Для кого призначений цей Довідник?
Цей Довідник було написано з простою метою: допомогти вашій громадській організації розробити зрозумілий план кібербезпеки, який можна реалізувати. Оскільки світ все більше переходить в Інтернет, кібербезпека є не просто модним словом, а критично важливою концепцією для успіху парламентів, а безпека інформації (як онлайн, так і поза ним) є викликом, який вимагає зосередженості, інвестицій і пильності.
Ваш парламент, швидше за все, опиниться — якщо він ще не став — мішенню кібератаки. Ми не хочемо марно бити на сполох: це реальність навіть для тих організацій, які не вважають себе конкретними цілями.
У середньому за рік Center for Strategic and International Studies, який веде поточний список випадків, які називаються «значними кіберінцидентами», реєструє сотні серйозних кібератак, багато з яких націлені на десятки, якщо не сотні організацій одночасно. Окрім таких зареєстрованих атак, ймовірно, щороку відбуваються сотні інших менших атак, які залишаються непоміченими або про які не повідомляється. Багато з них спрямовані на урядові установи, законодавчі органи та політичні організації.
Такі кібератаки мають серйозні наслідки. Незалежно від того, що у них на меті — зірвати роботу парламенту, завдати шкоди вашій репутації чи навіть викрасти інформацію, яка може призвести до психологічної чи фізичної шкоди депутатам чи співробітникам, такі погрози потрібно сприймати серйозно.
Хороша новина: вам не потрібно ставати програмістом або технічним спеціалістом, щоб захистити себе та свою організацію від поширених загроз. Однак слід бути готовими докладати зусилля, енергію та час у розробку та впровадження надійного організаційного плану безпеки парламенту.
Якщо ви ніколи не думали про кібербезпеку свого парламенту, не мали часу зосередитися на цьому або знаєте деякі основи цієї теми, але вважаєте, що ваш парламент міг би посилити свою кібербезпеку, цей посібник для вас. Незалежно від того, звідки ви, цей Посібник має на меті надати вашому парламенту важливу інформацію, необхідну для впровадження надійного плану безпеки — плану, який виходить за рамки простого викладення слів на папері та дає вам змогу застосувати найкращі практики в життя.
Хто керує кібербезпекою у парламенті?
Ефективний і безпечний парламент потребує співробітників з навичками та належними повноваженнями для виконання рекомендацій, включених у цей Посібник. З огляду на це, особи, відповідальні за кібербезпеку в парламентах, можуть дуже відрізнятися, і не існує єдиної «правильної» моделі того, хто повинен займатися кібербезпекою. У деяких випадках це може бути спеціальна команда з кібербезпеки у вашому ІТ-підрозділі, а в інших — група різних адміністративних працівників і депутатів. Незважаючи на це, майте на увазі, що хоча важливо мати хорошу команду, яка відповідає за кібербезпеку вашого парламенту, це також відповідальність кожного в парламенті та навколо нього за дотримання політики та процедур, необхідних для забезпечення безпеки парламенту. Нижче наведено кілька прикладів різних моделей кадрового забезпечення для управління парламентською кібербезпекою:
Палата представників Сполучених Штатів Америки
У Палаті представників Сполучених Штатів Америки деякі окремі депутатські офіси наймають системного адміністратора, який відповідає за керування всіма комп’ютерними апаратними та програмними системами, що використовуються в офісі, включно з питаннями кібербезпеки, і навчає співробітників передовим практикам. На інституційному рівні головний адміністративний офіцер Палати представників містить групу інформаційних ресурсів, яка включає відділ, присвячений інформаційній безпеці.
Національна асамблея Замбії
Національна асамблея Замбії покладається на свій Департамент інформаційно-комунікаційних технологій (ІКТ) для виконання різноманітних функцій, включаючи управління програмним забезпеченням, апаратним забезпеченням та інформаційною інфраструктурою парламенту, навчання депутатів та/або співробітників парламенту технологічним системам, а також забезпечення безпеки інформаційної інфраструктури парламенту. від внутрішніх і зовнішніх загроз кібербезпеці.
Парламент Малайзії
У парламенті Малайзії є відділ інформаційних технологій під керівництвом головного адміністратора парламенту, що дозволяє йому обслуговувати обидві палати парламенту. Цей підрозділ включає спеціальну посаду з мережевої безпеки, яка дозволяє йому гарантувати, що мережеві системи, центри обробки даних та інфраструктура ІКТ є актуальними та максимально безпечними.
Що таке план безпеки і навіщо він потрібен моєму парламенту?
План безпеки — це набір письмових політик, процедур і вказівок, узгоджених вашою організацією для досягнення рівня безпеки, який ви та ваша команда вважаєте доцільним для захисту ваших співробітників, партнерів і даних.
Добре складений план організаційної безпеки, що регулярно оновлюється, може захистити вас і підвищити продуктивність, забезпечуючи душевний спокій, необхідний для зосередження на важливій повсякденній роботі організації. Без продуманого комплексного плану дуже легко не помітити деяких типів загроз, надто зосередитись на одному ризику або ігнорувати кібербезпеку, доки не настане криза.
Коли ви починаєте розробляти план безпеки, необхідно поставити собі кілька важливих питань у ході процесу, що називається оцінкою ризику. Відповіді на ці запитання допоможуть зрозуміти унікальні загрози, з якими ви стикаєтеся, і дозволять вам відсторонено і всебічно подумати про те, що саме вам потрібно захищати та від кого це слід захищати. Навчені оцінювачі за допомогою таких систем, як SAFETAG від для перевірки концепції можуть допомогти пройти такий процес. Якщо ви можете отримати доступ до такого рівня професійних знань, це того варте, але навіть якщо ви не можете пройти повну оцінку, вам слід зустрітися зі своїми зацікавленими сторонами в парламенті, щоб ретельно розглянути ці ключові питання:
Які активи має ваш парламент і які ви хочете захистити?
Ви можете почати відповідати на ці запитання , створивши каталог усіх активів вашого парламенту. Така інформація, як повідомлення, електронні листи, контакти, документи, календарі та місця зберігання, є можливими активами. Активами можуть бути телефони, комп’ютери й інші пристрої. Люди, зв’язки та стосунки також можуть бути активами. Зробіть перелік ваших активів і спробуйте каталогізувати їх за їхньою важливістю для організації, де ви їх зберігаєте (можливо, у кількох цифрових чи фізичних місцях), і що заважає іншим отримати до них доступ, пошкодити чи порушити їх роботу. Майте на увазі, що не всі активи є однаково важливими. Якщо деякі дані організації є загальнодоступними або ви вже опублікували певну інформацію, вони не є секретами, які потрібно захищати.
Хто ваші зловмисники, які їхні можливості та мотивація?
«Зловмисник» — це термін, що зазвичай використовується в організаційній безпеці. Простою мовою, зловмисники — це суб’єкти (індивідууми чи групи), які зацікавлені в завданні цільової шкоди парламенту, перешкоджанні вашій роботі та отриманні доступу або знищенні вашої інформації. Це ваші вороги. Приклади потенційних зловмисників можуть включати фінансових шахраїв, ворожі уряди або ідеологічно чи політично мотивованих хакерів. Важливо скласти список своїх зловмисників і критично подумати про те, хто може захотіти негативно вплинути на парламент та співробітників. Хоча зовнішніх діячів (наприклад, іноземний уряд чи конкретну політичну групу) легко уявити зловмисниками, пам’ятайте, що зловмисниками можуть бути також люди, яких ви знаєте, наприклад незадоволені співробітники, колишні колеги, члени сім’ї чи партнери, які не підтримують вашу організацію.
Різні противники створюють різні загрози та мають різні ресурси й можливості, щоб порушити вашу діяльність, отримати доступ або знищити вашу інформацію. Наприклад, уряди часто мають багато грошей і потужні можливості, зокрема відключення інтернету та використання дорогих технологій стеження; мобільні мережі та інтернет-провайдери часто мають доступ до записів дзвінків та історії перегляду вебсторінок; кваліфіковані хакери в публічних мережах Wi-Fi мають можливість перехоплювати погано захищені комунікації або фінансові операції. Ви навіть можете стати самі собі зловмисником, наприклад, якщо випадково видалите важливі файли або надішлете приватні повідомлення не тій людині.
Мотиви зловмисників, ймовірно, відрізнятимуться, як і їхні можливості, інтереси та стратегії. Вони зацікавлені в дискредитації вашого парламенту? Можливо, вони мають намір замовчувати ваше послання чи зірвати роботу парламенту? Важливо розуміти мотивацію зловмисника, оскільки це може допомогти парламенту краще оцінити загрози, які він може становити.
З якими загрозами стикається ваш парламент? Наскільки вони вірогідні та який вплив вони можуть мати?
Коли ви визначите можливі загрози, у вас, швидше за все, з’явиться довгий перелік, який може видатися надмірним. У вас може виникнути відчуття, що будь-які зусилля будуть марними, або ви не будете знати, з чого почати. Щоб ваш парламент міг зробити наступні продуктивні кроки, слід проаналізувати кожну загрозу на основі двох факторів: ймовірність того, що загроза виникне; і наслідок такого виникнення.
Щоб оцінити ймовірність загрози (як, наприклад, «низьку, середню або високу», залежно від того, чи певна подія відбудеться малоймовірно, може відбутися або трапляється часто), можна використати інформацію, відому вам, про потенціал і мотивацію ваших зловмисників, аналіз минулих інцидентів безпеки, досвід інших подібних організацій і, звісно, наявність існуючих стратегій зменшення ризику, запроваджених вашою організацією.
Щоб оцінити наслідки загрози, подумайте, що трапиться з організацією, якщо загроза справді виникне. Поставте такі запитання: «Якої шкоди, фізичної та психічної, завдасть загроза нам як організації та її співробітникам як людям?», «Наскільки тривалим буде ефект?», «Чи створить це інші шкідливі ситуації?» та «Як вона завадить здатності досягати цілей зараз і в майбутньому?» Відповідаючи на ці запитання, подумайте, чи дія загрози буле слабкою, помірною або сильною.
У якості допоміжного засобу під час оцінки ризику можна використати робочий аркуш, наприклад ось цей, розроблений Electronic Frontier Foundation. Майте на увазі, що інформація, яку ви створюєте в рамках цього процесу (наприклад, список ваших супротивників і загрози, які вони представляють), сама по собі може бути конфіденційною, тому важливо зберігати її захищеною.
Після того, як ви зробили перелік загроз і класифікували їх за ймовірністю та впливом, можна переходити до складання більш ґрунтовного плану дій. Якщо ви зосередитесь на тих загрозах, які найімовірніше виникнуть ТА які матимуть значні негативні наслідки, ви спрямуєте свої обмежені ресурси для найбільш ефективного досягнення мети. Мета полягає в тому, щоб мінімізувати ризики, наскільки це можливо. Але насправді ніхто — навіть уряд і компанії з величезними ресурсами — не може повністю усунути ризик. І це нормально: ви можете зробити багато, щоб захистити себе, своїх колег і свій парламент, подбавши про найбільші загрози.