Согласно опубликованному в сентябре первоначальному плану администрации Буша, главная роль в обеспечении безопасности киберпространства отводится правительству США. Тем не менее разработчики плана призывают всех пользователей Internet принять в этом непосредственное участие. Особо отмечается, что забота об информационной безопасности должна осуществляться на добровольной основе и что американское правительство пока не намерено активизировать этот процесс законодательными средствами.
Согласно опубликованному в сентябре первоначальному плану администрации Буша, главная роль в обеспечении безопасности киберпространства отводится правительству США. Тем не менее разработчики плана призывают всех пользователей Internet принять в этом непосредственное участие. Особо отмечается, что забота об информационной безопасности должна осуществляться на добровольной основе и что американское правительство пока не намерено активизировать этот процесс законодательными средствами.В документе говорится, что все пользователи должны нести ответственность за «защиту частей виртуального пространства, от которых они зависят» при создании «безопасной, устойчивой, надежной, доступной инфраструктуры, на которую можно положиться». Как гласит проект национальной стратегии защиты виртуального пространства, эта инфраструктура будет поддерживать американскую экономику, национальную безопасность и службы по разрешению чрезвычайных ситуаций.
По заявлению Ричарда Кларка, специального советника президента США по вопросам защиты виртуального пространства, после окончательного утверждения национальной стратегии информационной безопасности появится динамичный и постоянно обновляемый документ, способный адаптироваться к изменяющимся внешним условиям.
Концепция обеспечения безопасности виртуального пространства предполагает совместные, но добровольные усилия представителей бизнеса и правительственных учреждений. Администрация США выступает против издания специальных законов, принуждающих частные компании действовать согласно стратегическому плану. Однако правительство всегда может сослаться на следующую правовую норму: «Несмотря на возможный материальный и финансовый ущерб, необходимо всеми силами защищать здоровье, безопасность и благосостояние граждан Америки».
В новой редакции стратегического плана упоминается ранее выдвинутая идея организации специального фонда защиты виртуального пространства. Его активы должны пополняться взносами частных компаний. Некоторые положения документа касаются технической стороны дела. Например, в нем содержатся жесткие ограничения на правительственное использование беспроводной локальной сети (WLAN) стандарта 802.11b и настоятельные рекомендации устанавливать межсетевые экраны (firewall) для постоянно действующих Internet-соединений. Предлагаются и рекомендации по использованию Сети различными группами потребителей. Градация такова: индивидуальное и частное применение, приложения для малого и крупного бизнеса, для правительственных и образовательных нужд.
Как считают в президентском Совете по защите инфраструктуры при чрезвычайных обстоятельствах (CIPB, Critical Infrastructure Protection Board), на федеральном уровне концепция обеспечения защиты виртуального пространства должна являться модельным документом. Правительство обязано, наряду с прочими мерами, первым внедрять безопасные сетевые протоколы, сертифицировать и всячески поддерживать предприятия IT-отрасли, шире использовать средства оценки безопасности и реализации корпоративной политики, наконец, тщательно продумать свои действия в случае непредвиденной ситуации.
Рекомендации для обычных потребителей очевидны: установить защитное ПО, быть осторожными при пользовании почтовыми программами, своевременно осуществлять их апгрейд и применять сложные для расшифровки пароли. Другие советы столь очевидными не являются. Например, компаниям, работающим на открытом рынке, рекомендуется публиковать независимые отчеты по обеспечению безопасности — аналогично отчетам о доходах. Эта мера считается разумной, поскольку защита виртуального пространства является одним из компонентов деятельности любой фирмы. Более того, рекомендуется создавать корпоративные советы по информационной безопасности, регулярно пересматривать планы, связанные с поддержкой непрерывности бизнес-процессов, и периодически менять провайдера услуг.
Колледжи и университеты, которые в прошлом всегда были объектами хакерских атак, должны установить круглосуточный контакт с провайдерами Internet-услуг. Эта мера должна послужить защите правопорядка при вторжениях в их сети.
Электростанции, водоочистные и прочие предприятия коммунального хозяйства должны тщательно исследовать возможные риски при подключении своих информационных систем к Internet. Им также рекомендуется регулярно принимать дополнительные меры, такие как проверка соответствия систем стандартам безопасности каждые два года.
Одним из основополагающих моментов является контроль за обменом информацией. Совет по защите инфраструктуры при президенте США (CIPB), который и разработал проект представленного документа, рекомендует создать Центр управления киберпространством (Cyberspace NOC). Данная организация будет включать в себя группы быстрого реагирования, состоящие из IT-специалистов, и центры обмена информацией и анализа (ISAC), которые следует организовать всем крупным предприятиям.
Для более успешной реализации рассматриваемой стратегии необходимо наладить информирование широкой общественности — как правительством, так и представителями IT-индустрии. Речь идет, например, о том, чтобы софтверные компании рекламировали и обеспечивали в своей продукции механизмы защиты. Предлагается также создать специальный центр обмена информацией о новых разработках в области защитного ПО для их более эффективного распространения среди пользователей.
В документе говорится, что следует четко понимать, какой риск несет использование беспроводных технологий, особенно локальных беспроводных сетей WLAN стандарта 802.11b. Правительственные организации могут задействовать эти сети, но должны постоянно проверять их на предмет несанкционированных подключений и применять все доступные средства для снижения риска.
Во всех штатах следует учредить или развивать гранты Cyber Corps, нацеленные на подготовку как можно большего числа специалистов по IT-безопасности для правительственных органов. А федеральное правительство должно регулярно проверять уровень квалификации своих сотрудников, обеспечивающих охрану правопорядка в Internet.
CIPB признает, что осуществление всего комплекса мер не гарантирует того, что Internet никогда не подвергнется атаке. Но защищенная сеть более устойчива к воздействиям, и ее сложнее надолго вывести из строя.
В январе прошлого года администрация Буша начала пересмотр роли информационных систем и концепции безопасности виртуального пространства. Затем, в октябре, президент США возложил на Кларка обязанности координатора правительственной работы по обеспечению безопасности в Internet. Это произошло сразу после событий 11 сентября, а также после того, как компьютерные вирусы Code Red и Nimda доставили немало головной боли системным администраторам правительственных учреждений и крупных корпораций.
Представленный стратегический план является продуктом совместной деятельности федерального правительства США, специалистов по обеспечению безопасности и компаний IT-индустрии. Он создавался в течение всего прошлого года. Разработчики призывают граждан присылать комментарии к проекту документа до 18 ноября. Текст проекта можно найти в Internet по адресу http://www.securecyberspace.gov/.