«Кібергра», проведена в Канберрі, показує, що комерційні та дипломатичні рішення будуть більш ефективними в довгостроковій перспективі, ніж погоня за хакерами.
Які варіанти політики Австралії щодо відповіді на інтернет-загрози 2022 року? Це питання було досліджено в 360° Cyber Game, спільно проведеному RAND Corporation і Національним коледжем безпеки (NSC) при Австралійському національному університеті (ANU) в Канберрі в четвер.
RAND проводив дві з цих ігор раніше, у Вашингтоні та в Кремнієвій долині, і описав методологію та результати в статті Структура для вивчення варіантів політики кібербезпеки.
Гра в Канберрі спрацювала так само.
Останні австралійські новини
- Уряд Австралії оголошує членів робочої групи 5G
- Безрозсудність австралійського уряду з медичними даними є симптомом глибших проблем
- Тернбулл оприлюднив нових міністрів технічних питань у складі кабінету міністрів
- ACCC розпочинає опитування про оптові рівні обслуговування NBN
- Повторна ідентифікація можлива за допомогою відкритих даних Medicare та PBS, деідентифікованих Австралією
Близько 60 учасників з уряду, академічних кіл і приватного сектору — ваш автор був одним із них — досліджували два сценарії. Спочатку нас розділили на команди, щоб розглянути кожен сценарій під певним кутом зору. Наприклад, як наші запропоновані заходи політики можуть збільшити витрати для зловмисників або як вони можуть вплинути на наші культурні норми, порушуючи громадянські права тощо. Потім ми знову зібралися як одна група, щоб порівняти та об’єднати наші пропозиції.
Гра проходила під в Правило Chatham House, тому я не можу розкрити, хто були учасники або хто що сказав, але це був вражаючий склад.
Хоча RAND планує опублікувати офіційний звіт у лютому, це мої початкові спостереження. Зауважте, що вся гра стосувалась політичних реакцій, а не технічних реакцій.
Перший сценарій стосувався Інтернету речей (IoT).
«Цей сценарій поміщає вас у світ, у якому зловмисне використання Інтернету речей стає надто поширеним і починає руйнувати соціальну та економічну сферу», — йдеться у коментарях до сценарію.
У інтелектуальному дверному замку, який використовується великим забудовником, було виявлено вразливість, яка дає грабіжникам доступ до тисяч будинків.
Безпілотний автомобіль жінки відхилився від запланованого маршруту, і вона не змогла відновити ручне керування. Він врізався в пішоходів, поранивши 12 і загинувши. Виявилося, що машину зламав її хлопець, який вважав, що привіз її до нього, щоб зробити пропозицію одружитися.
«Громадський резонанс через ці зловмисні дії [та інші, детально описані в сценарії] призводить до неминучої кризи, яка вимагає дій. Але які дії?», – запитав РЕНД.
Консенсус полягав у тому, що погоня за хакерами навряд чи буде успішною, принаймні в короткостроковій перспективі, посилаючись на звичайні проблеми з авторством і юрисдикцією. Тим не менш, необхідно докладати дипломатичних зусиль, щоб усунути зручні для хакерів гавані.
Було б ефективніше працювати з гравцями, яких ми можемо визначити: виробниками, дистриб’юторами та роздрібними продавцями пристроїв IoT, а також із споживачами. Враховуючи низьку вартість і низьку норму прибутку багатьох пристроїв IoT, будь-яке рішення мало бути простим і дешевим.
В якості початкової відповіді ми повинні застосувати чинне законодавство про захист прав споживачів. Ми вже маємо ефективні процедури відкликання небезпечних продуктів, особливо електротехніки та дитячих іграшок. Це може швидко видалити з ринку найпроблемніші пристрої, давши час для розробки узгоджених стандартів кібербезпеки.
Краудсорсингове тестування безпеки, подібне до програм винагороди за помилки, також може допомогти швидко виявити проблеми.
Учасники зазначили, що телекомунікаційні компанії вже можуть ідентифікувати більшу частину зловмисного трафіку в своїх мережах, але не мають стимулів щось із цим робити. Моніторинг мереж і блокування певного трафіку представляють очевидні громадянські свободи та заперечення щодо конфіденційності, тому до вивчення цього варіанту політики слід підходити обережно.
До 2022 року пристрої IoT, ймовірно, стануть розумнішими та з більшою обчислювальною потужністю. Можливо, кожен пристрій зможе дізнатися, що є нормальною активністю, і позначити аномалії. Спілкуючись один з одним, вони могли виробити щось схоже на імунну систему. Однак це радше технічна, а не політична відповідь, тому далі її не досліджували.
Однак консенсус полягав у тому, що ми повинні вдарити по виробникам і продавцям, оскільки саме вони випускають небезпечні пристрої на ринок.
Рішенням, яке з’явилося, стала система рейтингу кібербезпеки, такого ж типу система рейтингу зірок безпеки запропонований Ендрю Джеймісоном, «Security Oompa Loompa» наукової компанії безпеки UL.
Також були виявлені ті самі проблеми, наприклад, складність порівняння безпеки різних видів пристроїв. Злом розумного тостера не має такого ж потенційного впливу, як злом інсулінової помпи.
Учасники гри в Канберрі вирішили, що пристрої, які оцінюються за цією системою, матимуть схвалення Cyber Kangaroo. Режим «Кібер-кенгуру» буде введено поступово, спочатку як добровільний стандарт, що супроводжується громадською просвітницькою кампанією, а потім як обов’язковий рейтинг для будь-якого пристрою, що продається в Австралії.
Страхові компанії також можуть заохочувати споживачів купувати пристрої, схвалені Cyber Kangaroo.
Учасники вирішили, що розробка міжнародного стандарту буде надто повільною. Австралія повинна це зробити.
Австралія також може отримати вигоду від того, щоб стати інноваційним центром безпеки IoT, включаючи швидку розробку та тестування безпечного коду IoT.
Попередні кіберігри RAND також визначили стандарти та ринкові сили як варіанти політики, які, ймовірно, будуть успішними.
«Учасники побачили потребу в тому, щоб ринкові сили винагороджували безпеку та карали незахищеність. Вони визначили роль уряду в класифікації продуктів за ступенем кібербезпеки (оцінюється за допомогою сертифікації або стандартів ефективності). Вони також погодилися з тим, що кібербезпека має бути пріоритетною відповідно до впливу збою, а пристрої для здоров’я та безпеки є найбільш критичними цілями для регулювання», – написав RAND.
Другий сценарій стосувався крадіжки інтелектуальної власності (ІВ) і корпоративного шпигунства, частково спонсорованого державою.
Продаж австралійської гірничодобувної компанії зіпсувався, коли виявилося, що їхня мережа була скомпрометована протягом багатьох років.
Австралійська компанія з сонячних технологій була стурбована тим, що може програти тендер на масштабний сонячний проект у Південній Америці, оскільки вважала, що їх інтелектуальна власність потрапила до Китаю.
Цей сценарій був жорсткішим.
Офіційний звіт RAND цілком може визначити чіткі теми, але з точки зору цього учасника ми не маємо очевидних відповідей.
Було зрозуміло, що дії у відповідь у формі «злому» будуть контрпродуктивними. Це було б не тільки незаконно, але й цілком могло б спровокувати спіраль ескалації «око за око».
Натомість Австралія повинна продовжувати допомагати розробити норми мирного часу для кіберпростору, заохочуючи країни дотримуватись цих стандартів поведінки.
Потім Австралія повинна розробити свої процеси для реагування на порушення, які можуть варіюватися від санкцій проти окремих компаній, аж до санкцій проти націй загалом, бойкотів чи навіть чогось іншого фізичний.
На внутрішньому фронті організації слід заохочувати повідомляти про випадки корпоративного шпигунства за допомогою конфіденційного процесу без вини.
Думка про те, що Австралія прийме закон про обов’язкове сповіщення про порушення даних до 2022 року, була сприйнята зі сміхом. і в будь-якому випадку поточні проекти такого законодавства стосуються лише крадіжки персональних даних, а не корпоративних таємниці.
Директорам публічних компаній слід також нагадати про їхню відповідальність за розкриття будь-яких подій, які можуть вплинути на вартість акцій.
Хоча кібергра не придумала жодних магічних рішень, вона прояснила дві речі. По-перше, це складно. І по-друге, нам потрібно почати розробку рішень зараз.