Kto będzie odpowiadał za cyberobronę infrastruktury krytycznej USA?

16 czerwca 2016, 13:54
fot. Svetoslav Nikolov/flickr

Obserwatorzy polityki obronnej w Waszyngtonie twierdzą zwykle, że „budżet to strategia”. Wiedza na temat tego, na co pieniądze wydaje Departament Obrony jest dużo lepszym wskaźnikiem strategii obronnych, niż jakikolwiek inny dokument mający je definiować. Jeżeli jednak chodzi o politykę w obszarze cyberbezpieczeństwa, trafniejsze może okazać się stwierdzenie „struktura jest strategią”. Rząd Stanów Zjednoczonych nadal próbuje odnaleźć najlepszy sposób zorganizowania struktur w celu ochrony krytycznej infrastruktury. Kongres USA pracuje nad dorocznymi projektami ustaw dot. autoryzacji środków. Niektóre z idei kongresmenów dotyczących cyberbezpieczeństwa i reorganizacji tego obszaru stają się częścią legislacji, wywołując konflikty w Białym Domu.

Jedną z domen, która zmaga się z ciągłymi problemami organizacyjnymi, jest zakres odpowiedzialności objęty przez Departament Bezpieczeństwa Wewnętrznego (DHS - Department of Homeland Security). Krytyka opiera się na dwóch argumentach, które wykraczają poza obszar cyberbezpieczeństwa. Po pierwsze, DHS jest departamentem zbyt dużym i zbyt kompleksowym. Zbudowany został z 22 różnych agencji federalnych, z których wiele posiadało różny mandat, obszary działania czy kultury. Secret Service, Straż Przybrzeżna, czy FEMA (Federalna Agencja Zarządzania Kryzysowego) - wszystkie te organy posiadają swój unikalny, odrębny od obszaru cyberbezpieczeństwa charakter. Zebranie ich w jeden kolektywny departament z wiarą, że pojedyncza osoba jest w stanie w sposób efektywny zarządzać wszystkimi powierzonymi mu funkcjami, stanowi dla wielu przejaw głupoty. Departament Bezpieczeństwa Wewnętrznego jest jednocześnie krytykowany za brak kontroli nad dostateczną liczbą funkcji pełnionych przez rząd per se. Jest to w szczególności prawda w obszarze ochrony infrastruktury krytycznej - nie tylko w zakresie przeciwdziałania cyberzagrożeniom. DHS posiada odpowiedzialność, jednak brakuje mu niezbędnej wiedzy oraz władzy ustawodawczej. Sieć elektryczna stanowi tutaj dobry przykład. W tym przypadku DHS odpowiada za jej ochronę, jednak to Departament Energetyki zajmuje się mediami dużo częściej, a Federalna Komisja Ds. Regulacji w Obszarze Energetyki wyznacza standardy dla całego sektora.

W wyniku tych problemów działania DHS częstokroć pozostają nieefektywne w zakresie egzekwowania swoich uprawnień. Ostatnim przykładem powyższego był raport wydany przez Government Accountability Office, GAO (Biuro Kontroli Rządu). Przyglądał on się próbom podejmowanym przez DHS w zakresie tworzenia rozwiązań związanych z łagodzeniem ryzyka wystąpienia pulsu elektromagnetycznego. Raport wskazuje, że mimo iż w tym zakresie poczyniono pewne kroki, inne działy DHS pozostawały w nieświadomości wobec wdrażanych działań.

Co więcej, oficjele DHS nie zidentyfikowali żadnych przedstawicieli lub biur Departamentu Bezpieczeństwa Wewnętrznego, którym przydzielona zostałaby odpowiedzialność za objęcie kluczowych ról w kwestiach nadzoru lub koordynacji w obszarze zagrożeń elektromagnetycznych. Przedstawiciele przemysłu i inni oficjele federalni przyznali wręcz, że pozostaje niejasne, kto w DHS odpowiada za pracę w obszarze ryzyk elektromagnetycznych.

Komitet Bezpieczeństwa Wewnętrznego Izby Reprezentantów, nadzorujący pracę DHS, próbuje upewnić się, że departament jest należycie zorganizowany i skupiony na misji ochrony rządowych i cywilnych sieci komputerowych przed potencjalnym cyberatakiem. Proponowane rozwiązanie zakłada zastąpienie National Protection and Programs Directorate (NPDD - Narodowy Dyrektorat Ochrony i Programów - tej samej części departamentu, która była krytykowana przez GAO za porażki w przygotowywaniu się na ryzyko pulsu elektromagnetycznego) nową agencją - Cybersecurity and Infrastructure Protection Agency (Agencja ds. Ochrony Infrastruktury i Cyberbezpieczeństwa).

Ta zmiana poza nadaniem temu działowi nowej nazwy, oznacza reorganizację sposobu, w jaki realizowane są przez tę część DHS jej obowiązki. Obecnie, NPDD składa się z pięciu pod-działów:

  • Biuro Ochrony Infrastruktury;

  • Biuro Cyber-Bezpieczeństwa i Komunikacji;

  • Biuro Zarządzania Tożsamością Biometryczną;

  • Biuro ds. Analiz Cybernetycznych i Infrastruktury;

  • Federalna Służba Ochrony.

Oczywistym jest, biorąc pod uwagę nazwy wyżej wymienionych jednostek, że kilka z nich zajmuje się cyberbezpieczeństwem i ochroną infrastruktury. Kongres uważa powyższą sytuację za skomplikowaną. Projekt ustawy przedłożony przez Komitet ds. Bezpieczeństwa Wewnętrznego Izby stworzyłby oddziały nowej Agencji ds. Ochrony Infrastruktury i Cyber-Bezpieczeństwa:

  • Dział Cyberbezpieczeństwa;

  • Dział Ochrony Infrastruktury;

  • Dział Komunikacji w Syt. Nadzwyczajnych;

  • Federalna Służba Ochrony.

Powyższa reorganizacja może faktycznie być bardziej klarowna, ponieważ pod jeden adres udamy się w sprawach związanych z infrastrukturą, a pod inny z problemami związanymi z cybernetyką. Jednak sam Departament Bezpieczeństwa Wewnętrznego nie wydaje się być usatysfakcjonowany powyższą propozycją. Urzędnicy martwią się tym, że jedną z głównych misji DHS w obszarze cyberbezpieczeństwa jest ochrona infrastruktury, a wprowadzenie podziału między cybernetyczną i fizyczną ochroną tejże może przynieść ze sobą więcej problemów, niż usprawnień. Należy brać pod uwagę fakt, że jedną z głównych funkcji w tym obszarze, obejmowanych przez DHS, pozostaje współpraca z przedstawicielami przemysłu. Tworzenie dwóch różnych działów, z którymi kooperować będzie musiał przemysł, może stworzyć niemożliwe do zrealizowania wymogi, ograniczające efektywność takiego schematu.

Innym departamentem, który GAO szeroko krytykowało za jego niegospodarność w obszarze cyberbezpieczeństwa jest amerykański Departament Obrony (DoD - Department of Defense). W kwietniu 2016 roku wydano raport krytykujący DoD za brak jasno zdefiniowanych ról i odpowiedzialności w kwestii odpowiedzi na incydenty cybernetyczne. National Defense Authorization Act (NDAA), Ustawa o Autoryzacji Obrony Narodowej rozważana przez Senat zawiera treść, której celem jest naprawa tego problemu. Chodzi o utworzenie stanowiska ujednolicającego potrzeby cyberbezpieczeństwa Departamentu Obrony wraz z operacjami cybernetycznymi o charakterze ofensywnym - pozycji zastępcy Sekretarza Obrony ds. Informacji.

NDAAA zawiera także zapis, który wzmocni nadzór [Biura Sekretarza Obrony - Office of the Secretary of Defence - OSD] nad integracją obronnych aktywności w obszarze cybernetyki. Cybernetyka jest przekrojową kwestią, jednak w chwili obecnej odpowiedzialność za ten obszar dzieli się między trzy oddzielne organizacje. NDAA podejmie próby, by zacieśnić ww. związki, tworząc stanowisko Zastępcy Sekretarza Obrony ds. Informacji. Stanowisko to nie będzie jednak funkcją wywiadowczą. Osoba je zajmująca nadzorowałaby bezpieczeństwo infrastruktury sieciowej Departamentu Obrony, a także politykę obszaru obrony i zdolności w zakresie wojny cybernetycznej. Zastępca ten służyłby także jako Główny Oficer ds. Informacji w Departamencie 

Biały Dom jednakże odrzuca tę inicjatywę, twierdząc, że to nowe stanowisko może stworzyć nowe problemy. „Mimo iż połączony zostałby nadzór nad polityką w obszarze cybernetyki i informatyki, rozwiązanie raczej skomplikowałoby, a nie usprawniło, kontrolę nad US Cyber Command i operacjami cybernetycznymi. Może to sprawić, że polityka dotycząca cybernetycznej siły roboczej uległaby fragmentacji. Stworzony zostałby także nowy wyłom w Departamencie Obrony i zarządzaniu obszarem wywiadowczym, tworząc podział między Podsekretarzem Obrony zajmującym się wywiadem, i nowym zastępcą. To potencjalnie może odwrócić uwagę od obecnego stanowiska Chief Information Officer i odpowiedzialności z nim związanej” - czytamy w komunikacie.

Fundamentalnym tutaj problemem jest szeroki wspólny mianownik między ofensywnymi i wywiadowczymi działaniami cybernetycznymi. Z uwagi na fakt, że trudną kwestią pozostaje dostanie się do zabezpieczonych sieci - niezależnie od tego, czy intencją jest wyprowadzenie informacji czy też atak typu exploit, sensowne może okazać się połączenie tych dwóch obszarów. Celem byłoby uzyskanie dostępu do najlepszych technik penetracji i personelu, zarówno w obszarze ofensywnym, jak i wywiadowczym. Problemem nadal jest jednak to, że biurokracja resortu obrony i aparatu bezpieczeństwa narodowego została stworzona tak, by w jasny sposób stworzyć linię podziału (z uzasadnionych powodów) między operacjami wojskowymi i wywiadowczymi. Schemat organizacyjny, który mógłby mieć sens w skompresowanym świecie cybernetyki, przeczy większości zasad, których przestrzegają rządowe organizacje.

Ten podział między warunkami dyktowanymi przez cyberprzestrzeń i sposobem, w który realizowane są działania w świecie fizycznym, może tworzyć długofalowe podziały biurokratyczne. To, jak zostanie on zredefiniowany, pozwoli na określenie tego, w jak poważny i efektywny sposób będziemy traktować cyberbezpieczeństwo. W ten sposób struktura może być uznana za strategię.

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl

KomentarzeLiczba komentarzy: 0
No results found.
Reklama
Tweets CyberDefence24