Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Бизнес Законодательство Техника

Бюрократия побеждает. Обслуживающие правительство ИТ-шники погрязнут в бумагах и вместо работы будут заполнять отчеты

Работающие на американские власти ИТ-компании скоро начнут тратить больше времени на заполнение и отправку всевозможных отчетов, нежели на выполнение своих прямых обязанностей, если новая инициатива властей США будет одобрена. Это грозит им срывом сроков и проблемами, что вызывает у них недовольство.

Госаппарат против ИТ-индустрии

ИТ-компании, связанные контрактами с правительством США, открыто и весьма неодобрительно высказались в адрес новой инициативы американских властей, которая меняет правила госзакупок и госконтрактов. Как пишет The Register, эти правила ввергнут компании в пучину бюрократии с ее бесконечными отчетами и потоком документации.

Поправки, в частности, гласят, что этим компаниям придется предоставлять властям полный доступ к своим информационным системам в случае возникновения инцидента кибербезопасности. И о каждом таком инциденте, даже о самом незначительном и не возымевшем последствий, им придется готовить отчет.

Нововведения, по информации издания, прописаны в поправках к ныне действующим в США Федеральным закупочным правилам (Federal Acquisition Regulation, FAR). которое обновляет стандарты отчетности по безопасности для государственных подрядчиков в соответствии с указом Президента США Джозефа Байдена (Joseph Bizen), подписанным в 2021 г.

Что может измениться

Если поправки к FAR будут приняты, то господрядчикам, в том числе и ИТ-компаниям, придется готовить отчет о каждом обнаруженном киберинциденте и отправлять его в Агентство по кибербезопасности инфраструктурной безопасности (Cybersecurity and Infrastructure Security Agency, CISA) в течение восьми часов после обнаружения. Также потребуется обновлять информацию об этих инцидентах каждые 72 часа, то есть раз в трое суток.

ИТ-шникам в США прибавится работы. Только совсем не профильной

Именно сотрудникам CISA подрядчики должны будут предоставить полный доступ ко всем своим инфосистемам в случае проблем с информационной безопасностью. А если этот доступ потребуют сотрудники правоохранительных органов, то и им нельзя будет отказать.

Помимо этого, подрядчики будут обязаны поддерживать актуальные спецификации используемого ими программного обеспечения (software bill of materials).

Красноречивая пояснительная записка

Изменения к FAR – это плод коллективного труда. Над ними, по информации The Register, работали Министерство обороны США (Department of Defense, DoD), Генеральное управлениее по обслуживанию (General Services Administration, GSA ) и Национальное управление по аэронавтике и исследованию космического пространства США (National Aeronautics and Space Administration, NASA, НАСА).

Документ готовился в качестве ответа на многочисленные угрозы информационной безопасности, с которыми в последнее время сталкиваются США. «SolarWinds, Microsoft Exchange и инцидент с Colonial Pipeline являются отрезвляющим напоминанием о том, что организации государственного и частного секторов США все чаще сталкиваются с изощренной вредоносной кибердеятельностью как со стороны государственных субъектов, так и киберпреступников», – указано в пояснительной записке к документу.

В записке также сказано, что все киберинциденты «имеют общие черты, в том числе недостаточную защиту от кибербезопасности, которая делает организации государственного и частного сектора более уязвимыми для инцидентов».

Связь с отраслью потеряна

Предлагаемые изменения далеки от того, чего хочет ИТ-отрасль, утверждает издание. Может показаться, что правила, направленные на повышение государственной безопасности, будут приветствоваться ИТ-компаниями, но они вызывали совершенно противоположную реакцию.

Например, Консультативный совет поставщиков облачных услуг (Cloud Service Providers Advisory Board, CSP-AB), в состав которого входят несколько крупных американских компаний, предоставляющих облачные услуги, охарактеризовал новые правила как «обременительные».

Совет по информационным технологиям (Information Technology Industry Council ITIC) назвал требование о восьмичасовом уведомлении об ИБ-инцидентах «неоправданно обременительным и несовместимым» с другими правилами отчетности, добавив, что 72-часовой период обновления «не отражает меняющуюся срочность в ходе реагирования на инцидент».

Даже международная платформа по поиску уязвимостей HackerOne, в марте 2022 г. отвернувшаяся от России, решила высказать свое мнение. Она утверждает, среди прочего, что положение, требующее доступа к системам подрядчика со стороны федеральных правоохранительных органов после инцидента безопасности, «может раскрыть данные и информацию от нефедеральных клиентов подрядчика».

«Нефедеральные клиенты могут не захотеть продолжать работать с федеральными подрядчиками, что потенциально вынуждает федеральных подрядчиков выбирать между продажами нефедеральным клиентам или правительству», – добавили представители HackerOne.

Слишком много правил

Как пишет The Register, количество правил об отчетности о киберинцидентах в США стремительно растет. Более того, у каждой госорганизации этот набор правил свой, и он может конфликтовать с другими.

Например, Комиссия по ценным бумагам и биржам (Securities and Exchange Commission, SEC) летом 2023 г. ввела правило, требующее от жертв кибератак сообщать ей о взломе в течение четырех дней. Через пару месяцев Федеральная торговая комиссия США (Federal Trade Commission, FTC) ввела собственное правило уведомления об инцидентах, предоставив небанковским финансовым организациям 30 дней на подготовку и отправку ей отчета об атаках.

CISA планирует последовать примеру этих организаций и разработать собственные правила. Посмотрев на это, Совет по информационным технологиям назвал все эти требования различных госструктур «несогласованными». Он призвал к «созданию единого авторитетного процесса отчетности о происшествиях во всем федеральном правительстве и регулируемых секторах».

Геннадий Ефремов

Короткая ссылка