SECURE BY DESIGN И ШКОЛЬНОЕ ПО

Агентство по кибербезопасности и защите инфраструктуры США (CISA) предлагает производителям ПО для школ системы K-12 взять на себя добровольные обязательства в соответствии с техническим документом CISA Secure by Design.

Принимая участие в этом проекте, производители публично обязуются предпринять следующие шаги:

Принцип 1. Взять на себя ответственность за результаты в области безопасности клиентов

Создать единый вход (SSO) без дополнительной оплаты. SSO может обеспечить большую безопасность за счет сокращения атак на основе пароля. Производители должны разрешить всем клиентам настраивать единый вход на основе стандартов без дополнительной оплаты.

Журналы аудита безопасности, необходимые для мониторинга и реагирования на инциденты кибербезопасности, должны предоставляться школам без дополнительной оплаты. Эти требования предлагается выполнить в течение 6 месяцев.

Принцип 2. Обеспечить прозрачность и подотчетность

В течение 6 месяцев опубликовать на сайте производителя ПО дорожную карту Secure by Design. Документировать, как производитель вносит изменения в свой SDLC для повышения безопасности клиентов, включая действия, предпринятые для устранения целых классов уязвимостей. Необходимо включить подробную информацию о том, как обновляются процессы найма, обучения, проверки кода и другие внутренние процессы разработки. В дорожной карте должно быть указано, как производитель планирует мотивировать всех пользователей, включая студентов, к включению двухфакторной аутентификации с учетом различных вариантов, например, ключей доступа.

Публикация политики раскрытия уязвимостей должны быть выполнена не позднее чем через 3 месяца после присоединения к проекту. Политика раскрытия уязвимостей должна разрешить тестирование всех продуктов, предлагаемых производителем, обеспечивать юридическую безопасность тестирования и разрешать публичное раскрытие уязвимостей после установленного срока. Производители должны провести анализ первопричин обнаруженных уязвимостей и принять меры по устранению классов уязвимостей в соответствии с дорожной картой Secure by Design.

Обеспечить прозрачность уязвимостей не позднее чем через 3 месяца. Проверить, что записи CVE продукта верны и полны, включая поле CWE, в котором указана основная причина уязвимости.

Не позднее чем через 6 месяцев раскрыть статистику и тенденции, связанные с безопасностью. В эти сведения может входить как статистика внедрения MFA клиентами и администраторами, так и использование небезопасных устаревших протоколов.

Принцип 3. Лидерство сверху

Публично обозначить высшего руководителя, который лично отвечает за безопасность. Этот человек должен отвечать за управление процессом интеграции безопасности и качества как основной функции бизнеса, включая разработку и внедрение дорожной карты Secure by Design. На выполнение этого требования CISA дает до 3 месяцев.

 

КИБЕРОБРАЗОВАНИЕ ДОЛЖНО НАЧИНАТЬСЯ С УРОВНЯ К-12

Эксперты по безопасности, собравшиеся в Вашингтоне (США) на 14-й Биллингтонский саммит по кибербезопасности, полагают, что для воспитания сильных кадров в области кибербезопасности образование в этой области должно начинаться с уровня K-12.

Участники дискуссии из государственного и частного сектора, принявшие участие в сессии «Построение карьеры цифровой рабочей силы», пришли к единому мнению, что внедрение основ кибербезопасности на уровне K-12 поможет учащимся развить правильные навыки и увлечься кибербезопасностью в раннем возрасте.

«Эта сфера растет. Я не могу идти в ногу с текущим спросом на кадры, а тем более пытаться идти в ногу с будущим спросом… Я считаю, что это общенациональная проблема», — сказал Марк Горак, главный директор по ресурсами анализу в офисе директора по информационным технологиям в Министерстве обороны. Он полагает, что надо идти в ногу не с текущим спросом на кадры, а пытаться работать на опережение и учитывать потребности в кадрах в будущем: «Министерство обороны может принять участие в установлении требований к учебным программам, но надо понимать, как мотивировать К-8».

Помощник национального кибердиректора по кадрам, обучению и образованию в офисе Национального кибердиректора Белого дома Сью Мо согласился, что отсутствие обучения кибербезопасности в школе — реальная проблема. Он привел пример из личной практики, когда заметил, что на школьной доске в классе его ребенка был написан пароль для планшетов учеников — неверный подход, поскольку школа моделирует поведение маленьких детей на будущее. Мо полагает, что серьезный подход к изучению кибербезопасности возможен в старших классах, однако в целом интерес к теме должен стать более увлекательными доступным для всех членов сообщества.

Помощник национального кибердиректора по кадрам, обучению и образованию в офисе Национального кибердиректора Белого дома Сью Мо согласился, что отсутствие обучения кибербезопасности в школе — реальная проблема. Он привел пример из личной практики, когда заметил, что на школьной доске в классе его ребенка был написан пароль для планшетов учеников — неверный подход, поскольку школа моделирует поведение маленьких детей на будущее. Мо полагает, что серьезный подход к изучению кибербезопасности возможен в старших классах, однако в целом интерес к теме должен стать более увлекательным и доступным для всех членов сообщества.

В качестве положительного примера привлечения детей и подростков в сферу ИБ участники мероприятия назвали инструмент Cyber Career Pathways Tool — один из способов показать студентам, как может выглядеть карьера в области ИБ. Сервис разработан и поддерживается федеральной рабочей группой по карьерным возможностям в киберпространстве, в состав которой входят Агентство кибербезопасности и безопасности инфраструктуры, Министерство обороны и Департамент по делам ветеранов США. Инструмент позволяет преподавателям в интерактивной форме демонстрировать школьникам разные ролей, на которые они могут претендовать в ИБ.

Мотивация имеет решающее значение для того, чтобы заинтересовать детей и задать траекторию движения от образования к трудовой деятельности. По сути речь идет о формировании четкого плана обучения, образования и опыта.

 

КИБЕРПОЛИГОНЫ ИДУТ В ОБРАЗОВАНИЕ…

Колледж Алгонкин из Оттавы (Канада) и компания Field Effect, глобальный поставщик решений и услуг в области ИБ, подписали соглашение о стратегическом партнерстве и реформе образования в области кибербезопасности.

Основой партнерства является Cyber Range от Field Effect, специально разработанная образовательная платформа по кибербезопасности. Это киберполигон, который позволяет пройти весь путь — от обучения и моделирования до тестирования реальных сетей в контролируемой виртуальной среде при помощи библиотеки курсов и симуляций. Пользователи освоят навыки работы на всех должностях — от младших сотрудников до опытных операторов безопасности.

Стратегический план партнерства направлен на обеспечение преподавателей необходимыми инструментами, системами, оборудованием и поддержкой для создания и передачи опыта, отметил Клод Брюле, президент колледжа Алгонкин. Сотрудничество с Field Effect является свидетельством того, что колледж ориентируется на передовые методы образования. Это сотрудничество укрепляет программу образования организации в области ИБ и делает Cyber Range ядром сети кибербезопасности, стимулирует рост, инновации и устойчивость. Алгонкинский колледж получил академическую версию Cyber Range. Локальная лицензия представляет натуральный взнос в размере 2 млн канадских долларов от компании Field Effect в течение трех лет.

Представители Field Effect считают, что партнерство поможет подготовить студентов к практическим занятиям по кибербезопасности. Новый подход приводит образование в соответствие с требованиями отрасли и дает компании возможность не только расширять образовательные предложения, но и повышать финансовую ответственность за счет подобных альянсов. Полученные знания в будущем помогут студентам уверенно выйти на рынок труда и найти работу. Отрасль получит специалистов по безопасности, владеющих инструментами и навыками, необходимыми для достижения результата.

Партнерство также поможет колледжу расширить список курсов и программ подготовки и переподготовки кадров в области ИБ. В перспективе это приведет к увеличению финансирования за счет привлечения новых студентов и спонсоров, а также за счет продажи готовых продуктов, разработанных для платформы Cyber Range. Колледж также будет предлагать студентам спонсируемые отраслью микрокредиты и учебные лагеря, объединяющие обучение с работой, что соответствует потребностям отрасли.

 

… И НАУКУ

Университет Бэйлора открыл Центральный техасский киберполигон (CTCR) — центр стоимостью в несколько миллионов долларов, предназначенный для проведения комплексных исследований в области кибербезопасности и киберустойчивости, а также обучения специалистов по ИБ для решения критически важных задач и закрытия потребности в кадрах на местном, национальном и международном уровнях. В партнерстве с Общественным колледжем МакЛеннан (МСС) из Уэйко (Техас) CTCR будет специализироваться на прикладных исследованиях и образовании.

«Центральный Техас может стать лидером в подготовке квалифицированной рабочей силы для удовлетворения острой потребности в исследованиях и обучении в области кибербезопасности в штате и США в целом. Киберполигон CTCR является важным шагом на этом пути», — заявила президент Университетла Линда А. Ливингстон.

Открытие CTCR стало возможным за счет получения финансирования в размере $2,5 млн в виде грантов Министерства образования США и ассигнований Конгресса. Более $1 млн вложено структурами самого университета Бэйлора, часть средств внесли частные спонсоры. Партнерство с MCC и промышленностью помогло продвинуть проект от идеи до реализации.

Расширение программ ИТ и ИБ, работа с местными школами начались летом. Новые инициативы организаций включают программы сертификации и получение степени бакалавра в области кибербезопасности с последующим переходом от колледжа в Университет Бэйлора. Обе организации имеют статус Национального центра академического мастерства в области киберзащиты (CAE-CD) АНБ и Министерства внутренней безопасности США. Университет также является членом Сети академического взаимодействия USCYBERCOM.

Глава колледжа MCC Джонетт МакКаун видит большие перспективы партнерства с Университетом Бэйлора. Это и облегченный переход студентов на новую ступень обучения, и вклад в борьбу с угрозами кибербезопасности, и разработка новых исследований и методов реагирования на эти угрозы.

CTCR расположен на территории Центра исследований и инноваций Бейлора, который оснащен новейшими технологиями. В перспективе планируется расширение киберполигона. В июле 2023 г., до официального открытия, CTCR провел свой первый летний лагерь для школьников, почти 70% участников которого представляли социально незащищенные группы населения. Будущие проекты киберполигона включают обучение студентов навыкам ИБ в промышленности и госсекторе, а также семинары, ориентированные на различные сообщества с целью сокращения разрыва между потребностями в рабочей силе и качеством обучения.

Исследовательские усилия CTCR основаны на опыте преподавателей Школы инженерии и информатики Университета Бэйлора и MCC. Области исследований включают киберустойчивость и инновации в области безопасности с упором на прикладные исследования с учетом реальных проблем, с которыми сталкиваются промышленность и правительство.

 

АНГЛИЧАН НАУЧАТ АНТИФИШИНГУ

Компания KnowBe4, поставщик крупнейшего в мире тренинга по повышению осведомленности о безопасности и платформы для имитации фишинга, объявила об открытии новой штаб-квартиры в Лидсе (Великобритания). Этот шаг знаменует как новую веху в истории самой компании, так и демонстрирует рост репутации Лидса, третьего по величине города Великобритании, как процветающего технологического центра.

Новый офис компании официально открыл основатель и генеральный директор Стю Сьюверман. Он отметил, что «в условиях, когда киберугрозы развиваются беспрецедентными темпами, организациям и частным лицам важно обладать знаниями и навыками, необходимыми для эффективной борьбы с этими рисками». Присутствие KnowBe4 в Лидсе означает приверженность компании «оказанию значимого влияния на осведомленность о кибербезопасности в регионе и за его пределами».

Открытие штаб-квартиры KnowBe4 в Лидсе органично вписывается в миссию города по созданию среды, поддерживающей технологические инновации, предпринимательство и глобальные партнерства, отметили представители муниципалитета. С 2010 г. в городе проходит крупнейший в стране технологический фестиваль Leeds Digital Festival.

 

В АВСТРАЛИИ ТРЕБУЮТСЯ ПРЕПОДАВАТЕЛИ

Университет Ньюкасла приглашает штатных преподавателей по вычислительной технике и информационным технологиям с упором на ИБ в Школу информационных и физических наук (SIPS), Колледжа инженерии, науки и окружающей среды (CESE). Университет Ньюкасла — ведущий университет Австралии и соседних регионов. В нём активно реализуются современные методы обучения, его выпускники выходят готовыми к работе и жизни. В Университете проводятся актуальные междисциплинарные исследования, которые порой «значительно превосходят мировые стандарты».

Успешный кандидат на должность преподавателя по вычислительной технике и информационным технологиям (CIT) должен будет вести курсы, программы и исследования по кибербезопасности с перспективой расширения программ, особенно в области безопасности приложений и облачных вычислений. У него будет возможность широкого сотрудничества с Лабораториями кибербезопасности и Исследовательским центром передовой инженерной безопасности. Дисциплина также ориентирована на стратегические инициативы по расширению отраслевых связей в регионе, включая сотрудничество с Минобороны Австралии, местными энергетическими компаниями и научно-исследовательским медицинским институтом.

Преподаватель по кибербезопасности будет разрабатывать программы и вести занятия по дисциплинам «Наука о данных», CIT и «Кибербезопасность», повышать продуктивность исследований в области ИБ и добиваться признания в этой области путем расширения сотрудничества со смежными исследовательскими организациями, привлечения грантов, включая поддержку отраслевых исследований, создания новых исследовательских программ для студентов, внедрения новых педагогических подходов для повышения качества обучения учащихся. Предстоит работа в команде для укрепления исследовательских приоритетов Школы и участие в мероприятиях по поддержанию академических стандартов и административной эффективности.

Претендент должен иметь докторскую или магистерскую степень, опыт работы в области компьютерных наук, разработки ПО, ИТ или смежных отраслях с упором на кибербезопасность. Он должен иметь подтвержденные нетрадиционные результаты исследований или публикации в мировых изданиях, быть признанным специалистом в своей дисциплине, уметь работать с исследовательскими фондами и руководить исследовательскими проектами последипломного образования, магистратуры и пр. Также он должен продемонстрировать умение качественно преподавать, разрабатывать учебные программы, модули и курсы на уровне бакалавриата, магистратуры и т. д.

Будущим сотрудникам предлагается постоянная должность в кампусе Каллаган с окладом от $103 221 до $122 576, дополнительно оплачиваются 17% пенсии и отпускные. Есть социальный пакет, гибкий график работы. «Переезд в Ньюкасл дает вам возможность жить в городе, на берегу моря или рядом с бушлендом — этот регион предлагает прекрасное место для роста семьи и возможность найти баланс между работой и личной жизнью», — говорится на сайте университета.

Документы на конкурс, включая краткое резюме, принимаются до 18 октября.