США ГОТОВЯТСЯ К ВЫСОКОТЕХНОЛОГИЧЕСКОЙ ВОЙНЕ С КИТАЕМ И РОССИЕЙ
Часть XХIII
1. Оценка независимых киберсил прошла в комитетах по обороне Палаты представителей и Сената США
Комиссии по защите в обеих палатах Конгресса США приняли меры, определяющие независимые оценки перспектив создания независимых киберсил, в рамках ежегодного законодательства по оборонной политике, что приведёт к решающей встрече позднее в 2024 году, когда оба законопроекта будут согласованы для окончательного принятия в закон.
Как пишет DefenseScoop (14.06.2024), вопрос о создании Шестой военной службы, ориентированной исключительно на кибероперации, хоть и не нов, но набрал обороты за последний год, поскольку угрозы выросли, ситуация становится более динамичной, а силы военных служб страдают от проблем с боеготовностью.
Каждая из военных служб отвечает за предоставление личного состава для определённого количества групп Киберкомандования, которое затем использует эти силы в операциях для других географических боевых командований. Но критики считают, что эти службы слишком разрознены в своём подходе, что приводит к несоответствию моделей представления сил Киберкомандованию и сил, сохраняющих свою идентичность служб, что, по мнению скептиков, приводит к проблемам с готовностью.
Поправка к NDAA на 2025 финансовый год со стороны Палаты представителей, предложенная членом Палаты представителей Морганом Латтреллом, республиканцем от Техаса, 22 мая, предписывает независимую оценку создания Киберсил США, которая будет проводиться Национальными академиями наук, Инженерии и Медицины.
Латтрелл и другие республиканские соавторы считают, что для этого настало время, потому что киберриски растут, а нынешний подход слишком разрознен.
«Сегодня каждая служба обычно создает киберпотенциал изолированно. Предполагается, что силы также будут построены по единому стандарту, но это намерение или видение так и не было реализовано, поскольку между службами наблюдаются резкие различия. Фактически, они даже не совпадают по названиям сфер карьеры для сотрудников, связанных с кибероперациями. Хотя последствия кажутся незначительными, они значительны», — написал в недавней статье член палаты представителей Пэт Фэллон, республиканец от штата Техас. «Очень важно, чтобы мы создали независимую военную службу, связанную с киберпространством».
Комитет Сената по вооружённым силам в июне 2024 года утвердил свою версию NDAA, включив положение, рассматривающее перспективу создания независимых киберсил или служб. Законопроект принят комитетом 13 июня 22 голосами против 3.
Меры комитетов по вооруженным силам как Палаты представителей, так и Сената должны быть приняты соответствующими палатами Конгресса, прежде чем перейти к конференции, на которой две версии будут согласованы в единый законопроект. 14 июня полная палата приняла свою версию.
Две ведущие внешние группы по вопросам военной кибербезопасности приветствовали усилия Конгресса по изучению вариантов улучшения того, как Министерство обороны США представляет и использует киберсилы, включая перспективу создания новой, независимой военной отрасли.
Ассоциация киберсил США (AUSCF) «полностью поддерживает создание киберсил для поддержки нашей национальной безопасности в киберпространстве. Положения NDAA, призывающие к изучению этой возможности, являются шагом в правильном направлении», — написала некоммерческая организация, занимающаяся развитием возможностей и эффективности Соединённых Штатов в киберпространстве в заявлении для DefenseScoop. «Это не первый призыв Конгресса к такому исследованию, хотя мы приветствуем решение поручить его провести организации, не входящей в Министерство обороны. Мы надеемся, что это исследование однозначно обнаружит то, что мы все уже знаем: такие специализированные силы не только уместны, но и жизненно необходимы для нашей страны, если мы когда-либо надеемся сравниться и превзойти наших противников в этой области… Это включение в NDAA является шагом в правильном направлении, хотя пришло время нам набрать обороты и быстро перейти к действиям по результатам исследования».
Организация, которая выступает за создание киберсилы, надеется, что оценки, проведенные за пределами Министерства обороны США, определят возможность существования такой силы за пределами ведомства и его в настоящее время ограниченных полномочий. AUSCF вместе с властями выступает за создание более целостных сил национальной обороны, чтобы лучше защищать территорию США и проводить операции против внешних сил.
«В дебатах о том, следует ли проводить смелую реорганизацию с целью создания новой военной службы, ориентированной на кибер-сферу ведения войны, можно сказать наверняка одно: среди соответствующих заинтересованных сторон существуют глубокие разногласия. Однако существует широкий консенсус в отношении того, что беспристрастное независимое исследование для изучения потенциальной ценности и осуществимости такой услуги не только уместно, но и крайне необходимо», — заявил Крис Клири, президент Национальной ассоциации военных киберпрофессионалов, некоммерческой организации, занимающейся защитой интересов военных киберсистем. «С этой целью и в соответствии с нашей миссией и видением MCPA искренне поддерживает предлагаемое исследование».
Конгресс ждёт ответов
Часть беспокойства Конгресса проистекает из потребности в большем количестве информации и данных.
«Многие члены Конгресса считают, что нам нужна более подробная информация, чтобы понять наши текущие и прогнозируемые возможности киберзащиты. Вот почему в этом году принятое Палатой представителей NDAA направлено на достижение нашей общей цели — поддержки наших киберпрофессионалов и систем», — заявила для DefenseScoop член палаты представителей Крисси Хулахан, демократ от штата Пенсильвания, член комитета по вооружённым силам. «Правда в том, что гражданский и военный киберландшафт быстро меняется, почти ежедневно. Поскольку кибербезопасность является неотъемлемой частью нашей национальной обороны и нуждается в поддержке сильной рабочей силы, это вызывает обеспокоенность Конгресса».
Конгресс ранее представил формулировку законопроекта, требующую от Министерства обороны США включить оценку затрат, выгод и ценностей создания единой киберслужбы в обзор киберполитики 2022 года. Совсем недавно потребовалось исследование, которое, среди многих аспектов, призывало к изучению текущего состояния киберслужб, требовало рассмотрения того, как эти службы должны укомплектовываться, обучаться и оснащаться для соблюдения кибербезопасности, а также задавалось вопросом, должна ли одна военная служба нести ответственность за базовую, среднюю и продвинутую подготовку сил кибермиссии, а также следует ли Пентагону создать отдельную службу.
«В исследовании рассматривались все варианты, включая создание отдельной службы и, следовательно, отдельный анализ — есть ли в этом необходимость — но мы потребовали от департамента провести исследование… как часть анализа кибер-позиции. Мне кажется, что министерство обороны проигнорировало это требование, а затем указало нам на раздел обзора положения, который включал оценку, но если вы посмотрите на этот раздел, такой оценки не существовало», — заявил Майк Галлахер, который до конца апреля 2024 года был председателем комитета. Об этом заявил подкомитет Палаты представителей по кибербезопасности, инновационным технологиям и информационным системам на апрельских (2024 года) слушаниях. «Почему мы должны верить, что департамент продолжит объективный анализ в рамках исследования, учитывая, что до этого оно игнорировалось?»
Эта так называемая оценка структуры сил была представлена министру обороны США 1 июня 2024 года.
Министерство обороны США приняло подход, который объединил множество исследований, требуемых Конгрессом, в проект, получивший название Cybercom 2.0, целостный обзор сверху донизу, целью которого является изучение того, как изменить организацию и силы Киберкоманды и обеспечить наилучшую готовность к будущему и возникающим угрозам.
Генерал Тимоти Хо, который стал главой Киберкомандования в феврале 2024 года, заявил на юридической конференции командования 9 апреля 2024 года, что вместе с недавно созданным офисом помощника министра обороны по киберполитике он должен проинформировать министра о видении будущего вооружённых киберсил летом 2024 года. Позже он сообщил подкомитету Палаты представителей вооружённых сил по кибербезопасности, инновационным технологиям и информационным системам, что командование и ASD-Cyber должны провести соответствующий брифинг для министра обороны в июне 2024 года.
«Есть несколько вещей, которые Конгресс уже дал нам» — сказал он на конференции, а позже сообщил законодателям: «Мы обязаны сделать это исследование по формированию киберсил для министра обороны в июне 2024 года и проинформировать в том же июне о результатах этого исследования».
Другие элементы, которые Конгресс поручил Министерству обороны и Киберкомму изучить и которые включаются в усилия Киберкоманды 2.0, включают оптимальную стратегию структурирования и комплектования различных элементов штаб-квартиры.
По словам представителя Министерства обороны США, ведомство обратилось к корпорации RAND для изучения этого вопроса.
«Министерство обороны США заказало независимое исследование киберсил США через корпорацию RAND, которое позволило получить представление о проблемах и возможностях представления и проектирования сил, важнейших задачах миссии, сочетании гражданских, подрядчиков и военных, каналы обучения, управление талантами, карьерный рост и оплату», — сказали они. «Альтернативные модели, представленные в исследовании, позволили понять текущие и потенциальные будущие структуры киберсил. В настоящее время изучаются компромиссы, представленные различными моделями. План реализации будет представлен к июню 2025 года».
Утверждается, что нынешняя модель не успела проявить себя. Командование только что получило более расширенные служебные полномочия после принятия в начале этого года законопроекта об ассигнованиях на 2024 финансовый год, который обеспечивает расширенные бюджетные полномочия , предоставляя Киберкоманде полную бюджетную ответственность за киберпространство и управление киберсилами.
Командование создавало себя по образцу Командования специальных операций США — боевого командования с уникальными служебными полномочиями.
2. Устранение противоречий между многочисленными стратегиями Пентагона в области кибербезопасности
Недавно Министерство обороны США обрисовало свой стратегический план по повышению кибербезопасности и киберустойчивости оборонно-промышленной базы США посредством выпуска «Стратегии кибербезопасности оборонно-промышленной базы 2024 года», которая входит в Стратегию национальной обороны 2022 года и Национальную стратегию кибербезопасности 2023 года и киберстратегию Министерства обороны США на 2023 год.
Он также соответствует Национальной оборонно-промышленной стратегии Министерства обороны США на 2024 год и системе кибербезопасности Национального института стандартов и технологий.
Пентагон надеется достичь четырёх основных целей посредством киберстратегии оборонно-промышленной базы:
— укрепить структуру управления министерства;
— повысить уровень кибербезопасности отрасли;
— сохранить устойчивость критически важных отраслевых возможностей;
— улучшить сотрудничество в области кибербезопасности с промышленной базой.
Как и в случае с Национальной оборонно-промышленной стратегией, то, как будет реализована киберстратегия отрасли, в конечном итоге определит, будет ли эта стратегия успешной. Многие из программ и усилий, упомянутых в стратегии, реализуются уже много лет, но, что наиболее важно, их ещё предстоит полностью оценить, переориентировать и устранить противоречия.
Одной из ключевых целей стратегии является расширение сотрудничества в области кибербезопасности с национальной оборонно-промышленной базой. Сюда входят пилотные программы, военные игры, регулярное взаимодействие с отраслевыми рабочими группами, курсы обучения кибербезопасности, а также сквозные образовательные и информационные кампании, проводимые многочисленными федеральными агентствами.
Этот тип широкомасштабного сотрудничества является многообещающим шагом вперёд и признает разнообразие и масштаб оборонной промышленности, а также то, как различные предприятия могут извлечь выгоду из различных программ, услуг и информационных потоков.
Также примечательно, что стратегия оборонно-промышленной базы делает упор на укрепление межведомственного сотрудничества по сквозным вопросам кибербезопасности. Когда федеральные агентства подходят к регулированию кибербезопасности в вакууме, отрасль может потянуться в нескольких направлениях сразу, что приведёт к ненужному и дублирующему бремени регулирования. Обеспечение того, чтобы все соответствующие элементы правительства США «гребли» в одном направлении, позволит компаниям и другим отраслевым партнёрам в федеральном правительстве сосредоточиться на защите конфиденциальной информации, которая действительно имеет значение.
«К сожалению, цель «грести вместе» пока не достигнута. Учитывая ошеломляющее количество предложений по регулированию кибербезопасности, выпущенных несколькими агентствами за последние месяцы, включая весьма эффективное предлагаемое Министерством обороны правило сертификации модели зрелости кибербезопасности 2.0, уровень сотрудничества с оборонной промышленностью и координации между федеральными правительствами, подчеркнутый в Министерстве обороны, Стратегия кибербезопасности промышленной базы еще не реализована», — National Defense (06.05.2024).
Поскольку министерство продолжает свои усилия по реализации киберстратегии, NDIA будет активно взаимодействовать с представителями министерства обороны и межведомственными организациями, чтобы гарантировать, что проблемы компаний-членов будут озвучены, и все смогут оставаться успешными в своих критически важных усилиях на переднем крае обеспечения безопасности и защиты конфиденциальных данных оборонной информации в поддержку бойцов.
3. Агентство оборонных информационных систем (DISA) получила нового директора и нового командующего киберкомандованием
Генерал-майор Пол Стэнтон назначен следующим директором Агентства оборонных информационных систем и командующим информационной сетью штаба объединённых сил и Министерства обороны, объявил Пентагон 14 июня 2024 года.
Он перешёл из Армейского киберцентра передового опыта, где принял командование в июне 2021 года, и ему было поручено помогать армии в решении проблем с данными, а также сосредоточиться на будущем кибер- и электронной войны.
Доктор философии, Стэнтон имеет обширный опыт работы в военной кибербезопасности, занимая несколько должностей в Киберкомандовании и в армейском киберпредприятии, в основном в оборонной сфере.
Он возьмёт на себя так называемую двойную роль руководителя DISA — агентства боевой поддержки, ответственного за эксплуатацию и обслуживание сети Министерства обороны, а также предоставления бойцам критически важных ИТ-возможностей — и JFHQ-DODIN, подчинённого штаб-квартире Киберкомитета, отвечающей за защиту и безопасность сети Пентагона во всем мире.
В мае 2024 года DISA опубликовало свой стратегический план, стремясь вернуться к своим корням в качестве агентства боевой поддержки. JFHQ-DODIN сталкивается с призывами Конгресса повысить его статус до субобъединённого командования под управлением Cybercom, чтобы повысить его способность реагировать и защищать сеть от растущих атак.
Стэнтон сменит генерал-лейтенанта ВВС Роберта Скиннера, который занимает эту должность с февраля 2021 года. Скиннер был первым заместителем командующего JFHQ-DODIN, когда тот был впервые создан.
4. Пентагон открывает офис по киберакадемическому взаимодействию и назначает директора
Офис директора по информационным технологиям (CIO) Министерства обороны США (DoD) учредил новый офис, целью которого является укрепление партнёрства между министерством и научными кругами в области усилий по киберзащите, объявил Пентагон 12 июня 2024 года.
Управление киберакадемического взаимодействия (CAEO), созданное в соответствии с Законом о полномочиях национальной обороны (NDAA), будет функционировать как централизованный центр, облегчающий сотрудничество в сфере кибербезопасности между Министерством обороны США и академическими учреждениями по всей стране.
Марк Горак, в настоящее время являющийся главным директором по ресурсам и анализу, немедленно приступит к исполнению обязанностей директора CAEO.
«Горак по-прежнему привержен всеобъемлющей миссии Министерства обороны по обеспечению готовности Сил и рассматривает эту новую должность как значимый следующий шаг в процессе укрепления кибер-позиции страны для нынешнего и будущих поколений», — заявил директор по информационным технологиям Пентагона в сообщении на LinkedIn.
В своей новой роли Горак будет возглавлять различные инициативы по повышению киберобразования и готовности в Министерстве обороны США. Это включает в себя координацию и распределение ресурсов для охватываемых программ академического взаимодействия, проведение постоянной оценки образовательных мероприятий, связанных с киберпространством, а также разработку комплексной политики и процедур для мониторинга и оценки эффективности этих программ.
5. АНБ назначает Кристину Уолтер руководителем Центра киберсотрудничества
Агентство национальной безопасности (АНБ) назначило Кристину Уолтер руководителем Центра сотрудничества в области кибербезопасности (CCC), сообщило агентство 13 июня 2024 года.
Это объявление знаменует возвращение Уолтер в CCC, где она ранее сыграла ключевую роль в создании центра. По словам АНБ, на своих предыдущих должностях в качестве стратега CCC и руководителя отдела кибербезопасности Оборонно-промышленной базы (DIB) она помогала формировать стандарты и операции служб DIB АНБ, а также общую миссию CCC.
Уолтер сменит на посту главы центра Моргана Адамски, который недавно был назначен исполнительным директором Киберкомандования США.
«Я очень рад, что выпускница CCC вернулась в качестве нашего руководителя, и с нетерпением жду её руководства, поскольку CCC продолжает извлекать пользу из нашего отраслевого партнёрства по различным направлениям», — сказал Адамски в своем заявлении.
«Её роль в первоначальном противостоянии CCC делает её идеальным человеком, чтобы взять на себя руководство», — сказал генерал Тимоти Хо, возглавляющий АНБ и Киберкомандование США.
Совсем недавно Уолтер возглавляла Инициативу АНБ по обеспечению готовности к будущему рабочей силы, которая играет решающую роль в обеспечении того, чтобы «АНБ было ведущим рабочим местом, сочетающим в себе выполнение миссии, заинтересованное руководство и позитивную, здоровую и благоприятную рабочую среду».
«Её недавняя работа в качестве директора Инициативы АНБ по обеспечению готовности к будущему рабочей силы иллюстрирует её твёрдую приверженность развитию инновационной рабочей силы АНБ, которая окажется решающей для продвижения ориентированной на будущее миссии CCC и её усилий по партнёрству с промышленностью, DIB и другие», — сказал Хо.
Уолтер также руководила деятельностью АНБ по созданию программ для предоставления проверенного и обоснованного бюджета Консолидированной криптологической программы и Программы военной разведки руководителям АНБ, а также работала исполнительным помощником директора Управления бизнес-менеджмента и интеграции, помогая старшему руководству в планировании, выполнении и администрировании задач высокого уровня.
6. Работа Microsoft по усилению кибербезопасности
13 июня 2024 года, вице-председатель и президент Microsoft Брэд Смит дал показания перед Комитетом внутренней безопасности Палаты представителей о практике Microsoft в области кибербезопасности:
«Председатель Грин, высокопоставленный член Томпсон и члены комитета, благодарим вас за возможность выступить и обсудить обязательства Microsoft и текущую работу по усилению защиты кибербезопасности. Как вы знаете, эта работа отчасти является ответом на отчёт Совета по обзору кибербезопасности (CSRB) о кибервторжении в Microsoft Exchange Online в 2023 году со стороны злоумышленников, известных как Storm-0558 и связанных с Китайской Народной Республикой».
«Мы признаём, что Microsoft играет уникальную и важную роль в области кибербезопасности. Не только для наших клиентов, но и для нашей страны, и для союзников нашей страны. Эта роль отражает широкий спектр продуктов и услуг, которые Microsoft предоставляет частным лицам и организациям, включая облачные сервисы, работающих через центры обработки данных, расположенные в 32 странах мира. Это также отражает широкую работу по кибербезопасности, которую мы проводим каждый день, в том числе для США и в тесном сотрудничестве с правительствами США и многих стран-союзников.
Эта роль сопряжена с огромной ответственностью. Расширяющиеся и усиливающиеся геополитические конфликты создали более опасный кибермир. Не случайно первыми выстрелами в войне против Украины стали кибератаки со стороны российских военных. И не случайно первые люди, обнаружившие эти атаки, находились не на Украине, а недалеко от Сиэтла, работая в Центре анализа угроз Microsoft.
За 28 месяцев с начала этой войны и по мере роста напряжённости в других местах мы стали свидетелями более плодотворных, хорошо обеспеченных ресурсами и изощрённых кибератак со стороны четырех стран — России, Китая, Ирана и Северной Кореи. По любым меркам агрессивная киберактивность достигла необычайного уровня. За последний год Microsoft обнаружила 47 миллионов фишинговых атак на нашу сеть и сотрудников. Но это скромно по сравнению с 345 миллионами кибератак, которые мы обнаруживаем против наших клиентов каждый день».
«Мы реализуем новые стратегии, инвестируем больше ресурсов и укрепляем культуру кибербезопасности. Мы перераспределили ресурсы и назначили технических и инженерных сотрудников компании для этой работы, посвятив 34 000 штатных инженеров тому, что стало крупнейшим инженерным проектом по кибербезопасности в истории цифровых технологий. И мы выявляем новые возможности не только для себя, но и для всех наших клиентов, а также для более тесного сотрудничества в частном и государственном секторах».
Инициатива Microsoft «Безопасное будущее»
«Мы запустили нашу инициативу «Безопасное будущее» как многолетнюю попытку усовершенствовать способы проектирования, создания, тестирования и эксплуатации наших продуктов и услуг. Она ориентирована на достижение максимально высоких стандартов безопасности и основана на трёх основных принципах кибербезопасности, которые применяются во всей Microsoft:
— безопасность благодаря дизайну: сделайте безопасность главным приоритетом при разработке любого продукта;
— безопасность по умолчанию: убедитесь, что средства защиты включены и применяются по умолчанию, не требуют дополнительных усилий и не являются необязательными.
— безопасные операции: убедитесь, что меры безопасности и мониторинг будут постоянно совершенствоваться для противодействия текущим и будущим угрозам.
Такой подход позволит нам создать более мощную многоуровневую оборону, чтобы противостоять наиболее опытным и хорошо обеспеченным ресурсами субъектам национального государства.
Чтобы реализовать эти принципы, Microsoft определила конкретные инженерные цели и ключевые показатели эффективности, разделённые на следующие шесть столпов:
— защитите личные данные и секреты. Снизьте риск несанкционированного доступа к любым данным путём внедрения и обеспечения соблюдения лучших в своём классе стандартов в нашей инфраструктуре, которая управляет личными данными и конфиденциальной информацией, такой как пароли («секреты»), чтобы гарантировать, что только нужные люди и приложения получают доступ к нужным ресурсам;
— защитите арендаторов и изолируйте производственные системы: используйте последовательные, лучшие в своём классе методы обеспечения безопасности и постоянно проверяйте изоляцию производственных систем, включая те, на которых мы эксплуатируем Microsoft Cloud.
— защита сетей: постоянно улучшайте и внедряйте лучшие в своём классе методы защиты производственных сетей Microsoft;
— защита инженерных систем: постоянно улучшайте нашу цепочку поставок программного обеспечения и системы, которые позволяют инженерам Microsoft разрабатывать, создавать, тестировать и выпускать программное обеспечение, тем самым защищая программные активы и повышая безопасность кода;
— мониторинг и обнаружение угроз: постоянно улучшайте охват и автоматическое обнаружение постоянно развивающихся угроз производственной инфраструктуре и службам Microsoft, ускоряя действия против этих угроз;
— ускорение реагирования и исправления: улучшайте наши методы реагирования и исправления, когда мы узнаем об уязвимостях в наших предложениях или нашей инфраструктуре, чтобы быть ещё более комплексными и своевременными и лучше предотвращать использование этих уязвимостей.
Возможно, наиболее важным для целей этого слушания было то, что этой весной мы работали над тем, чтобы сопоставить все 16 рекомендаций CSRB, применимых к Microsoft, чтобы гарантировать, что мы рассматриваем их в рамках инициативы «Безопасное будущее».
Например, мы находимся в процессе активного перевода наших потребительских и корпоративных систем идентификации на новую усиленную систему управления ключами, которая использует аппаратные модули безопасности для хранения и генерации ключей.
Мы распространяем собственные данные и соответствующие сигналы обнаружения во всех местах, где проверяются токены. И мы добились значительного прогресса в области автоматической и частой ротации ключей, общих библиотек аутентификации и собственных данных, используемых в нашем алгоритме генерации токенов.
Мы пригласили Агентство кибербезопасности и безопасности инфраструктуры (CISA) от имени CSRB в штаб-квартиру Microsoft для подробного технического брифинга по этим и всем другим нашим инженерным задачам, включая конкретные способы реализации рекомендаций CSRB.
Мы также будем полностью информировать Комитет о нашем прогрессе в выполнении всех 16 рекомендаций, а также о других наших шагах.
Важно отметить, что мы не рассматриваем рекомендации CSRB и наши дополнительные 18 целей SFI как список «что нужно сделать», который мы ставим галочкой, чтобы в конечном итоге мы могли объявить, что наша работа завершена. Безопасность так не работает. Злоумышленники всегда будут атаковать, используя всю человеческую изобретательность. Наша кибербезопасность никогда не будет полной. Скорее, эти шаги символизируют общекорпоративный и постоянный сдвиг, направленный на то, чтобы мы ставили безопасность превыше всего в мире, в котором ведутся постоянные бои в киберпространстве.
Важность культуры
В истории бизнеса полно компаний, у которых была блестящая стратегия, но слабая культура. С того момента, как мы узнали, что CSRB призвал Microsoft заняться нашей культурой кибербезопасности, мы почти инстинктивно пришли к выводу, что это критический аспект, который нам нужно принять, а не сопротивляться.
Культура, конечно, начинается с «тона сверху», и в конечном итоге каждый сотрудник должен её соблюдать. Когда я впервые обсудил акцент CSRB на нашей культуре безопасности с Сатьей Наделлой, председателем и генеральным директором Microsoft, он сразу же принял этот вопрос. По его словам, каждому из нас необходимо сделать это самым важным делом, которое мы делаем как руководители компании. Это даже важнее, чем работа компании над искусственным интеллектом.
И в качестве высшего руководства, и в составе совета директоров Microsoft мы потратили значительное время в течение последних двух месяцев, сосредоточившись на анализе существующей у нас культуры безопасности и переопределении культуры безопасности мирового класса, которую мы хотим развивать. Как и всё столь важное, это потребовало долгих обсуждений и тщательного обдумывания. Изменение культуры всегда требует множества аспектов, и не следует недооценивать сложность достижения реального и длительного успеха.
У нас есть значительный опыт в этой области. Лишь немногие компании за последнее десятилетие проделали столько же работы, как Microsoft, чтобы заново изобрести себя, переопределив свою культуру. В 2014 году, когда Сатья стал генеральным директором Microsoft, он провёл компанию через культурную трансформацию, основанную на «Полярной звезде», сосредоточенной на развитии «мышления роста», высвобождая любознательность и инновации на всех уровнях, поощряя сотрудников становиться «всезнающими».
Мы призываем использовать наши возможности для культурных изменений, чтобы укрепить нашу культуру безопасности, начиная с «Полярной звезды», которую мы довели до всей компании, чтобы сделать безопасность главным приоритетом в Microsoft. Чтобы сделать это конкретным, Сатья написал каждому сотруднику:
«Если вы столкнулись с выбором между безопасностью и другим приоритетом, ваш ответ ясен: занимайтесь безопасностью. В некоторых случаях это будет означать, что безопасность будет иметь приоритет над другими вещами, которые мы делаем, например, выпуском новых функций или обеспечением постоянной поддержки устаревших систем».
Хотя такаяясность имеет решающее значение, это только начало того, что необходимо для широкой и эффективной культуры безопасности. Когда наша команда высшего руководства обсуждала эту культурную эволюцию, мы пришли к выводу, что имеет смысл рассматривать безопасность как наиболее важный атрибут качества продукции. И при этом мы можем многое применить из опыта бизнес-обучения как в Microsoft, так и во всём мире, для создания высококачественных продуктов.
Некоторые из наиболее творческих и эффективных работ в этом отношении объединили американское бизнес-мышление после Второй мировой войны с инновациями 1980-х годов, которые позволили Toyota и другим японским автомобильным компаниям создать глобальную репутацию производителей надёжных и высококачественных автомобилей. Получившаяся в результате система всеобщего управления качеством (TQM) продолжала развиваться в последующие десятилетия, и многие из наиболее успешных американских компаний применяют ту или иную её форму сегодня.
Система TQM фокусируется на потребностях клиентов и постоянном совершенствовании, признавая, что всегда есть возможности для улучшений, какими бы незначительными они ни были. Крайне важно, что это предполагает полное участие всей компании, когда каждый сотрудник участвует в процессе улучшения качества.
В основе этих различных подходов лежит то, что, по нашему мнению, станет жизненно важной частью культуры безопасности Microsoft — расширение возможностей и вознаграждение каждого сотрудника за обнаружение проблем безопасности, сообщение о них, помощь в их устранении и поощрение более широкого обучения на основе процесса и результатов. Это требует, чтобы мы включили эту работу по обеспечению безопасности в качестве незаменимого и интегрированного элемента во все аспекты инженерных процессов компании, как вы можете видеть, отражёнными в трёх основных принципах инициативы Secure Future.
Дополнительный аспект, который мы узнали из нашей предыдущей работы, заключается в том, что изменение культуры требует постоянной практики и подражания. Это одна из многих причин, по которой наша команда высшего руководства посвящает часть своих еженедельных встреч постоянному глубокому погружению в один из шести столпов SFI, а также обсуждению других конкретных вопросов безопасности и оценке того, что мы делаем в целом. Мы распространяем этот акцент на всю компанию, одновременно подчеркивая роль наших принципов SFI как во внутренних, так и во внешних обсуждениях продуктов — как мы это сделали 7 июня, когда объявили об изменении функций наших будущих компьютеров Copilot+.
Эффективное изменение культуры также требует ресурсов, необходимых для успеха. Вот почему в этом финансовом году мы добавили ещё 1600 инженеров по безопасности, а в следующем финансовом году добавим еще 800 новых должностей по безопасности.
Мы объединили это расширение ресурсов с важными изменениями в системе управления безопасностью компании. В дополнение к важной давней роли директора по информационной безопасности компании, или CISO, мы создали офис директора по информационной безопасности с заместителями директора по информационной безопасности старшего уровня, чтобы расширить надзор за различными инженерными командами, чтобы оценить и гарантировать, что безопасность «встроена в систему безопасности».
В конечном счёте, изменение культуры требует подотчётности. Это понимают все наши высшие руководители, начиная с Сатьи как генерального директора компании. Вместо того, чтобы делегировать общую ответственность за безопасность кому-то другому, он лично взял на себя ответственность выполнять функции старшего руководителя и нести общую ответственность за безопасность Microsoft.
Именно поэтому 3 мая 2024 года мы объявили, что часть вознаграждения высшего руководства компании будет зависеть от нашего прогресса в выполнении наших планов и контрольных показателей безопасности. С тех пор мы работали над уточнением этих мер по вознаграждению и другим мерам по подотчётности на следующий финансовый год, который начинается 1 июля 2024 года.
Более опасный ландшафт угроз
Мы также признаем, что нам необходимо продолжать адаптироваться к динамичному и усиливающемуся ландшафту угроз. Сегодня Microsoft отслеживает более трёхсот субъектов национальных государств. Мы сообщаем о том, что видим, в частых блогах, подкастах и других ресурсах, посвящённых кибербезопасности, и обобщаем всё, что мы ежегодно отслеживаем в компании, в наших отчётах Microsoft Digital Defense.
Последние годы принесли отрезвляющие события в области кибербезопасности, которые, во всяком случае, привлекают меньше общественного внимания и дискуссий, чем они заслуживают.
В отличие от атак танков, самолётов или наземных войск, кибератаки невидимы невооружённым глазом. Но они перемещаются по Интернету со скоростью света, пересекая границы и атакуя внутреннюю инфраструктуру на американской земле, слишком часто уничтожая собственность и подвергая риску жизни американских граждан.
Геополитическая напряжённость после начала войны на Украине привела к ещё более опасному конфликту в киберпространстве. Две успешные атаки российских и китайских субъектов на Microsoft на самом деле отражают более широкие изменения, которые стремительно приближаются к нам. Когда мы подводим итоги не только этих недавних атак, но и всех данных, которые мы видим, можно сделать несколько ключевых выводов.
Во-первых, темпы атак возросли до такой степени, что в киберпространстве ведутся постоянные бои. Не просто каждый день, а буквально каждую секунду. Только Microsoft каждую секунду и каждый день обнаруживает почти 4000 атак на наших клиентов с использованием паролей.
Мы также наблюдаем устойчивый рост атак со России, Китая, Ирана и Северной Кореи. Количество атак неуклонно растёт не только против Microsoft, но и против отдельных лиц и организаций по всему миру.
Во-вторых, мы наблюдаем более высокий уровень технической сложности, что почти наверняка отражает вложение большего количества ресурсов и расширение работы по укреплению технических ноу-хау. Но ещё больше сбивает с толку более агрессивный характер атак национальных государств. Возьмем два примера:
Год назад Microsoft обнаружила китайского государственного субъекта, который компрометировал и заранее размещал лазейки «веб-оболочки» в сетях широкого спектра критически важной инфраструктуры в Соединённых Штатах и Гуаме, используя очень сложные методы. Это включало маршрутизацию атак через взломанные домашние маршрутизаторы. Мы сообщили об этом правительству США и общественности и работали с правительственными учреждениями, чтобы продолжить расследование этих атак. Эта деятельность поставила под угрозу гражданское население и гражданскую инфраструктуру, включая наше электро- и водоснабжение, а также управление воздушным движением.
Российское агентство внешней разведки (СВР) продолжает оставаться одним из наиболее обеспеченных ресурсами и наиболее продвинутых киберагентств в мире. В прошлом году мы также увидели, что он стал более агрессивным. Например, в прошлом хакеры СВР обычно покидали компьютерную среду, как только было обнаружено их вторжение. За последние шесть месяцев мы видели, как они вкладывают больше ресурсов, как только их обнаружат, в то, что по сути является рукопашным боем для управления компьютером.
В-третьих, мы наблюдаем более прямую связь между деятельностью национальных государств и киберпреступностью.
Программы-вымогатели стали особенно отвратительной формой киберпреступности, поскольку они угрожают уничтожением компьютеров и нарушением работы критически важных служб, что увеличивает шансы на получение выкупа, который они требуют. Программы-вымогатели стали чумой для сектора здравоохранения, в том числе в Соединённых Штатах. В своём отчёте об интернет-преступлениях за 2023 год ФБР подсчитало, что здравоохранение стало сектором, наиболее часто подвергающимся атакам программ-вымогателей. Число подобных атак в 2023 году против американских медицинских работников выросло на 128 процентов, жертвами стали 389 медицинских организаций.
Последствия этих атак реальны и пугают. Например, в прошлый День Благодарения кибератака на Ardent Health Services, компанию из Теннесси, владеющую более чем двумя дюжинами больниц как минимум в пяти штатах, привела к тому, что во время таких атак больницы теряют доступ к электронным медицинским записям, системы медицинской визуализации выходят из строя, а некоторых пациентов приходится транспортировать в другие учреждения.
В-четвёртых, мы должны быть готовы к тому, что национальные противники Америки будут более тесно сотрудничать в киберпространстве. Россия и Китай уже сотрудничают в других формах военной и разведывательной деятельности, а также более тесно связаны с Северной Кореей и Ираном. Мы должны исходить из того, что геополитические тенденции, которые мы наблюдаем в физическом мире, проявятся и в киберпространстве.
Это серьёзно на нескольких уровнях. Одно дело участвовать в кибербою с четырьмя отдельными противниками-национальными государствами, но совсем другой сценарий, если две или все четыре из этих стран будут действовать совместно.
Эта растущая опасность носит как качественный, так и количественный характер. Это связано с тем, что каждая из четырех стран — особенно Россия и Китай — сами по себе хорошо обеспечены ресурсами и обладают высокими возможностями. Но у них есть возможности в разных областях: от разработки программного обеспечения до машинного обучения, вычислительных ресурсов и социальных наук. Большая опасность для Соединённых Штатов и наших союзников заключается в том, что эти страны не просто объединят силы, но и наращивают при этом потенциал друг друга для кибератак. К сожалению, именно в этом направлении, скорее всего, и движется будущее».
