В последние годы тема кибербезопасности набирает все большую важность как в государственных структурах, так и в частном секторе. Министерство обороны США (DoD) давно считается одной из самых защищенных организаций мира за счет регулярных обновлений систем безопасности и строгих требований к персоналу. Однако недавно популярное сообщество Hacker News обнародовало материалы, вызывающие серьезные сомнения в эффективности подходов Минобороны, которые опираются на два ключевых инструмента — Security Technical Implementation Guides (STIGs) и Information Assurance Vulnerability Alerts (IAVAs). В результате расследования и аналитики было выявлено, что именно эти механизмы могут способствовать беспрецедентным финансовым потерям, превышающим 100 миллиардов долларов, а сами вакансии не прекращают наполняться, вызывая вопросы об истинных причинах подобной ситуации. Подробное рассмотрение и раскрытие этой проблемы имеет фундаментальное значение для понимания текущего состоянию кибербезопасности в государственных системах и поиска путей её оптимизации.
STIGs представляют собой набор подробных инструкций и правил, обеспечивающих стандартизацию безопасности на всех уровнях информационных технологий Министерства обороны США. Эти гайды регулируют конфигурацию аппаратного и программного обеспечения, обеспечивая единый стандарт противодействия внешним и внутренним угрозам. IAVAs — это оперативные предупреждения о найденных уязвимостях, требующие немедленного реагирования и устранения рисков. В таком сложном процессе важную роль играют специалисты, отвечающие за проверку соответствия систем этим руководствам и управлению уязвимостями, обеспечивая постоянный мониторинг и устранение дефектов в инфраструктуре. Несмотря на то, что STIGs и IAVAs были созданы из соображений повышения безопасности, на деле они становятся источником сложности и бюрократии, что, как выясняется, приводит к расточительству ресурсов.
Публикация на Hacker News свидетельствует о том, что непрекращающийся найм сотрудников на роли, связанные с исполнением этих требований, нередко оправдан не конкретными угрозами взлома или необходимостью технологических обновлений, а самой структурой безопасности, которая порождает постоянную необходимость в новых кадрах. Это порождает порочный круг, когда большое количество специалистов занято управлением соответствием, аудитом и сканированием уязвимостей, однако эффективность подобных мер вызывает серьезные сомнения. Исследования показывают, что количество вакансий, связанных со STIGs и IAVA, продолжает расти. Поисковые запросы в гугле по фразам «stigs iava jobs» выдают более миллиона результатов, что отражает не только высокий спрос на такие позиции, но и широкую осведомленность индустрии кибербезопасности о существующих возможностях. Зарплаты на подобных должностях зачастую достигают 110 тысяч долларов в год, а набор персонала происходит даже при отсутствии очевидных новых кибератак или угроз, что лишь усиливает подозрения в избыточности и неэффективности процесса.
Важным аспектом проблемы является то, что STIGs и IAVAs создают относительно жесткие и формальные рамки для оценки безопасности. В условиях военной и государственной культуры, где бюрократия традиционно играет значительную роль, эти стандарты способствуют формальному соблюдению правил вместо создания гибких и инновационных подходов к борьбе с угрозами. Со временем это ведет к накоплению большого количества сотрудников, задействованных в рутинных проверках, отчетности и исправлении формальных нарушений, зачастую не имеющих критического влияния на общую безопасность. Финансовые последствия подобного подхода крайне серьезны. Огромные суммы выделяются на оплату труда, закупку специализированного программного обеспечения и технических решений, инфраструктуру для мониторинга и аудит, при этом не всегда удается достичь адекватного уровня сопротивляемости современным кибератакам.
Аналитики считают, что именно благодаря подобным системам контроля и постоянному найму излишнего персонала Минобороны США ежегодно теряет значительную часть бюджета, что в совокупности с другими факторами приводит к затратам, превышающим 100 миллиардов долларов. Кроме того, растут вопросы, насколько эти позиции по-настоящему необходимы для эффективного противодействия реальным угрозам. Критики отмечают, что часть возложенных обязанностей дублируется, а большая часть работы — сугубо техническая и формальная, не имеющая стратегического значения. Это создает предпосылки для развития коррупционных схем и злоупотреблений в государственных закупках, что дополнительно усугубляет ситуацию с трата бюджетных средств. Несмотря на критику, вакансии в области STIG и IAVA не прекращают появляться как на специализированных площадках, так и в общедоступных источниках вроде LinkedIn и Indeed.
Позиции включают такие специализации, как специалисты по соответствию требованиям STIG, аналитики уязвимостей, инженеры кибербезопасности, системные инженеры, архитекторы безопасности и многие другие. При этом использование ключевых слов «STIG», «DISA», «RMF» и «Vulnerability Management» в поисковых запросах позволяет быстро найти множество открытых вакансий, что свидетельствует о продолжающемся спросе на специалистов. Накопленный многолетний опыт показывает, что эффективность существующих стандартов безопасности могла бы быть значительно выше при условии их более рационального и целевого применения. Например, внедрение автоматизации процессов, сокращение излишней бюрократии, повышение квалификации и технологий анализа угроз позволили бы не просто формально соответствовать требованиям, но и реально повышать уровень защиты систем с меньшими затратами. Вместо этого DoD по-прежнему действует по проверенной схеме, предусматривающей масштабный найм, регулярные отчеты и обязательное следование многочисленным спискам требований, что уже вызвало массовое недовольство внутри отрасли и у общественности.
Поднятые Hacker News вопросы об обоснованности таких расходов и кадровых решений имеют не только финансовое значение. Они подталкивают к пересмотру подходов к национальной безопасности в эру цифровых технологий, где гибкость, инновации и оперативность зачастую важнее формального соблюдения устаревших регламентов. Также становится очевидным, что публичный контроль и прозрачность в этой сфере необходимы как никогда, чтобы предотвратить злоупотребления и повысить эффективность расходования бюджетных средств. В перспективе Министерству обороны и другим государственным организациям предстоит принять непростые решения о реформировании системы кибербезопасности, в частности, возможном сокращении избыточного штата, фокусировке на аналитике угроз, строительстве более продвинутых платформ безопасности и внедрении актуальных технологий искусственного интеллекта и машинного обучения. Такое обновление будет способствовать не только снижению затрат, но и повышению реального уровня защиты критической инфраструктуры.
![US Federal Land Ownership: Overview and Data (2020) [pdf]](/images/6338BAA4-8B41-4247-A0F2-78CAEA63959A)
![The Mathematics of Juggling [video]](/images/6D60B5D9-1125-4979-84BA-318355A852B7)
