Кибербезопасность инфраструктуры Германии (2020)
Капитан 1 ранга Н. Башкиров,
кандидат военных наук,
профессор АВН;
капитан 2 ранга Б. Лодочкин,
кандидат технических наук;
капитан С. Сергеев
Германия является одной из ведущих держав мира в индустриально-технологическом отношении и характеризуется чрезвычайно высокой степенью зависимости от критической инфраструктуры1 (КИ), и в особенности от информационной, в современных условиях являющейся ключевым элементом обеспечения функционирования жизнедеятельности населения и конкурентоспособности страны в мире. Необходимо подчеркнуть, что в эпоху всеобщей информатизации и цифровизации функционирование всей КИ государства обусловлено надежностью информационных аппаратно-программных систем обработки и хранения данных, а также телекоммуникационных систем как составляющих информационно-телекоммуникационного сектора инфраструктуры. В связи с этим киберзащита КИ в современных условиях является одной из ключевых задач политики национальной безопасности немецкого государства.
Эмблемы Национального центра киберзащиты (вверху) и Центра кризисного реагирования на инциденты в киберпространстве Германии |
Центральная, координирующая роль в обеспечении кибербезопасности КИ Германии отведена министерству внутренних дел страны. В структуре ведомства специфическими вопросами информационной (кибер-) безопасности занимается Федеральная служба по безопасности информационных технологий (ИТ-безопасности - ФСБИТ). Созданное в 1991 году ведомство в настоящее время насчитывает более 900 специалистов. ФСБИТ оказывает услуги в области обеспечения ИТ-безопасности и информирует о рисках и опасностях при их использовании, разрабатывает стандарты (критерии) и процедуры оценки безопасности ИТ-систем, а также обеспечивает лицензирование и аудит по информационной безопасности. Кроме того, задачами данного ведомства являются предупреждение о выявленных уязвимое гях. вредоносном программном обеспечении и кибератаках. поддержание ситуационной осведомленности о состоянии кибербезопасности (КБ) в стране, координация мер реагирования на кибератаки, а также содействие восстановлению информационной инфраструктуры после кибервоздействий. ФСБИТ несет непосредственную ответственность за КБ компьютерных сетей правительства и федеральных органов.
Важную роль в обеспечении ее безопасности играет Федеральное сетевое агентство, подчиненное министерству экономики и технологий ФРГ. Кроме того, в решение задачи киберзащиты КИ вовлечены: министерство обороны (бундесвер), военная контрразведка. Федеральная разведывательная служба, федеральная полиция, служба таможенного розыска и другие.
Обеспечение КБ инфраструктуры Германии предполагает соответствующее нормативно-правовое обеспечение - опору на разработанные под руководством государственных органов и утвержденные правительством законы, стандарты информационной безопасности, нормы и планы и другие федеральные документы по защите КИ. Среди них:
- "Закон о связи", 1996 год (последние изменения внесены в феврале 2020-го);
- "Национальный таи защиты информационной инфраструктуры" (2005);
- "Закон об урегулировании рынка телекоммуникационных услуг", 2007 год (последние изменения внесены в июле 2019-го):
- "Закон о свободе информации", 2006 год (последние изменения в ноябре 2019-го):
- "Закон об усилении безопасности в сфере ИТ", 2009 год (заменил прежний "Закон об учреждении Федеральной службы по безопасности информационной техники", действовавший с 1999-го по 2009-й, дополнил и внес изменения в законы, возложив тем самым на собственников и операторов объектов КИ дополнительные обязанности по защите КИ):
- "Закон об -электронном правительстве Германии" (2013):
- "Национальная стратегия защиты критической инфраструктуры Германии" (2009):
- "Закон о повышении безопасности информационно-технических систем (закон об ИТ-безопасности)" (2015).
- отраслевые "Справочники по основным мерам защиты в области информационных технологий" (например, "Справочника по основным мерам защиты в области информационных технологий согласно §11 абзаца 1а Закона об энергетике" (2015);
- "Стратегия кибербезопасности Германии" (2016);
- "Проект руководства по определению важности объектов информационной инфраструктуры и отнесению их к КИ" (2016) и другие.
Для Германии также актуальны нормативно-правовые акты ЕС в сфере киберзащиты КИ, которые вводят единые стандарты безопасности, минимальные требования по обмену информацией о состоянии кибербезопасности соответствующих объектов и являются базой для сотрудничества в данной области. На основе директивы, существующей с 2016 года, в 2017-м был принят "Закон о кибербезопасности".
Среди перечисленных нормативных актов важнейшее место занимает разработанная МВД "Стратегия кибербезопасности Германии", впервые опубликованная в 2011 году. В данном документе определены цели, задачи и порядок защиты киберпространства страны, описаны 30 долгосрочных мероприятии по обеспечению КБ, включая создание мобильных групп реагирования на соответствующие инциденты. В основе направленности всех мероприятий лежат три принципа - предупреждение и предотвращение2 (превентивные меры с целью нейтрализации рисков и угроз), обнаружение и реагирование (отражение кибератак) и ликвидация последствий (восстановление).
Архитектура кибербезопдсности Германии МВД
|
Ставка делается на национальное урегулирование в сфере КБ - совместную, скоординированную деятельность государственных органов, промышленности, науки и общества, а также на развитие тесного европейского и международного сотрудничества по КБ.
Киберстратегия Германии основывается на следующих позициях:
- общегосударственная архитектура кибербезопасности и киберобороны на базе центров киберзащиты и кризисного реагирования на инциденты в киберпространстве, мобильных групп реагирования, специализированных сил быстрого реагирования, причем возможности бундесвера по киберзащите3 - существенная часть архитектуры КБ страны;
- развертывание единого органа, ответственного за обеспечение кибербезопасности государственных органов власти и координацию технических аспектов КБ:
- постоянное отслеживание и оценка, анализ обстановки в киберпространстве на базе развернутых ситуационных центров по КБ - вплоть до муниципального и коммунального уровня4;
- реализация "Плана укрепления кибербезопасности федеральной администрации", консолидация информационных систем и сетей государственных органов;
- ввод в эксплуатацию систем управления кибербезопасностью) промышленных предприятий, единого стандарта требований по обеспечению КБ5, всеобщей системы сертификации и аудита состояния кибербезопасности государственных и частных компаний согласно стандарту DIN КОЛЕС 27001;
- усиление национальной системы сертификации, стандартов и цифрового аудита состояния киберзащищенности вводом "знака качества" в сфере КБ, аккредитацией предприятий, масштабируемого и делегируемого процесса сертификации:
- тотальное внедрение устойчивого кодирования во всех информационных вычислительных и телекоммуникационных сетях при одновременном предоставлении органам безопасности права (и возможности) доступа и вскрытия требуемой информации:
- реализация системы безопасной аутентификации в глобальной сети Интернет на основе единой государственной системы управления электронной идентификацией;
- признание и утверждение системы сертификации Германии в рамках ЕС и других международных организаций на базе единых критериев безопасности и оценки качества киберзащиты (ISO/IEC 15408 и ISO/TEC 27000), обеспечиваемого процессом сертификации, разработанной в Германии;
- обеспечение выполнения требований безопасности уже на этапе исследований, проектирования и разработки новых аппаратно-программных средств и систем;
- кооперация между государственными структурами, производителями программного обеспечения и вычислительной техники, провайдерами информационных услуг, а также научными учреждениями-разработчиками информационных технологий в сфере КБ;
- кооперация в рамках ЕС (ФРГ развивает единую систему электронной идентификации и электронной подписи для органов власти и промышленности, развернуты совместные научно-исследовательские программы по КБ);
- активное участие в укреплении евро-атлантической кибербезопасности НАТО, а также содействие международной стабильности в киберпространстве ОБСЕ, Совета Европы, ООН и других международных организаций (рекомендации по применению норм и принципов международного права, ответственному поведению, мерам по укреплению доверил в киберпространстве, урегулированию киберинцидентов).
История укрепления кибербезопасности инфраструктуры Германии характеризуется следующими значимыми событиями:
- создание Федеральной службы по безопасности информационной техники (1991);
- развертывание первой группы реагирования на чрезвычайные ситуации в сфере кибербезопасности федерального правительства (Computer Emergency Response Team - CERT) CERT-Biind6 в рамках ФСБИТ в 1994 году, в настоящее время в ФРГ более 30 подобных групп реагирования федерального уровня и уровня федеральных земель:
- создание Федерального министерства транспорта и цифровой инфраструктуры (1998);
- основание Федеральной ассоциации информационной экономики, телекоммуникаций и новых СМИ на базе отраслевых информационно-телекоммуникационных союзов (1999):
- проведение на регулярной основе с 2004 года учений по действиям при чрезвычайных ситуациях и кризисному управлению LUKEX7;
- введение заграничного электронного паспорта для граждан ФРГ (2005);
- появление электронного паспорта гражданина ФРГ в 2010 году, а с 2011-го и электронной медицинской карты:
- начало функционирования Национального центра киберзащиты Германии. Центра кризисного реагирования на инциденты киберпространстве и Национального ситуационного центра КБ в 2011 году в рамках ФСБИТ и немного позднее - совместного ситуационного центра по КБ федерального правительства и земель, функционирующего в составе Федеральной службы гражданской зашиты:
- создание Национального совета правительства и промышленности по кибербезопасности (2011), который определяет долгосрочную стратегию по кибербезопасности, осуществляет анализ эффективности существующей федеральной архитектуры обеспечения КБ Германии;
- развертывание НИОКР по КБ с созданием научно-исследовательского кластера в рамках министерства образования и научных исследований8: ATHENE/ CRISP (Center for Research in Security and Privacy)9 в городах Дармштадт, CISPA (Center for IT-Sec irrity. Privacy and Accountability)10. Саарбрюкен, KASTEL (Competence Center for Applied Security Technology) и Карлсруэ, - принявшие самое активное участие в разработке документа о стратегии киберзащиты Германии;
- создание альянса по кибербезопасности11 ФСБИТ совместно с Федеральной ассоциацией информационной экономики, телекоммуникаций и новых средств массовой информации (BITKOM) в 2012 году как платформы кооперации по КБ между государственными органами, промышленностью и научно-исследовательскими организациями, объединяющего 4063 учреждения и организации ФРГ (всего более 2,8 тыс. человек): участники альянса обладают доступом к обширной информации ограниченного распространения о ситуации в киберпространстве, предупреждениях о кибератаках. угрозах и уязвимостях;
- формирование Федерального агентства ИТ-услуг в 2012 году (реформирован в 2015-м);
- инициирование Федерального информационно-технического центра с 2016 года на базе Федерального агентства ИТ-услуг;
- образование в 2017 году единого федерального органа, ответственного за координацию государственных проектов и программ научных исследований и поиск, разработку технических решений и инструментов в сфере обеспечения КБ, включая расследование киберпреступлений, безопасность телекоммуникационных систем, анализ "больших данных", криптографию и т. д.
Особо значимой в рамках реализации национальной политики кибербезопасности Германии в рамках государственно-частного партнерства является федеральная инициатива (ФСБИТ и Федеральной службы гражданской защиты) по обеспечению безопасности КИ (UmseTzungsplanKritische Infiastnikturen-UP KRITIS). выдвинутая в 2007 году. Она представляет собой государственно-частное партнерство между государственными органами (в том числе федеральных земель), предприятиями промышленности, их союзам и отраслевыми объединениями, В рамках инициативы UP KPITIS функционирует такой постоянно действующий орган, как Совет по кибербезопасности, а также рабочая группа по КБ, которая занимается выработкой единых позиций в ИТ-сфере и соответствующих документов. Совет ставит стратегические цели в обеспечении безопасности КИ и определяет задачи проектов. Существуют также отраслевые рабочие группы UP KRTTIS (по дата-центрам и хостингу, по инфраструктуре сети Интернет и по телекоммуникационным системам), а также временно создаваемые тематические группы.
Примерам тематических групп в области КБ являются следующие:
- аудит (сертификация) и стандарт кибербезопасности;
- АСУ технологическими процессами и производством, системы дистанционного сбора данных и диспетчерского управления;
- международная кооперация в сфере КБ;
- использование "облачных" информационных служб (сервисов);
- КБ значимых информационных услуг- навигационных, геоинформационных и других систем, а также контроль за соблюдением закона о свободе информации и закона о высокоскоростных информационно-телекоммуникационных сетях:
- организация учений по отработке мероприятий обеспечения безопасности КИ.
Кроме того, осуществляются совместные проекты федерального правительства и федеральных земель по киберзащите КИ, в том числе организовано взаимодействие на уровне общин и коммун.
Военно-политическое руководство страны выделяет две основные проблемы в сфере обеспечения кибербезопасности Германии:
- Отсутствие "цифрового суверенитета" немецкого государства12, как и ЕС в целом (нет возможности самостоятельно развивать ключевые информационно-коммуникационные технологии). Большинство используемых в Германии цифровых технологий, программного обеспечения и оборудования, а также компонентов -иностранного происхождения. Причем в большинстве случаев нельзя достоверно установить отсутствие недокументированных возможностей, что вынуждает слепо доверять производителям.
- Неадекватная интенсивность развития технологий КБ, не соответствующая "взрывному" характеру и опережающим темпам цифровизации физической среды деятельности человека, которая сопровождается невиданным ростом масштабов киберугроз и кибернападеннй, расширением источников угроз в киберпространстве. В итоге все современные технологии - больших данных, искусственного интеллекта, квантовых вычислений и другие - могут быть использованы киберпреступниками в целях шпионажа, саботажа, террора и т. д.
О решающем характере проблемы "цифрового суверенитета" свидетельствует факт присвоения Федеральной ассоциации информационной экономики, телекоммуникаций и новых СМИ (BITKOM) в мае 2017 года звания "Большой брат"13, ежегодно присуждаемого правозащитными организациями с целью привлечения внимания общественности к проблемам защиты данных. Несколько ранее (в 2008-м) его получила компания "Дойче телеком".
Как утверждается, причинами присвоения BITKOM звания "Большой брат" стали нарушения прав граждан на неприкосновенность частной сферы в процессе внедрения в Германии технологий "больших данных", а также лоббирование деятельности в нарушение существующих процедур, законов и норм по защите данных. Самое же главное обвинение состоит в том, что BITKOM находится под скрытным управлением крупных американских ИТ-корпораций. Так, 16 членов ее правления, или 32%, - это одновременно сотрудники американских дочерних фирм, а 8% руководящих должностей занимают лица, прибывшие из США.
В результате утверждается, что цифровизация несет угрозу благополучию14, качеству жизни, свободе и правам человека.
В связи с этим руководство страны ставит следующие задачи:
- повысить степень "цифрового суверенитета" Германии на национальном и общеевропейском уровне; культивирование национальных и межгосударственных проектов, стандартов и их поддержка, усиление государственного протекционизма;
- достичь "минимальных" стандартов КБ, начиная от упорядочения системы приобретения (закупок), экспортного контроля до процессов разработки технологий, программного обеспечения и оборудования;
- развить государственную инфраструктуру КБ для обеспечения цифровой идентификации, кодирования и оценки качества обеспечения КБ продуктов и услуг;
- ужесточить нормативно-правовую базу в сфере КБ;
- организовать в государственной и частной сфере обучения подготовку кадров и повысить квалификацию в области КБ;
- расширить системы НИОКР по кибербезопасности (ранее правительство ФРГ финансировало программу исследований "Безопасность в цифровом мире 2015-2020");
- реализовать систему управления жизненным циклом в сфере "интернета вещей" и усилить степень защищенности сетей мобильных устройств с внедрением соответствующих механизмов киберзащиты и т. д.
Отмечается, что в Германии, несмотря на существенный научно-технический потенциал, имеется относительно небольшое число предприятий, успешных на мировом рынке в сфере кибербезопасности.
Таким образом, безопасность Германии, как передовой индустриально-технологической державы, в возрастающей степени зависит от надежности и эффективности функционирования критической информационной инфраструктуры, выступающей в современных условиях глобальной информатизации и цифровизации важным элементам всей инфраструктуры страны. Национальная стратегия кибербезопасности - ответ на вызовы безопасности страны в информационную эпоху. Она ориентирована в первую очередь на превентивные (упреждающие) меры обеспечения кибербезопасности КИ наряду с мерами реагирования (отражения угроз) и ликвидации последствий (минимизации ущерба). Декларируемая цель киберстратегии ФРГ - способствовать развитию и реализации потенциала цифровизации при нейтрализации рисков и угроз кибербезопасности инфраструктуры на национальная, региональном и глобальном уровне.
1 Согласно общепринятому в Германии определению, критическая инфраструктура - это организационные структуры и объекты (сооружения), имеющие особое значение для государства и общества, нарушение функционирования которых способно привести к длительным перебоям в снабжении, серьезным нарушениям общественной безопасности или иным трагическим последствиям. Концепция, стратегические цепи и задачи федерального правительства Германии по обеспечению безопасности КИ, впервые были изложены в документе "Национальная стратегия зашиты критической инфраструктуры" (2009).
2 Например, на основе систем раннего предупреждения, разработанных под руководством ФСБИТ LAS (Internet Analyse System) и CannentiS (анализа и оценки состояния КБ в немецком сегменте глобальной сети Интернет).
3 В рамках министерства обороны ФРГ созданы киберкомандование ВС ФРГ (Kdo Cyber Irjformationsraurn- KdoCTR), мобильные кибергруппы МСТ (Mobile Cyber Teams) и MERT (Mobile Incident Response Teams), включающие ИТ-специалистов, представителей по взаимодействию со СМИ, оценки и анализа кибератак, акций кибертерроризма и саботажа, а также представителей военной контрразведки.
4 Согласно ежегодному докладу ФСБИТ о состоянии КБ в Германии (BSI-Lagebencht ГГ-Sicherlieit). всего в базе ФСБИТ зарегистрировано около 114 млн вариантов вредоносных программ. Ежегодно в ФРГ происходит более ПО тыс. заражений компьютерными ботами (в основном мобильных устройств и оборудования "интернета вещей"). На территории Германии отмечаются DDoS атаки интенсивностью до 300 Гбит/с.
5 Цели системы киберзащиты заключаются в обеспечении доступности защищаемых информационных систем и данных; целостности (достоверности и полноты) обрабатываемой информации и корректности функционирования систем, доверия к информации, обрабатываемой соответствующими системами (защита от несанкционированного доступа лил и процессов).
6 Осуществляется тесное сотрудничество с подобными группами реагирования в рамках ЕС (European Govenmeutal CERT Group), которая включает не менее 15 аналогичных групп в Австрии, Бельгии, Великобритании, Венгрии, Дании, Испании, Нидерландах, Норвегии, Финляндии, Франции, Швеции, Швейцарии. Кроме того, организовано взаимодействие с Европейским агентством сетевой и информационной безопасности (European Network and tnforniation Security Agency, ENISA) и международными группами обеспечения КБ, такими как FIRST (Global Forum of Incident Response and Security Team) и APCERT (Asia-Pacific CERT) и другие.
7 К этим учениям привлекаются все объекты страны, относящиеся к КИ, с отработкой действий в рамках общенациональной системы управления кризисами с участием государственных и частных промышленных предприятий.
8 Оборонные исследования в сфере КБ ведет научный киберкластер Университета бундесвера в г. Мюнхен, основанный в 2013 году.
9 С 2015 года крупнейший в Европе Исследовательский центр по кибербезопасности ATHENE, который функционирует в рамках научного сообщества "Фраунхофер".
10 С 2019 года Центр Гельмгольца по информационной безопасности.
11 Германский альянс по КБ с 2019 года является частью международной Ассоциации контроля и аудита информационных систем IS АСА International, в связи с чем создана соответствующая структура ISАСА Germany Chapter. Сеть из не менее чем 200 филиалов ISACA функционирует в более чем 80 странах мира
12 Один из ярких примеров - скандал 2015 года, когда выяснилось, что хакеры длительное время имели доступ ко всем документам бундестага.
13 Основана в 1998 году правозащитной организацией Privacy International, функционирующей в области защиты частной сферы личности от вмешательства государства и частного бизнеса.
14 Так, согласно оценкам Федеральной ассоциации информационной экономики, телекоммуникаций и новых СМИ (BITKOM), в 2015 году жертвами промышленного кибершпионажа стали более 51% предприятий ФРГ, причем основными источниками угроз названы Китай и Россия. Согласно информации ФСБИТ, ежегодно не менее 70% всех предприятий и организаций ФРГ становятся объектами кибератак, причем 30% их расцениваются как успешные для нападающих, а каждая вторая имеет последствия для эффективности функционирования объектов атак.