კიბერუსაფრთხოების ადამიანური ფაქტორი, ანუ რა უნდა ისწავლონ კომპანიებმა პენტაგონისგან

Posted on by

კომპანიების უმრავლესობა კიბერ შეტევების მიმართ ბევრად უფრო მოწყვლადები არიან, ვიდრე ეს ხელმძღვანელობას ჰგონია. სისუსტეების აღმოსაფხვრელად უპრიანი იქნება აღმასრულებელმა ოფიცრებმა თვალი მიადევნონ და გაითვალისწინონ ამერიკის შეერთებული შტატების თავდაცვის ძალების კიბერ უსაფრთხოების განვითარების პრაქტიკა, რომელმაც ისეთ დონეს მიაღწია, რომ შეტევების უმრავლესობის იდენტიფიცირება და გაუვნებელყოფა სულ რამდენიმე წუთში ხდება. 10 თვის განმავლობაში მოგერიებული 30 მილიონი შეტევიდან, აშშ-ს თავდაცვის ძალების ქსელის უსაფრთხოების გადალახვა შემთხვევათა მხოლოდ 0.1%-ში მოხდა და ისიც მხოლოდ არაკლასიფიცირებული ქსელის.

თავდაცვის ძალების კიბერუსაფრთხოების პრაქტიკამ, კიდევ ერთხელ დაადასტურა ისედაც ცნობილი ჭეშმარიტება: ტექნიკური განვითარება და ახალი მოწყობილობების დაყენება მნიშვნელოვანია, მაგრამ ადამიანის მიერ დაშვებული შეცდომების მინიმუმამდე დაყვანა, არის სწორედ ის ფუნდამენტი, რის გარეშეც კიბერ უსაფრთხოების არსებობა მხოლოდ ილუზიაა. ადმინისტრატორების მიერ დაშვებული ქსელის კონფიგურაციის შეცდომები, განახლებების დაყენების გადავადება და კომპიუტერული სისტემების მომხმარებლების მიერ სტანდარტული პროცედურების უგულებელყოფა – სწორედ ის ფაქტორებია, რომელიც გზას უხსნის შეტევათა აბსოლუტურ უმრავლესობას.

ზემოაღშნული სირთულეების გადასალახად, აშშ-ს თავდაცვის ძალების ხელმძღვანელობამ გამოიყენა ადმირალ Hyman Rickover-ის ტაქტიკა. Hyman Rickover-მა 60 წლის წინ სათავე დაუდო პროგრამას, რომელიც საზღვაო ხომალდების ბირთვულ ენერგიაზე მუშაობას ითვალისწინებდა და 30 წელზე მეტ ხანს მართავდა ამ პროგრამას, ისე რომ ერთი ინციდენტიც კი არ მომხდარა. Rickover ადამიანების მომზადებაზე იყო კონცენტრირებული: მკაცრად ზედამხედველობდა მაღალი დონის წვრთნის პროგრამის ზედმიწევნით დაცვას, რომელიც ახალ თანამშრომლებს შეცდომებისგან თავის არიდებას და ანომალიების დროულად აღმოჩენას ასწავლიდა.

თავდაცვის დეპარტამენტის მსგავსად, დიდ კომპანიებსაც განუწყვეტლივ უწევთ კიბერ კრიმინალების, კონკურენტების მიერ დაქირავებული კიბერ დამნაშავეებისა თუ ინსაიდერების მიერ წარმოებული შეტევების მოგერიება. ეს პირები მხოლოდ პერსონალურ ინფორმაციების თუ საკრედიტო ბარათების მონაცემების მოპარვაზე როდი ჩერდებიან. ისინი ხშირად კომპანიისთვის სასიცოცხლოდ მნიშვნელოვან ინფორმაციებს ეთამაშებიან, ისეთებს, როგორიცაა კომპანიის წლობით შემუშავებული სტრატეგიები, ნავთობის, გაზისა და ენერგეტიკული სექტორის კლასიფიცირებული ინფორმაცია თუ პატენტები და ა.შ. სტატისტიკური მონაცემების თანახმად, კრიტიკული ინფრასტრუქტურის სუბიექტებზე შეტევები ბოლო წლების განმავლობაში 17-ჯერ გაიზარდა, რაც კიბერ სფეროში არსებულ უდიდეს გამოწვევებზე მეტყველებს.

თავდაცვის დეპარტამენტის კიბერ რეფორმები

თავდაცვის დეპარტამენტს 2009 წელს კიბერ თავდაცვის საკითხებში ისეთივე წინააღმდეგობები ხვდებოდა, როგორც დღეს კომპანიათა უმრავლესობას – IT სისტემების მართვა და უსაფრთხოების მეთოდები სრულიად განსხვავდებოდა სხვადასხვა ადგილზე განლაგებულ 16 ქვედანაყოფებში. უფრო მეტიც, ეს ქვედანაყოფები სრული დისკრეციის ფარგლებში მოქმედებდნენ, როგორც ცალკეული ერთეულები. თავდაცვის დეპარტამენტი ჯამში 15 000 ქსელში გაერთიანებულ 7 მილიონ მოწყობილობას აერთიანებდა, რომლებსაც სხვადასხვა ადმინისტრატორები მართავდნენ და სხვადასხვა სტანდარტების მიხედვით აკონფიგურირებდნენ  მათი მმართველობის ქვეშ მყოფ ქსელებს.

სწორედ 2009 წელს, ერთიანი მმართველობის სისტემის მნიშვნელობის გააზრებისა და კიბერ ინციდენტების კატასტროფული ზრდის მიმართ ზღვარის დადების საჭიროებების გაცნობიერების შემდეგ, თავდაცვის მდივანმა, Robert Gates-მა ჩამოაყალიბა აშშ-ს კიბერ სამმართველო. გატარებული ღონისძიებების შედეგად, .mil დომეინის ქვეშ გაერთიანებული ქსელის ყველა ოპერატორი ერთი პირის – 4 ვარსკვლავიანი ოფიცრის მმართველობას დაექვემდებარა. 15 000 დანაწევრებული სისტემა ერთ უნიფიცირებულ არქიტექტურაში მოექცა – ასე დაიბადა გაერთიანებული ინფორმაციული გარემო (Joint Information Environment). ის რაც ერთ დროს ასეულობით სხვადასხვა სტანდარტითა და პროტოკოლით იმართებოდა ათეულ ათასობით ადმინისტრატორის მიერ, ერთიანი წესებით მმართველობის ქვეშ მოექცა, რომელსაც ქსელის ადმინისტრატორების კარგად შერჩეული ელიტური ჯგუფი კურირებს.

პარალელურად, აშშ-ს კიბერ სამმართველო მუდმივად აახლებს ტექნოლოგიებს: შემოაქვს, ტესტავს და ნერგავს ახალ მოწყობილობებს, სენსორებს და ანალიტიკურ ხელსაწყოებს. ამ ტექნოლოგიების დახმარებით ასევე წარმოებს მასიური მონაცემების ანალიტიკური დამუშავება, რაც ქსელის ადმინისტრატორებს სისტემებზე ზედამხედველობას უადვილებს: ანომალიების დადგენა, საფრთხის დონის განსაზღვრა და შესაბამისი კონფიგურაციული ცვლილებების განხორციელება უმოკლეს ვადებში ხორციელდება.

ცალკეული ქსელების ერთ მთლიან ქსელში გაერთიანება, ბუნებრივია გარკვეულ რისკებსაც წარმოშობს. მაგალითად, ერთ სისტემაში არსებული ვირუსი შეიძლება დანარჩენ სისტემებშიც გავრცელდეს, ან კიდევ ერთ სისტემაში არსებული სისუსტის გამოყენებით, შემტევმა შესაძლოა მეორე სისტემიდანაც მოახერხოს მონაცემების მოპარვა. მაგრამ ამ ყველაფერს ერთმნიშვნელოვნად გადაწონის გაერთიანებული სისტემის დადებითი მხარეები: ერთიანი მონიტორინგი, სტანდარტიზებული დაცვის სისტემა, განახლებების დაყენების გაიოლება და მთლიანი ქსელის მომენტალური რეკონფიგურაციის საშუალება საჭიროების შემთხვევაში. არ უნდა დაგვავიწყდეს ისიც, რომ კლასიფიცირებული და არაკლასიფიცირებული ქსელები ერთმანეთისგან მკვეთრად გამიჯნულია.

ეს ღონისძიებები საკმარისი არ არის – გაერთიანებული არქიტექტურა და მმართველობა, ინფორმაციული უსაფრთხოების დაცვის მხოლოდ ნაწილია. სტატისტიკის თანახმად, .mil ქსელში შეღწევათა აბსოლუტურ უმრავლესობაში სუსტი რგოლი ადამიანური ფაქტორი იყო. მაგალითად:

  • ისლამური სახელმწიფოს მიერ აშშ-ს ცენტრალური სამმართველოს ტვიტერის გვერდის „დაჰაკვა“ ელემენტარული მიზეზით – ორდონიანი აუთენთიფიკაციის არარსებობის მიზეზით მოხდა.
  • 2013 წელს უცხო ქვეყნის წარმომადგენლები მთელი 4 თვის განმავლობაში დაძვრებოდნენ აშშ-ს საზღვაო ძალების არაკლასიფიცირებულ ქსელში. ამის მიზეზი იყო ერთ-ერთ ვებსაიტზე არსებული სისუსტე, რომლის შესახებაც იცოდნენ IT ადმინისტრატორებმა, მაგრამ დროულად არ გაუსწორებიათ.
  • 2008 წელს კლასიფიცირებულ ქსელში შეღწევის ყველაზე სერიოზული შემთხვევა დაფიქსირდა, როდესაც პროტოკოლის წესების დარღვევით, შუა აღმოსავლეთში ბაზირებული ცენტრალური სამმართველოს თანამშრომელმა დავირუსებული USB ფლეშ მეხსიერება შეაერთა დაცულ კომპიუტერში.

უკანასკნელი შეტევები აჩვენებს, რომ უსაფრთხოების სრულყოფამდე ჯერ კიდევ ბევრია დარჩენილი (მუდმივად ახალი სისუსტეების აღმოჩენის პერიოდში ქსელის უსაფრთხოების სრულყოფა ალბათ მიუღწეველიც იქნება), თუმცა 2009 წელთან შედარებით აშშ-ს თავდაცვის ძალებს გატარებული ღონისძიებების შედეგად საგრძნობი წინსვლა აქვთ. მიუხედავად იმისა, რომ კიბერუსაფრთხოების ინსპექტირების შეფასების კრიტერიუმები გამკაცრდა,  “cyber-ready” სტატუსის მინიჭების პროცენტული მაჩვენებელი 2011 წლის 79%-დან გაიზარდა და 2015 წელს 96% პროცენტი შეადგინა.