Для кого это Пособие?
Данное Пособие было написано с простой целью: помочь вашему парламенту разработать понятный и осуществимый план кибербезопасности. Поскольку мир все больше переходит в онлайн, кибербезопасность становится не просто модным словом, а важнейшей концепцией для успеха парламентов, а безопасность информации (как в сети, так и за ее пределами) является проблемой, требующей внимания, инвестиций и бдительности.
Ваш парламент, скорее всего, может оказаться — если уже не стал — объектом кибератаки. Это не попытка посеять панику; это реальность даже для тех парламентов, которые не относят себя к особым мишеням.
В среднем за год, Центр стратегических и международных исследований, который ведет обновляемый список так называемых «значительных кибер-инцидентов», регистрирует сотни серьезных кибератак, многие из которых одновременно нацелены на десятки, если не сотни организаций. Помимо зарегистрированных атак, вероятно, ежегодно происходят сотни других более мелких атак, которые остаются незамеченными или о которых не сообщается, многие из них направлены на правительственные учреждения, законодательные органы и политические организации.
Такие кибератаки имеют серьезные последствия. Независимо от того, является ли их целью нарушение парламентской деятельности, нанесение ущерба вашей репутации или даже кража информации, которая может привести к психологическому или физическому ущербу для ваших членов или сотрудников, к таким угрозам необходимо относиться серьезно.
Хорошо то, что вам не нужно становиться программистом или технологом, чтобы защитить себя и свой парламент от распространенных угроз. Тем не менее, вы должны быть готовы вложить некоторые усилия, энергию и время в разработку и реализацию надежного плана парламентской безопасности.
Если вы никогда не задумывались о кибербезопасности своего парламента, не имели времени сосредоточиться на этом или знакомы с некоторыми основами по этой теме, но считаете, что ваш парламент может повысить свою кибербезопасность, это Пособие для вас. Независимо от того, откуда вы, цель этого Пособия — предоставить вашему парламенту необходимую информацию для разработки надежного плана обеспечения безопасности, плана, который не ограничивается простым написанием слов на бумаге и позволяет воплотить передовой опыт в жизнь.
Кто управляет парламентской кибербезопасностью?
Для эффективного и надежного парламента требуются сотрудники, обладающие навыками и надлежащими полномочиями для выполнения рекомендаций, включенных в данное Пособие. При этом лица, ответственные за кибербезопасность в парламентах, могут сильно различаться, и не существует единой «правильной» модели того, кто должен заниматься кибербезопасностью. В некоторых случаях это может быть специальная группа по кибербезопасности в составе вашего ИТ-подразделения, а в других — группа различных административных сотрудников и членов группы. Несмотря на это, имейте в виду, что хотя важно иметь хорошую команду, отвечающую за кибербезопасность вашего парламента, все в парламенте и вокруг него также обязаны следовать политикам и процедурам, необходимым для обеспечения безопасности парламента. Ниже приведены несколько примеров различных кадровых моделей для управления парламентской кибербезопасностью:
Палата представителей США
В Палате представителей Соединенных Штатов некоторые офисы отдельных членов парламента нанимают системного администратора, который отвечает за управление всем компьютерным оборудованием и программными системами, используемыми офисом, включая управление соображениями кибербезопасности, и обучает сотрудников передовым методам. На институциональном уровне главный администратор Палаты представителей располагает группой по информационным ресурсам, в которую входит отдел, занимающийся вопросами информационной безопасности.
Национальное собрание Замбии
Национальное собрание Замбии полагается на свой Департамент информационных и коммуникационных технологий (ICT) для выполнения различных функций, включая управление программным обеспечением, оборудованием и информационной инфраструктурой парламента, обучение членов парламента и сотрудников технологическим системам, а также защиту информационной инфраструктуры парламента от внутренних и внешних угроз кибербезопасности.
Парламент Малайзии
В парламенте Малайзии отдел информационных технологий находится под началом главного администратора парламента, что позволяет ему обслуживать обе палаты парламента. В этом отделе есть специальная должность по сетевой безопасности, что позволяет ему следить за тем, чтобы сетевые системы, центры обработки данных и инфраструктура ICT были современными и максимально безопасными.
Что такое план обеспечения безопасности и почему он должен быть у моего парламента?
План безопасности — это набор письменных политик, процедур и инструкций, согласованных вашим парламентом для достижения того уровня безопасности, который вы и ваша команда считаете необходимым для обеспечения безопасности ваших сотрудников, партнеров и информации.
Хорошо разработанный и обновленный план организационной безопасности может не только обезопасить вас, так и сделать вас более эффективными, обеспечив душевное спокойствие, необходимое для того, чтобы сосредоточиться на важной повседневной работе вашего парламента. Без комплексного плана очень легко не заметить угрозы определенного типа, слишком сильно сфокусировавшись на какой-то конкретной угрозе или игнорируя вопросы кибербезопасности вплоть до наступления кризиса.
В процессе разработки плана обеспечения безопасности потребуется задать себе ряд важных вопросов. Это называется оценка рисков. Ответы на эти вопросы помогут вашему парламенту выявить уникальные угрозы, с которыми вы сталкиваетесь, а также позволят сделать шаг назад и всесторонне обдумать, что именно и от кого нужно защищать. Обученные эксперты, используя такие системы, как система аудитаSAFETAG от Internews, могут помочь провести ваш парламент через этот процесс. Если вы можете получить доступ к такому уровню профессиональной экспертизы, это того стоит, но даже если вы не можете пройти полную оценку, вам следует встретиться с заинтересованными сторонами в парламенте, чтобы вдумчиво рассмотреть следующие ключевые вопросы:
Какие активы есть у вашего парламента и что вы хотите защитить?
Вы можете начать отвечать на эти вопросы , создав каталог всех активов вашего парламента. К активам относится, например, такая информация, как сообщения, электронная почта, контакты, документы, календари и местоположения. К активам можно отнести телефоны, компьютеры и другие устройства. Кроме того, люди, связи и отношения также могут считаться активами. Составьте список своих активов и попытайтесь каталогизировать их по их важности для парламента, где вы их храните (возможно, в нескольких цифровых или физических местах), и что мешает другим получить к ним доступ, повредить или нарушить их работу. Имейте в виду, что не все активы одинаково важны. Если некоторые данные парламента являются общедоступными или информацией, которую вы уже опубликовали, они не являются секретами, которые вам нужно защищать.
Кто ваши противники и каковы их возможности и мотивы?
«Противник» — это термин, широко используемый в области обеспечения безопасности организации. Попросту говоря, противники — это действующие лица (отдельные лица или группы), которые заинтересованы в нападении на ваш парламент, подрыве вашей работы и получении доступа к вашей информации или ее уничтожении: иначе говоря, плохие парни. Примерами потенциальных противников могут быть финансовые мошенники, враждебно настроенные правительства или идеологически или политически мотивированные хакеры. Важно составить список ваших противников и критически подумать о том, кто может захотеть негативно повлиять на ваш парламент и персонал. В качестве противников легко представить внешних субъектов (например, иностранное правительство или определенную политическую группу), однако следует помнить, что противниками могут оказаться и люди, которых вы знаете, например, недовольные сотрудники, бывшие работники, а также члены семьи или партнеры, не поддерживающие текущую деятельность организации.
Разные противники несут разные угрозы и обладают разными ресурсами и возможностями, направленными на подрыв деятельности вашей организации и получение доступа к вашей информации или ее уничтожение. Например, правительства часто располагают большими финансовыми средствами и властными полномочиями, позволяющими, например, отключать Интернет или использовать дорогостоящие технологии наблюдения; у мобильных операторов и интернет-провайдеров, вероятно, есть доступ к записям вызовов и истории браузера; опытные хакеры могут перехватывать плохо защищенные сообщения или финансовые транзакции в общедоступных сетях Wi-Fi. Более того, вы сами можете стать своим противником, к примеру, случайно удалив важные файлы или отправив личные сообщения не тому человеку.
Мотивы противников могут отличаться в зависимости от их возможностей, интересов и стратегий. Заинтересованы ли они в дискредитации вашего парламента? Возможно, они намерены заглушить ваше сообщение или нарушить работу парламента? Важно понять мотивацию противника, потому что это может помочь вашему парламенту лучше оценить угрозы, которые он может представлять.
С какими угрозами сталкивается ваш парламент? Какова их вероятность и серьезность последствий?
По мере выявления возможных угроз вы, скорее всего, получите длинный список, который может показаться непосильным. Вам может показаться, что все усилия бесполезны, или вы просто не будете знать, с чего начать. Чтобы помочь вашему парламенту предпринять продуктивные дальнейшие шаги, полезно проанализировать каждую угрозу на основе двух факторов: вероятность того, что угроза будет иметь место, и последствия, если это произойдет.
Для оценки вероятности угрозы (возможно, «низкой, средней или высокой», исходя из того, вряд ли данное событие произойдет, может произойти или часто происходит), вы можете использовать известную вам информацию о возможностях и мотивации ваших противников, анализ прошлых инцидентов безопасности, опыт других подобных парламентов, и, конечно, наличие любых существующих стратегий смягчения последствий, которые вы ввели в действие.
Чтобы определить степень влияния угрозы, подумайте о том, как выглядел бы ваш мир, если бы эта угроза действительно возникла. Задайте такие вопросы: «Каким образом угроза навредила нам как парламенту и людям, физически и морально?», «Насколько длителен эффект?», «Создает ли это другие вредные ситуации?» и «Как это мешает нашей способности достигать поставленных целей сейчас и в будущем?» Отвечая на эти вопросы, подумайте, какова степень влияния этой угрозы: низкая, средняя или высокая.
Чтобы упростить данный процесс управления рисками, рассмотрите возможность использования рабочего листа, например, вот этого, например, разработанного Electronic Frontier Foundation. Имейте в виду, что информация, полученная в рамках этого процесса (например, список ваших противников и тех угроз, которые они представляют), может сама по себе быть конфиденциальной, поэтому важно обеспечить ее безопасность.
Классифицировав угрозы по вероятности возникновения и степени влияния, можно приступить к составлению более обоснованного плана действий. Сосредоточив внимание на угрозах, возникновение которых является наиболее вероятным и которые будут иметь значительные негативные последствия, вы сумеете распорядиться ограниченными ресурсами наиболее эффективно и действенно. Ваша цель всегда заключается в минимизации рисков, но никто — даже правительства или компании, располагающие лучшими в мире ресурсами — не способен полностью устранить риски. И это хорошо: вы можете многое сделать для защиты себя, своих коллег и своего парламента, позаботившись о самых серьезных угрозах.