В этом году конференция RSA в Сан-Франциско собрала мировых профессионалов в области обеспечения безопасности для обсуждения вопросов кибербезопасности в критическое время. В прошлом году наблюдался не только рост киберпреступлений, но и распространение кибератак, которые являются новыми и вызывают беспокойство одновременно. Обнаружены не только кибератаки, направленные на финансовое обогащение, но и атаки, направленные на государства. На мероприятии в Сан-Франциско, где присутствуют инженеры и другие специалисты технологического сектора, мы вместе должны решить, каким будет наш ответ.
Прежде всего, необходимо признать, что никто из нас не справится с этой проблемой в одиночку. Несомненно, каждая наша компания должна прикладывать больше усилий для защиты наших клиентов во всем мире, и компания Microsoft сосредоточена именно на этом, как и другие компании в этой отрасли. Однако помимо этого, пришло время призвать государства к внедрению международных правил для защиты использования сети Интернет в гражданских целях.
Подобно тому как Четвертая Женевская конвенция долгое время защищала граждан во время войны, сейчас нам необходима Женевская конвенция в области цифровых технологий, которая обяжет правительства защищать граждан от национальных атак в мирное время. Так же, как и Четвертая Женевская конвенция признала, что для защиты граждан потребуется активное участие Красного Креста, для защиты от национальных атак требуется активное содействие технологических компаний. Техническая отрасль играет уникальную роль, реагируя на события в сети Интернет в числе первых, и поэтому мы должны действовать коллективно для обеспечения большей безопасности в Интернете, занимая нейтральное положение в роли «цифровой Швейцарии», которая помогает клиентам во всем мире и сохраняет мировое доверие.
Растущая проблема необходимости новых решений
Плохая новость заключается в том, что по прогнозам 74 процента компаний в мире подвергаются хакерским атакам каждый год. [1] Экономические убытки от киберпреступлений оцениваются в размере до 3 триллионов долларов США к 2020 году. При этом, в то время как эти показатели продолжают расти, материальный ущерб омрачается новыми широко распространяющимися рисками.
Возможно, самым тревожным фактом стало то, что за последние годы наблюдается расширение национальных атак. В 2014 году атака Северной Кореи на компанию Sony не была первой национальной атакой, однако стала очевидным переломным моментом. В то время как предыдущие атаки были сосредоточены на экономическом и военном шпионаже, атака на компанию Sony в 2014 году стала ответной мерой за свободное самовыражение в форме (не очень популярного) фильма. В продолжение этого в 2015 году возникла еще более заметная международная дискуссия о национальных атаках, направленных на кражу интеллектуальной собственности компаний. В прошлом году этот вопрос снова расширился до обсуждения хакерских атак, связанных непосредственно с демократическим процессом.
Мы вдруг обнаруживаем, что живем в мире, где не существует запретов, когда дело доходит до национальных атак. Конфликты между государствами больше не ограничиваются конфликтами на земле, море или в воздухе, поскольку киберпространство стало потенциально новой и мировой ареной боевых действий. Увеличивается риск того, что правительства будут пытаться эксплуатировать программное обеспечение или даже использовать его в качестве оружия для достижения целей национальной безопасности, а инвестиции правительств в кибернаступления продолжают расти.
Это пространство для боевых действий радикально отличается от пространств, существующих до этого. Во-первых, киберпространство не существует в четко осязаемой форме в рамках физического мира. Однако, созданием, функционированием, управлением и защитой киберпространства фактически занимается частный сектор. Очевидно, что решающая роль отведена правительствам, но реальность такова, что объекты в этом новом пространстве для боевых действий – от подводных кабелей до центров обработки данных, серверов, ноутбуков и смартфонов – фактически относятся к частной собственности и принадлежат гражданскому населению.
Существует еще одно последствие, вытекающее из всего этого. Техническая отрасль сегодня функционирует таким образом, что первой реагирует на национальные атаки в сети Интернет. Первоначально на кибератаку, направленную одним государством, реагирует не другое государство, а частные лица.
Кроме того, ситуация ухудшилась в отношении еще одного важного аспекта. За две трети столетия с 1949 года государства мира посредством принятия Четвертой Женевской конвенции признали необходимость соблюдения правил, которые защитят граждан в военное время. Однако национальные хакерские атаки трансформировались в атаки на гражданское население в мирное время.
Сегодняшний мир – это не тот мир, который изобретатели Интернета представляли себе 25 лет назад. Тем не менее, это мир, в котором мы живем сегодня. В то время как частные лица вовлечены в данную проблему, для всех нас в технической отрасли вопрос состоит в том, каким образом мы будем ее решать.
Усиленное реагирование частного сектора в технической отрасли
Компания Microsoft, как и другие компании в технической отрасли, активно предпринимает новые меры для обеспечения лучшей защиты клиентов, в том числе от национальных атак. Такие меры включают в себя новые средства обеспечения защиты на каждом уровне технологического комплекса, и при этом расходы в области безопасности ежегодно составляют 1 миллиард долларов США.
В настоящее время электронная почта находится в самом эпицентре битвы за кибербезопасность, поскольку 90 процентов всех хакерских атак начинается с фишинговых атак по электронной почте. Принимая во внимание существенное значение этого факта, в прошлом году мы внедрили систему защиты от угроз Advanced Threat Protection для сервиса Microsoft Exchange Online. Это программное обеспечение определяет распознаваемые вредоносные программы и подозрительные образцы кода в электронных сообщениях и останавливает их до того, как они смогут нанести вред. Затем мы внедрили программу Office 365 Threat Intelligence для предоставления организациям информации об основных пользователях, на которых направлены атаки, частоте вредоносных программ и рекомендаций по безопасности, касающихся их бизнеса. На прошлой неделе мы запустили новые функции управления данными для программы Office 365, которые включают автоматически отправляемые оповещения пользователям, когда кто-то пытается скопировать или загрузить их входящие сообщения. В ближайшие месяцы мы внесем новые функции и предложения, которые обеспечат дополнительную защиту.
Во многом, однако, функции обеспечения безопасности в продуктах – это только начало. Аналитика данных и машинное обучение стали принципиально новыми механизмами защиты для обнаружения национальных атак. Центры обработки данных компании Microsoft соединены с более чем миллиардом конечных точек и получают более триллиона точек данных каждый день. Только программа Advanced Threat Protection обрабатывает 6 миллиардов электронных сообщений каждый день. Это обеспечивает основу для создания систем раннего предупреждения мирового класса с целью обнаружения кибератак.
В рамках компании Microsoft мы сформировали уникальное внутреннее трехстороннее партнерство, объединяющее 3500 профессионалов компании в области безопасности. Центр разведывания угроз Microsoft Threat Intelligence Center (MSTIC) – наше разведывательное подразделение, которое проводит тщательный анализ постоянного потока данных из более чем 200 облачных сервисов и сторонних каналов. Используя машинное обучение, анализ поведения и криминалистические методы, такая специальная команда создает картину происходящего в реальном времени – график разведки безопасности – киберактивности в отношении продвинутых и постоянных угроз для компании Microsoft и наших клиентов.
При обнаружении угрозы MSTIC предупреждает наш центр операций по киберзащите Cyber Defense Operations Center (CDOC), командный центр, осуществляющий непрерывное наблюдение 24 часа в сутки 7 дней в неделю путем смены команд по обеспечению безопасности и специалистов-инженеров, работающих над нашими различными продуктами и услугами. Такая команда специалистов служит передовой линией защиты, предпринимая незамедлительные действия в отношении угроз для защиты наших систем и клиентов.
При определении угроз мы не только работаем с клиентами, но и используем правовые процессы, выполняемые нашим подразделением по борьбе с киберпреступностью Digital Crimes Unit (DCU), для осуществления реагирования с использованием новых и инновационных способов, которые препятствуют проведению атак, в том числе со стороны государств. В прошлом году центр MSTIC определил атаку, которая привела к группе, взаимодействующей с национальным государством, зарегистрировавшим домены в сети Интернет, используя такие наименования, как Microsoft, и товарные знаки других компаний. Мы обратились в федеральный суд, получили судебные распоряжения и успешно добились назначения Судебного распорядителя для осуществления контроля и содействия в дополнительных ходатайствах по нашему делу. Работая под таким судебным наблюдением, мы можем уведомлять интернет-регистраторов, когда такая группа регистрирует поддельный домен Microsoft, и требовать немедленную передачу такого домена в систему, управляемую подразделением DCU.
Используя этот инновационный подход, мы можем препятствовать использованию таких доменов государствами в течение суток. С прошлого лета в ответ на обширные атаки государств мы прекратили использование 60 доменов в 49 странах на шести континентах. В каждом случае мы остановили поток данных, направляемых хакерам от клиентов, чьи компьютеры были взломаны, уведомили клиентов о национальной атаке и помогли им очистить их среду и повысить уровень их безопасности.
В технической отрасли компании стремятся обеспечить наибольшую безопасность клиентов в киберпространстве, в том числе защиту от национальных атак. Каждое наше достижение – это внесение важного вклада. Однако мы далеки от того, чтобы иметь основания объявлять победу. Правительства увеличивают свои инвестиции в наступательные киберспособности. Следовательно, нам необходимо признать важную истину – это не та проблема, которую мы можем решить, действуя исключительно в одиночку.
Призыв правительств прикладывать больше усилий
Настало время призвать правительства мира объединиться, утвердить международные нормы кибербезопасности, возникшие в последние годы, принять новые обязательные правила и начать работу по их внедрению.
Иными словами, для правительств настало время принять Женевскую конвенцию в области цифровых технологий с целью защиты своих граждан в сети Интернет.
В настоящее время есть готовая основа для новых международных правил. За последние два года произошел существенный прогресс в развитии глобальных норм кибербезопасности. Например, в июле 2015 года правительственные эксперты из 20 государств рекомендовали нормы кибербезопасности для государств, которые «направлены на продвижение открытой, безопасной, стабильной, доступной и мирной среды информационно-коммуникационных технологий (ИКТ)».[2] Такие нормы включают ключевые принципы, которые запрещают правительствам участвовать во вредоносной деятельности, используя ИКТ, или аналогичным образом разрушать важнейшую инфраструктуру других государств.
Правительства ведущих стран мира доказали, что они могут обсуждать эти проблемы в открытых двусторонних дискуссиях. По итогам непростых переговоров в сентябре 2015 года, получивших широкую огласку, США и Китай согласовали важные обязательства, по которым ни одна из стран не будет осуществлять или поддерживать хищение интеллектуальной собственности через киберпространство.[3] Это стало предпосылкой для утверждения такого же принципа в более широком контексте на встрече Большой двадцатки двумя месяцами позднее.[4] На данный момент продолжают развиваться дополнительные обсуждения между правительствами.
Все это указывает путь к потенциальному движению вперед. Во-первых, существует новая возможность для важных двусторонних действий. Точно так же, как США и Китай преодолели общие задачи и добились значительных результатов в 2015 году в области запрета хищения интеллектуальной собственности, США и Россия в будущем могут достичь соглашения о запрете злоумышленной деятельности государств в отношении всех гражданских аспектов наших экономических и политических инфраструктур.
Во-вторых, правительства во всем мире должны добиваться более широкого многостороннего соглашения, которое утвердит новые нормы кибербезопасности в качестве международных правил. Подобно тому, как правительства всего мира в 1949 году собрались вместе для принятия Четвертой Женевской конвенции с целью защиты гражданского населения во время войны, нам необходима Женевская конвенция в области цифровых технологий, которая обяжет правительства внедрить нормы, которые были разработаны для защиты граждан в сети Интернет в мирное время.
Такая конвенция должна обязать правительства не предпринимать кибератаки на компании частного сектора или критически важную инфраструктуру других государств, а также не использовать хакерские атаки для хищения интеллектуальной собственности. Конвенция также должна содержать требование, чтобы правительства оказывали содействие частному сектору в обнаружении, сдерживании таких событий, а также в реагировании на них и восстановлении после них, а также требование о том, чтобы правительства сообщали об уязвимостях поставщикам, а не накапливали, продавали или эксплуатировали такие уязвимости.
Кроме того, необходимо, чтобы на основании Женевской конвенции в области цифровых технологий была создана независимая организация, охватывающая общественный и частный секторы. Миру необходима независимая организация, которая сможет исследовать и размещать в открытом доступе доказательства, которые определяют конкретную страну по признакам национальных атак.
В то время как аналога не существует, миру необходима подобная организация, которая сможет решать киберугрозы таким же образом, как Международное агентство по атомной энергии в области нераспространения ядерного оружия. Такая организация должна состоять из технических экспертов со стороны правительств, частного сектора, научного сообщества и гражданского общества, способных изучать конкретные атаки и публиковать доказательства, отражающие принадлежность атаки к конкретному государству. Только тогда государства будут знать, что в случае нарушения ими правил, мир узнает об этом.
Построение надежной и нейтральной «цифровой Швейцарии»
Наконец, нам, представителям технической отрасли, необходимо действовать коллективно, чтобы обеспечить лучшую защиту сети Интернет и клиентов во всем мире от национальных кибератак. Будучи первыми, кто реагирует на угрозы, которые отчасти затрагивают нашу инфраструктуру, мировым технологическим компаниям важно принять на себя конкретные обязательства, чтобы помочь остановить национальные кибератаки и реагировать на них. Тогда как Четвертая Женевская конвенция полагается на организацию Красного Креста в обеспечении защиты гражданского населения во время войны, защита от национальных кибератак требует активного содействия со стороны технической отрасли.
Нам необходимо начать с четкого постулата. Даже в мире нарастающего национализма, когда речь заходит о кибербезопасности, мировой технической отрасли необходимо функционировать подобно нейтральной «цифровой Швейцарии». Мы будем помогать клиентам и защищать их повсюду. Мы не будем оказывать содействие в атаках на клиентов где бы то ни было. Нам необходимо сохранить мировое доверие. Каждому правительству, вне зависимости от его политики и стратегии, необходима национальная и международная ИТ-инфраструктура, которой оно может доверять.
Такая политика, направленная на стопроцентную защиту и нулевой процент наступлений, существенна для нашего подхода, как компании и отрасли. Также необходимо, чтобы такая политика сохранялась в будущем.
Если мы хотим перейти от слов к эффективным действиям, нам необходимо объединиться всей отраслью для принятия наших собственных четких принципов и реализовать меры, необходимые для того, чтобы воплотить эти принципы в жизнь. Например, нам необходимо принять на себя обязательства по совместной и проактивной защите от национальных атак и восстановлению от последствий таких атак. Мы должны пообещать, что мы не будем поддерживать наступательную деятельность где бы то ни было. Нам необходимо создавать программные обновления, которые доступны всем нашим пользователям, вне зависимости от злоумышленников и их мотивов. Нам необходимо принимать согласованные практики обнаружения для управления уязвимостями продуктов и услуг. Нам также необходимо работать совместно для поддержки международных усилий в области защиты подобно новой международной организации, описанной выше.[5]
Существует большой прогресс, благодаря которому мы можем развиваться. Например, компания Microsoft сотрудничает с другими ведущими компаниями, предоставляющими облачные услуги, такими как Amazon и Google, чтобы противодействовать злоупотреблениям в сфере облачных технологий, таким как спам и фишинговые атаки. Мы совместно работаем над общей схемой информирования о злоупотреблениях, которые мы можем видеть в сетях друг у друга для ускорения процесса информирования о них. О таких вопросах, как уведомление клиента о потенциальных атаках национальных государств, мы все узнали из важной работы, в которой компании Google и Facebook стали первыми и яркими лидерами. Если смотреть шире, повсеместно ведется хорошая работа, возникают совместные проекты, в которых участвуют и молодые компании, и лидеры индустрии.
Наконец, по мере рассмотрения этих вопросов, стоит отметить по крайней мере один из аспектов других недавно возникших вопросов, которые объединили техническую отрасль.
Последние обсуждения иммиграции вывели на поверхность важный факт. Как индустрия, технологический сектор буквально объединил весь мир под одной крышей. Например, большинство сотрудников компании Microsoft в штате Вашингтон родились в США, но у нас также работают люди, приехавшие из 157 стран. Уже долгое время я приезжаю утром в офис с чувством, что работаю в Организации Объединенных Наций в области информационных технологий.
Наша компания – не единственный такой пример. Вся наша индустрия объединяет людей из разных стран, все мы сотрудничаем в атмосфере взаимопонимания и уважения. Нам необходимо укрепить такое всеобщее понимание, чтобы защищать людей во всем мире, добиваясь их доверия в качестве глобальной «цифровой Швейцарии».
Опубликовано 14 февраля 2017 года Брэдом Смитом – Президентом и главным юрисконсультом
—
[1] http://www.isaca.org/cyber/Documents/State-of-Cybersecurity-infographic.pdf
[2] http://www.un.org/ga/search/view_doc.asp?symbol=A/70/174
[4] http://g20.org.tr/g20-leaders-commenced-the-antalya-summit/, пункт 26. Положение Большой двадцатки подтвердило положение, аналогичное согласованному США и Китаем, в котором установлено, что «ни одна страна не должна осуществлять или поддерживать хищение интеллектуальной собственности на базе ИКТ, в том числе хищение коммерческой тайны или другой конфиденциальной информации, имея намерение предоставить конкурентные преимущества компаниям или коммерческим отраслям».
[5] Полное обсуждение этих принципов можно посмотреть на сайте https://blogs.microsoft.com/on-the-issues/2016/06/23/cybersecurity-norms-nation-states-global-ict-industry/#sm.000fn948avqfd2m11711pov1fd3a2