В новом плане исследований и разработок ФРС в киберпространстве приоритет отдается ‘кибербезопасности, ориентированной на человека’
ИсследованияКибербезопасностьОтчеты

В новом плане исследований и разработок в киберпространстве приоритет отдается “кибербезопасности, ориентированной на человека”

В последнем правительственном Федеральном стратегическом плане исследований и разработок в области кибербезопасности (R & D) кибербезопасность, ориентированная на человека, ставится во главу угла национальных исследований и разработок в области кибербезопасности и инвестиций на следующие четыре года.

“Необходимо уделять больше внимания подходам к кибербезопасности, ориентированным на человека, когда потребности, мотивация, поведение и способности людей находятся на переднем крае определения дизайна, эксплуатации и безопасности систем информационных технологий”, – говорится в документе, опубликованном в прошлом месяце.

Федеральный стратегический план исследований и разработок в области кибербезопасности на 2023 год был подготовлен Подкомитетом по исследованиям и разработкам в области сетевых и информационных технологий (NITRD) Межведомственной рабочей группы Национального совета по науке и технологиям по кибербезопасности и обеспечению информации.

Закон об усилении кибербезопасности 2014 года требует от NITRD разрабатывать и обновлять федеральный стратегический план исследований и разработок в области кибербезопасности каждые четыре года. План на декабрь 2023 года заменяет документ, выпущенный в 2019 году.

“Этот Федеральный стратегический план исследований и разработок в области кибербезопасности на 2023 год (the Plan) предоставляет федеральным агентствам обновленные рекомендации по общим приоритетам исследований и разработок в области кибербезопасности, финансируемых из федерального бюджета”, – говорится во введении к 42-страничному документу. “Руководство включает цели [Национальной стратегии кибербезопасности от марта 2023 года] и устанавливает приоритеты исследований для развития науки и технологий, необходимых для достижения целей администрации Байдена-Харриса в области кибербезопасности”.

Обновленный план развивает основные концепции и рамки Федерального стратегического плана исследований и разработок в области кибербезопасности на 2019 год:

  • Эффективная кибербезопасность требует развития компетенций, основанных на четырех защитных возможностях: сдерживании, защите, обнаружении и реагировании;
  • Для улучшения практики кибербезопасности необходимы научно-технические достижения в разработке и эксплуатации систем с устойчивой безопасностью, в упреждающем управлении рисками и в демонстрации доказательств эффективности этих практик;
  • Люди, особенно пользователи, затронутые компьютерными и коммуникационными системами, должны быть защищены мерами кибербезопасности с такой же, если не большей, срочностью, как системы, коммуникации и данные;
  • Необходимы фреймворки и методологии, которые позволят разработчикам обосновывать требования к безопасности, отказоустойчивости, доверию и конфиденциальности целостно и одновременно и управлять ими; и
  • Достижения в научных основах, исследовательской инфраструктуре и переход к практике имеют решающее значение для успешных исследований и разработок в области кибербезопасности.

Ключевые обновления Федерального киберплана на 2023 год

В плане на 2023 год выделяются три приоритетные области кибербезопасности и соответствующие исследовательские задачи на следующие четыре года: защита людей и общества; разработка средств установления доверия и управления им; и усиление киберустойчивости.

Во введении к документу подчеркивается, что, хотя многие кибернетические концепции из прошлых планов были перенесены, новый план на декабрь 2023 года содержит три ключевых обновления и приоритета.

В рамках приоритета номер один – защита людей и общества – документ добавил “кибербезопасность, ориентированную на человека” в качестве цели исследования.

Эта инициатива призвана “включить совместные и повторяющиеся проекты для удовлетворения потребностей людей, организаций, сообществ, включая маргинализованные и уязвимые группы населения, и общества, связанного с кибербезопасностью”, – говорится в документе. “Это дает людям возможность участвовать в процессе и обеспечивает точку контроля для поддержки и поощрения их к участию в создаваемых решениях в области кибербезопасности”.

Исследовательское мероприятие в рамках этой цели включает выявление факторов, которые снижают или устраняют нагрузку на память и когнитивные способности людей, взаимодействующих с цифровыми технологиями, для обеспечения безопасности людей и систем. Например, в плане отмечается, что угрозы, такие как фишинговые кампании, становятся все более изощренными, поэтому “необходимо уделять особое внимание разработке социально-технических решений для обнаружения таких атак и смягчения их последствий, не полагаясь на людей в выявлении этих угроз”.

В плане на 2023 год также обновлен приоритет номер два: разработка средств установления доверия и управления им.

“Нехватка методов и механизмов для определения надежности организации в киберпространстве и установления доверия между взаимодействующими сторонами и компонентами является ключевым недостатком, присущим киберпространству”, – говорится в документе. “Необходимы возможности для установления и обеспечения требуемого уровня доверия на всех уровнях вычислений, начиная с аппаратного уровня и включая все другие уровни, такие как операционные системы, программные приложения, сети, просмотр веб-страниц, а также приложения и сервисы, такие как электронная торговля и обмен информацией в социальных сетях”.

Документ предлагает 30 исследовательских мероприятий для повышения надежности в киберпространстве, включая усовершенствованные методы цифровой идентификации, которые могут использовать различные атрибуты, связанные с пользователями, организациями и системами, где можно постоянно оценивать различные уровни динамического доверия.

Наконец, в новом плане исследований и разработок в области кибербезопасности киберустойчивость стала ключевой целью исследований на следующие четыре года.

“Растет признание того, что кибербезопасность должна выходить за рамки традиционного внимания к предотвращению, защите и восстановлению для удовлетворения более широкого круга потребностей, которые возникают у организаций при борьбе с угрозами для их систем. Киберустойчивость стала ключевым элементом общих стратегий обеспечения миссии и бизнеса ”, – говорится в документе. “Это требует повышенного внимания к тому, как можно эффективно проектировать, развивать и эксплуатировать системы, способные противостоять кибератакам и продолжать функционировать на соответствующем уровне для выполнения миссии перед лицом продолжающихся атак или даже при компрометации”.

Одна из областей исследований киберустойчивости включает определение принципов разработки безопасного программного обеспечения, которые могли бы устранить значительную часть распространенных недостатков программного обеспечения. Например, проекты на основе моделей могут обеспечивать безопасность программного обеспечения, проверять выполнение программного обеспечения в соответствии с принципами безопасного проектирования и использоваться для создания программного обеспечения для выполнения предполагаемой функциональности киберустойчивой системы.

План подчеркивает приоритеты Белого дома и Конгресса в области исследований и разработок в киберпространстве

В плане на 2023 год также освещаются конкретные кибернетические темы, к которым федеральное правительство посредством исполнительных и законодательных действий призвало в таких документах, как Национальная стратегия кибербезопасности и План Билля об ИИ о правах.

Три федеральных сценария применения включают:

  • Защита цепочек поставок программного обеспечения и оборудования;
  • Реализация безопасного и заслуживающего доверия искусственного интеллекта; и
  • Обеспечение будущего чистой энергетики.

В плане также подчеркивается, что ни один из вышеупомянутых исследовательских приоритетов и целей не будет возможен без продолжения совершенствования надежных национальных показателей, измерений и методологий оценки кибербезопасности, а также защиты эффективных исследований, разработок и экспериментов в области кибербезопасности.

Документ завершается определением ролей в исследованиях и разработках в области кибербезопасности для федерального правительства, промышленности и научных кругов, а также подходов к координации и сотрудничеству. Ожидается, что агентства подробно изложат свои подходы к реализации этого плана в своих стратегиях, планах внедрения или дорожных картах, говорится в документе.

“Реализация этого Плана создаст науку и технологии для кибербезопасности, которые помогут поддерживать надежное киберпространство для поддержания процветания и безопасности страны”, – говорится в заключении документа.

admin
Author: admin