Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»
Киберугрозы: человеческий фактор и уроки от Пентагона
Аптон Дэвид , Виннефельд-мл. «Сэнди» Джеймс , Кирхгоф Кристофер
Вторжения здесь замечают и ликвидируют за считанные часы, а то и минуты. C сентября 2014-го по июнь 2015 года было выявлено и отбито более 30 млн атак на границах сети. Менее чем 0,1% вылазок удалось пробить оборону. Учитывая продвинутость хакеров, играющих против Пентагона, это достойный счет.
Главный урок, который можно извлечь из опыта военных: конечно же, технические системы должны быть на высоте, но для снижения уязвимости еще важнее — обуздать человеческий фактор. Огромное большинство удавшихся атак связано с промахами сетевых администраторов и пользователей: не смогли устранить дыры в старых системах, неверно выставили настройки, нарушили стандартные процедуры.
Своими успехами в построении систем безопасности Пентагон во многом обязан адмиралу Хайману Риковеру — отцу атомного флота США. За более чем 60 лет своего существования запущенная им национальная программа атомных подлодок не знала ни единой аварии. Риковер придавал особое значение человеческому фактору и требовал, чтобы весь персонал ядерных установок был тщательно обучен и мог исправлять свои погрешности до того, как они приведут к настоящим проблемам. Стремясь противостоять атакам на свои ИТ-системы, Минобороны США постоянно внедряет протоколы, подобные тем, что применял Риковер. Двое из авторов данной статьи, Сэнди Виннефельд и Кристофер Кирхгоф, принимали активное участие в этой работе. Цель статьи — рассказать, как опыт Пентагона можно применять в компаниях.
Бизнес — постоянный объект кибератак всевозможных злоумышленников: иностранных шпионов, преступных синдикатов, кибервандалов, нанятых недобросовестными конкурентами хакеров и даже недовольных сотрудников. Широкую известность получили случаи похищения или разглашения персональной информации и данных кредитных карт сотен миллионов клиентов таких крупных компаний, как Sony, Target, Home Depot, Neiman Marcus, JPMorgan Chase и Anthem. Мошенникам удавалось сразу после геологоразведки выкрасть информацию о залежах нефти у энергетических компаний, выудить стратегию переговоров по готовящейся сделке у корпораций, получить данные о вооружениях у оборонных предприятий. За последние три года количество атак на инфраструктурные ИТ-сети США, контролирующие предприятия химической промышленности, транспорта, электро- и водоснабжения, увеличилось в 17 раз! Неудивительно, что правительство США объявило кибербезопасность государственного и частного сектора экономики общенациональным приоритетом. Однако, как показал недавний масштабный взлом сервера Федерального управления по кадровым делам, решить эту проблему нелегко.
Кибербросок
Как и многие компании, к 2009 году Пентагон оказался в плену своих многочисленных разрозненных ИТ-систем, каждая со своим подходом к безопасности. Три вида вооруженных сил, а также четыре силовых структуры и девять объединенных боевых командований функционировали как отдельные структуры со своими бюджетами и собственными взглядами на инвестиции в ИТ. В МО одновременно работало 7 млн устройств, включенных в 15 тысяч отдельных, сконфигурированных под разные стандарты сетей — каждая со своим системным администратором. В таких условиях гарантировать безопасность просто невозможно.
Чтобы обеспечить целостность ИТ-системы ведомства, в том же году министр обороны Роберт Гейтс создал специальное Киберкомандование. Теперь все сети домена .mil оказались под началом одного четырехзвездного генерала и началась консолидация: 15 тысяч систем удалось привести к унифицированной архитектуре под названием «Единая информационная среда». Вскоре системы ИТ- управления и контроля всех кораблей, субмарин, спутников, ракет, самолетов, транспорта, любых систем вооружений и подразделений ВС США будут подчинены одному центру. Куча мала из различных иерархий, стандартов и протоколов, поддерживавшихся более чем 100 тысячами системных администраторов без единой системы подчинения, перестраивается в правильную когорту защиты сети.
Киберкомандование занимается технологическим обновлением. Передовые сенсорные системы, аналитика и консолидированные «комплекты систем безопасности» — многофункциональные машины, способные анализировать большие данные, — позволяют администраторам намного лучше понимать, что происходит в их сети. Теперь они могут быстро выявлять аномальные действия, выявлять угрозы и изменять конфигурацию сети соответственно.
Да, связь ранее разрозненных сетей вносит дополнительные риски (например, вредоносная программа может распространиться на несколько систем, а уязвимость одной поможет украсть данные из другой), но преимуществ дает значительно больше. Среди них централизованный контроль, стандарты защиты, легкость обновления и возможность мгновенной перенастройки в случае атаки. (Разумеется, системы секретной связи отделены от прочих.) Однако унификация архитектуры и обновление технологий — это только часть решения. Практически все пробои в обороне домена .mil связаны с человеческим фактором. В 2015 году организации ИГИЛ удалось ненадолго захватить контроль над твиттером Центрального командования США, проникнув через личный аккаунт, не защищенный двухфакторной аутентификацией (способ защиты, при котором для идентификации пользователя, помимо пароля, используется генератор чисел на токене или зашифрованный чип). В 2013 году иностранное государство четыре месяца вольготно чувствовало себя в незасекреченной сети американского флота — и все из-за плохой защиты публичного веб-сайта, о проблемах которого ИТ-эксперты флота знали, но не занимались ими. Самое опасное проникновение в секретную сеть произошло в 2008 году, когда в нарушение протокола сотрудник
Центрального командования на ближневосточной базе подключил флешку с хакерской программой непосредственно к компьютеру с секретными данными. Кое-кому удавалось проникнуть в систему и совсем недавно, но по сравнению с 2009 годом качество работы администраторов, пользователей и техники военной сети стало значительно лучше по целому ряду показателей. Готовность персонала оценивают все строже, тем не менее, доля подразделений, прошедших проверки и доказавших достойный уровень киберготовности, выросла с 79% в 2011-м, до более чем 96% в 2015 году. От человеческих ошибок страдают и компании. В банк JPMorgan Chase хакеры проникли через сервер, настройки безопасности которого не требовали двухфакторной аутентификации. Утечка 80 млн медицинских карт из системы страховой компании Anthem в декабре 2014 года почти наверняка стала результатом направленного фишинга через электронное сообщение, позволившего получить доступ к данным сразу нескольких системных администраторов. Подобные инциденты еще раз показывают, что ошибки свойственны как простым пользователям, так и ИТ-специалистам.
Львиную долю проблем можно предотвратить, просто устранив уязвимости системы и обеспечив правильные настройки безопасности. Урок, который надо извлечь: от людей зависит не меньше, чем от технологий. Киберзащитники должны создавать «организации высокой надежности», выстраивая культуру безупречной работы при минимальных рисках. «Думать надо не только о технологиях, — говорит командующий подразделения, адмирал Майк Роджерс. — Это вопрос этики и культуры. Важно, как вы комплектуете, обучаете и оснащаете организацию, какую структуру и какие принципы работы внедряете».
Высоконадежная организация
Концепция организации высокой надежности (ОВН) возникла в областях, где одна-единственная ошибка может привести к катастрофе: самолеты и диспетчерские аэропортов, космос, атомные электростанции, тушение лесных пожаров и скоростные поезда. В их работу вовлечены люди и машины, действующие в изменчивой внешней среде, что часто приводит к отклонениям от нормы, которые необходимо моментально исправить во избежание трагедии. К этим организациям неприменимы принципы непрерывного совершенствования эффективного производства. Сотрудники и пользователи не могут себе позволить учиться на своих ошибках: их просто нельзя допускать. Безопасная работа с рискованными технологиями в опасной, сложной среде не гарантируется инвестициями в передовые разработки и материалы.
Высоконадежные организации отлично знают собственные уязвимости, абсолютно преданы проверенным принципам и стандартам работы, четко распределяют ответственность и тщательно проверяют все источники потенциальных сбоев. Атомная часть ВМС США считается высоконадежной организацией с рекордной длительностью работы без сбоев. Управление ядерным реактором на подводной лодке, находящейся в океане и месяцами не имеющей доступа к технической поддержке, — тяжелое испытание. Адмирал Риковер взрастил жесткую культуру высочайших стандартов работы на всех уровнях организации. Он так внимательно следил, чтобы отбирали только способных воспринять эту культуру, что все 30 лет руководства лично собеседовал каждого офицера, поступающего на службу. Все его последователи на этом посту делали то же самое. В центре этой культуры — шесть взаимосвязанных принципов, помогающих флоту искоренять человеческие ошибки и уменьшать их воздействие.
1. Добросовестность. Это внутренняя честность, которая заставляет людей никогда не искать «как легче», делать абсолютно все, что требуется по регламенту, и, если случается ошибка, немедленно о ней рапортовать. На атомном флоте с первого дня работы людям внушают, что возможности исправить ошибку «когда-нибудь потом» у них не будет. Поэтому сотрудники не только не пытаются упростить процессы, но и сразу уведомляют своих руководителей о любой своей оплошности, чтобы огрех устранили до того, как он спровоцирует серьезную проблему. Поэтому разбирательств почти никогда не требуется. Оператор ядерной установки рапортует в техническую штаб-квартиру о любой погрешности, превышающей установленный порог (очень низкий). Командование несет полную ответственность за все происходящее на судне и за правдивость отчетности.
2. Глубина знаний. Если люди знают систему всесторонне — на каких принципах она работает, каковы ее слабые стороны и какие процедуры выполняет оператор, им проще заметить отклонение и выбрать правильный вариант действий. Операторы ядерных установок проходят серьезное обучение, прежде чем их подпустят к настоящему реактору, и на первых порах за ними неустанно следят. А уже работая самостоятельно, они проходят регулярные проверки, посещают многочасовые тренинги, сдают тесты. Командиры судов регулярно проверяют подготовку сотрудников и ежеквартально отчитываются о ее уровне.
3. Следование инструкциям. На атомной подлодке каждый военнослужащий должен знать — или знать, где найти, — протоколы действий в разных рабочих ситуациях, в точности следовать им и сразу распознавать ситуацию, выходящую за рамки имеющихся инструкций. Один из способов гарантировать выполнение протоколов на атомном флоте — развернутая система проверок. Каждый экипаж периодически тщательно тестируют по безопасности: письменные тесты, собеседования, наблюдения за повседневными операциями и реакцией на учебные тревоги.
Инспектор из регионального офиса по реакторам ВМФ может взойти на борт в любое время, когда подлодка находится в гавани, без предварительного уведомления, чтобы пронаблюдать текущие операции с ядерным реактором и его обслуживание. Ответственность за все обнаруженные инспектором несоответствия несет командир корабля.
4. Обязательный контроль. Во время работы ядерного реактора все его операторы — даже самые опытные — постоянно находятся под пристальным контролем старшего персонала. Любое действие, таящее высокий риск для системы, должно выполняться двумя людьми, а не одним. И любой член экипажа — даже самый младший — имеет право остановить процесс в случае возникновения проблемы.
5. Критический подход. Его нелегко привить в любой организации, а особенно — в условиях жесткой иерархии, когда люди привыкли мгновенно выполнять приказ. Однако в вопросах безопасности без критического настроя не обойтись: если приучить людей прислушиваться к своей тревоге, искать ее причины и устранять их, больше шансов, что удастся предотвратить опасность. Операторы с критическим подходом к работе проверяют все по два-три раза, всегда начеку и никогда не удовлетворяются беглыми ответами на свои вопросы. Простой вопрос: почему в конце очередного часа показания одного прибора из сотни неожиданно изменились или почему в сети возникли странные явления, может предотвратить повреждение всей системы.
