаны сформировать и ежедневно обновлять спецификацию Software Bill of Material (SBOM) для всего программного обеспечения, используемого при исполнении контракта.
Если инфраструктура компании была взломана, она обязана предоставить правоохранительным органам полный доступ к своим системам.
Контрактор должен сообщить о взломе в течение восьми часов и обновлять отчет каждые 72 часа.
Члены Консультативного совета поставщиков облачных услуг (CSP-AB) уже отметили, что новые требования слишком обременительны для облачных провайдеров. Так, свод правил не берет в расчет модель разделения ответственности. Так, сервис-провайдеры не могут предоставить неограниченный доступ к инфраструктуре, не поставив под грозу персональные данные клиентов. Ежедневное обновление SBOM тоже вызывает вопросы. По мнению членов CSP-AB, проработка такого рода документации в рамках облачной инфраструктуры — это неподъемная работа.
Свою позицию по этому вопросу также обозначил Промышленный совет по IT — Information Technology Industry Council (ITI). Представители организации полагают, что предложенные поправки предоставят государству чрезмерно широкий доступ к инфраструктуре контракторов, что поставит под угрозу конфиденциальные данные третьих лиц. Такой подход неизбежно приведет к снижению доверия как со стороны американских компаний, так и зарубежных партнеров.
Мнение касательно FAR также высказали представители компании HackerOne. Они считают, что восьмичасовой дедлайн на предоставление сведений о киберинцидентах необоснован. Отведенного времени недостаточно, чтобы провести достойное расследование потенциального инцидента. Работа в условиях цейтнота вызовет рост числа «ложноположительных» отчетов.
Пока что законопроект проходит стадию публичного обсуждения, и его судьбу сложно спрогнозировать. Впрочем, ужесточение законодательства по информационной безопасности наблюдается не только в США.
Гайки покруче
На фоне роста числа кибератак правительство Индии тоже начало ужесточать законодательство в сфере ИБ. Так, индийский CERT-In решил обязать ИТ-компании сообщать о взломах, утечках, а также любой другой подозрительной активности в инфраструктуре в течение шести часов после их обнаружения. Бизнес также обязан предоставить CERT-In любую информацию для проведения расследования.
Ожидаемо, новые требования встретили серьезной критикой — особо сильное недовольство среди организаций вызвал шестичасовой дедлайн. В попытке развеять сомнения сообщества и ответить на вопросы, правительство опубликовало официальный FAQ. Но использованные в нем формулировки получились достаточно размытыми и лишь усугубили ситуацию. Сразу одиннадцать иностранных компаний, присутствующих на индийском рынке, написали открытое письмо, где отметили расхождения в требованиях официальных регламентов и ответах в FAQ.
В целом представители индустрии предлагают увеличить срок для уведомлений о кибератаках. Для обнаружения бреши в системе может понадобиться несколько дней или даже больше. Поэтому довольно сложно составить полное представление об инциденте в такой короткий срок и предоставить качественный отчет.
Индийское ИТ-сообщество также опасается, что директива местного регулятора негативно отразится на малом и среднем бизнесе. Когда небольшая компания обнаруживает брешь в системе, все её силы и ресурсы сразу направляются на поддержание клиентских приложений и damage control, а не на составление отчетов.
После дискуссии с представителями ИТ-сообщества регулятор все же изменил некоторые регламенты. Например, он предоставил малому и среднему бизнесу дополнительное время на оснащение необходимым оборудованием и сервисами для комплаенса. Однако послаблений относительно сроков оповещения сделано не было. Вместо этого был предложен стандартный формат для отчетов о кибератаках и возможность создания цифрового портала для сбора уведомлений.
Практики в ЕС
Законопроекты, направленные на повышение информационной безопасности, разрабатывают и в Европе. Один из них — Cyber Resilience Act (CRA) — вступит в силу в 2025 году и наложит обязательства на производителей и импортеров продуктов с цифровыми элементами (ПЦЭ). К этой категории относят как программное обеспечение, так и потребительскую электронику вроде электронных часов и наушников.
Согласно документу, работа с ПЦЭ должна сопровождаться оценкой рисков и внедрением защиты от известных уязвимостей. Поставщики и разработчики обязаны сообщать об обнаруженных уязвимостях в местный орган национальной кибербезопасности в течение 24 часов. О серьезных проблемах нужно оповещать Европейское агентство кибербезопасности — European Union Agency for Cybersecurity. Авторы законопроекта надеются, что новая инициатива поможет сократить количество кибератак, повысить престиж европейских компаний и защитить персональные данные пользователей.
Хотя ряд специалистов по ИБ полагает, что оперативное раскрытие информации об уязвимостях одной компанией, может поставить под удар инфраструктуру других организаций. Законопроект получил критику и со стороны сообщества open source. По мнению представителей Linux Foundation, авторы CRA не учли специфику разработки открытого программного обеспечения. В отличие от проприетарных продуктов, авторы открытых решений распространяют их безвозмездно. У них может не быть времени, денег и желания выпускать соответствующие патчи и уведомлять европейские правоохранительные органы. В теории иностранные разработчики могут отказаться придерживаться новых регламентов и покинуть рынок.
Эту точку зрения разделяют и представители других крупных организаций, занимающихся разработкой открытого ПО. В своем письме представители OpenForum Europe (OFE) подчеркнули, что требования CRA замедлят развитие open source в ЕС и подорвут международное сотрудничество. Одно из возможных решений, которое предлагают OFE, — сделать CRA опциональным стандартом качества. В таком контексте компании смогли бы выпускать программное обеспечение с пометкой «Соответствует CRA», а государственному аппарату и критическим секторам экономики было бы разрешено пользоваться исключительно продуктами, имеющими данный сертификат.
В то же время CRA не единственный законопроект в сфере ИБ, который продвигают в ЕС. В 2023 году вступила в силу директива Network and Information Security 2 (NIS2). Она направлена на стандартизацию практик по ИБ среди стран-участниц Европейского Союза и обязывает частные и государственные организации придерживаться установленного набора правил, повышающего общий уровень киберустойчивости на внутреннем рынке. Положения включают: а) отправку отчетов об инцидентах в течение 24 часов после фактического обнаружения; б) обеспечение безопасности цепочек поставок; в) шифрование; г) своевременное уведомление об уязвимостях.
Страны ЕС должны внедрить требования NIS2 на уровне законодательства до октября 2024 года. Однако лишь треть организаций, подпадающих под директиву, технически подготовлены к новым регламентам. Хотя в целом представители ведущих ИТ-компаний Европы положительно отнеслись к NIS2. Они отмечают, что в связи с растущим числом кибератак на цифровую инфраструктуру стандартизированные практики и скоординированные действия между всеми странами ЕС помогут обеспечить адекватный уровень кибербезопасности.
