Массовые взломы Optus и Medibank в конце 2022 года стали для Австралии моментом кибернетической расплаты. Может ли новая стратегия правительства в области кибербезопасности помочь Австралии защитить себя в будущем?
У граждан, правительства и частного сектора был год, чтобы обдумать самые серьезные нарушения в истории Австралии и предстоящую стратегию кибербезопасности на 2023-2030 годы, объявленную министром внутренних дел Клэр О’Нил сразу после них.
В сентябре О’Нил изложил шесть “щитов” стратегии: широкая осведомленность о киберугрозах, “безопасные технологии”, быстрый обмен разведданными об угрозах, повышение квалификации и усиление международной координации.
Стратегия кибербезопасности должна учитывать обширную критическую инфраструктуру Австралии, которая охватывает все – от кода ядра операционной системы до шифрования, промышленных систем операционных технологий (OT), людей, использующих ЕЕ, и команд из государственного и частного секторов, которым поручено обеспечивать их безопасность.
“Взломы послужили отличным тревожным звонком”, – говорит Тоби Мюррей, директор Института оборонных наук.
Мюррей также является основным разработчиком защищенного ядра операционной системы “seL4“, проекта, поддержанного Data61 CSIRO и Linux Foundation, который выиграл престижную премию 2022 ACM Software System Award, среди немногих лауреатов которой – изобретатели Интернета и паутины.
“С другой стороны, достаточно ли правительство делало для создания соответствующих стимулов для инвестирования промышленности в кибербезопасность? И признало ли правительство, что оно призвано сыграть определенную роль в оказании помощи этим крупным организациям в реагировании на крупные инциденты?”
Пробуждением Европы стали атаки вредоносных программ WannaCry и NotPetya wiper 2017 года на критически важную инфраструктуру, спустя год после принятия первого общеевропейского закона о кибербезопасности и GDPR.
Америка добилась успеха в результате атаки SolarWinds на правительственные учреждения в конце 2020 года и атаки программ-вымогателей на Colonial Pipeline в 2021 году. Затем администрация Байдена вынудила федеральные агентства усилить свою киберзащиту, приняв принципы “нулевого доверия” и многофакторной аутентификации.
Формируется то, как правительство Австралии будет действовать в соответствии с новой стратегией кибербезопасности. Банк Содружества Австралии призвал Министерство внутренних дел назначить одну организацию для получения отчетов и координации ответных действий. Telstra хочет, чтобы правительство установило сроки внедрения агентствами восьми основных мер защиты, предусмотренных Австралийским управлением связи (ASD). Google призвала Австралию создать подразделение, подобное Совету по обзору кибербезопасности США (CSRB), которое проводит безупречные расследования крупных инцидентов.
В июле министерство внутренних дел назначило маршала авиации Даррена Голди первым национальным координатором Австралии по кибербезопасности. Одной из первых задач было управление национальными мерами реагирования на апрельское нападение с целью вымогательства на юридическую фирму HWL Ebsworth, в результате которого была раскрыта конфиденциальная информация 65 клиентов австралийского правительства.
Улучшение навыков в области кибербезопасности может помочь Австралии предотвращать подобные атаки в будущем, но инвестиции в обучение должны быть направлены на увеличение числа людей с “состязательным мышлением”, говорит Шаанан Кони, австралийский исследователь в области безопасности и конфиденциальности, который помогал разрабатывать технологическую политику в Федеральной торговой комиссии США.
“У нас есть много людей, которые называют себя экспертами и CISO”, – говорит Кони. “Чего не хватает, так это людей, которые могут взглянуть на общую социально-техническую систему и оценить ее”.
Этих людей можно найти в так называемых “красных командах” – технически искушенных друзьях, которые мыслят как скрытые враги. По словам Кони, они редко встречаются в консалтинговых компаниях ” большой четверки”, но их можно найти в таких местах, как Mandiant, принадлежащий Google.
Правительство может решить эту проблему. Одним из примеров является программа US CyberCorps Scholarship for Service (SFS), которой руководят Национальный научный фонд США, Управление по управлению персоналом и Агентство по кибербезопасности и инфраструктурной безопасности (CISA).
“Вы получаете стипендию за свою ученую степень, а взамен вам приходится проходить национальную службу, которая может привести к тому, что вас направят в критически важную инфраструктуру, а не в [Агентство национальной безопасности] или в правительственное учреждение, нуждающееся в улучшении”, – говорит Кони.
Министерство внутренних дел спросило, должно ли оно запретить жертвам и киберстраховщикам выплачивать выкупы. О’Нил сказал, что неуплата HWL Ebsworth была “правильным решением нации”. Неуплата этически неоднозначна, когда украденные данные принадлежат совместно жертве и их клиентам. Мюррей говорит, что запрет на выплату выкупов был бы контрпродуктивным для улучшения обмена информацией об угрозах.
“Лучшего примера, чем отказ Medibank выплачивать выкуп в случае кражи данных, и придумать было нельзя”, – говорит Мюррей. “Сейчас у каждого есть прецедент. Но если инфраструктура больницы повреждена или малый бизнес стоит перед выбором между продолжением работы или оплатой, то многие из них скажут, что им нужно платить ”.
Запрет платежей также принес бы в жертву создание рычага, облегчающего страховым компаниям, которые владеют наиболее полезной информацией об угрозах, обмен своими данными. “Нам нужно создать механизмы, позволяющие обмениваться большей частью этой информации, особенно небольшим организациям, которые не могут позволить себе первоклассную безопасность”, – говорит Мюррей.
Предоставление ”безопасных технологий” – сложная и очень широкая задача, охватывающая все подключенные к Интернету устройства и программное обеспечение. ASD поддержал технический документ CISA по безопасности благодаря дизайну, поощряющий использование “безопасных для памяти” языков программирования, таких как Rust и Java, которые устраняют критические недостатки безопасности, легко возникающие в широко используемых C. Основные проекты, написанные на C, включают ядро Linux, Chromium и Android. Google подталкивает эти проекты к тому, чтобы они заржавели, но код на C останется на десятилетия.
Мюррей предупреждает, что усилия по сокращению количества опасного кода в программной инфраструктуре, такой как ядро операционной системы, потребуют времени. В течение нескольких лет он отвечал за “доказательства безопасности” микроядра seL4. В 2009 году, спустя 18 лет после появления первого ядра Linux, seL4 стал первым проектом, когда-либо проверявшим ядро операционной системы на безопасность.
“Создаваемые новые технологии всегда располагаются поверх старой инфраструктуры, которая служит очень, очень долго, особенно в программном обеспечении”, – говорит Мюррей.
“Мы собираемся находить уязвимости в этом коде в ближайшие десятилетия. И это верно для очень многих экосистемных систем с открытым исходным кодом, но так же верно и для проприетарного кода”, – говорит он.