5
Примеры существующих и необходимых практических методов обеспечения кибербезопасности и защиты данных в области наук о жизни

Пятый семинар, состоявшийся 15 июня 2023 года, был посвящен изучению существующих практических методов обеспечения безопасности и связанных с этим проблем, обсуждению необходимых практических методов обеспечения кибербезопасности, защиты данных и информации, а также изучению различий в рисках и практиках в разных учреждениях и областях деятельности.

УПРАВЛЕНИЕ КИБЕРРИСКАМИ В ПРОЦЕССЕ ИССЛЕДОВАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ НАУК О ЖИЗНИ

Гаутам Венугопалан (компания Gryphon Scientific, США) подготовил почву для обсуждений, представив обзор вопросов управления киберрисками в процессе исследовательской деятельности в области наук о жизни. Согласно определению Национального института стандартов и технологий США (без указания даты), кибербезопасность — это «предотвращение повреждения компьютеров, их защита и восстановление ... включая хранящуюся в них информацию, для обеспечения ее доступности, целостности, аутентификации, конфиденциальности и предотвращения отказа в доступе». Три основополагающих принципа кибербезопасности – это конфиденциальность, целостность и доступность данных (рис. 2). По мнению Венугопалана, конфиденциальность требует сохранения определенных данных в тайне или безопасности, целостность –точности и неискаженности данных для обеспечения их полезности, а доступность предполагает доступность данных для обеспечения нормальной работы организации. По его словам, в сценариях

«открытой науки» конфиденциальность не является проблемой, но данные должны сохранять свою целостность и доступность, чтобы можно было избежать нарушения целостности исследований, получения недостоверных результатов или потери доступа.

К сожалению, число инцидентов, связанных с кибербезопасностью, растет, сказал Венугопалан, и их последствия могут представлять серьезную угрозу как здоровью и безопасности отдельных людей, так и интересам компаний (Check Point Research Team, 2022).

Имели место резонансные случаи кибератак, приводившие к нарушениям в работе фармацевтических предприятий и демонстрировавшие возможность внесения изменений в данные исследований вакцин или удаленного управления физической инфраструктурой лабораторий (EMA, 2021; MDL, 2017; Osborne, 2021). По словам Венугопалана, подобные примеры должны настораживать исследователей в области наук о жизни, поскольку атаки на исследовательские активы – от образцов до данных и подключенного к Интернету оборудования, включая персональные

смартфоны, – могут привести к утрате научных достижений или затормозить исследования, снизить уровень безопасности на рабочем месте, нарушить конфиденциальность, создать возможность неправомерного использования данных, а также привести к финансовым потерям или потерям в области интеллектуальной собственности. Они также могут подорвать доверие общества к науке и привести к сбоям в работе всей отрасли.

Для противодействия этим угрозам и сохранения конфиденциальности, целостности и доступности данных, как подчеркнул Венугопалан, значение имеют четыре структурных элемента кибербезопасности: непрерывная и итеративная практика кибергигиены, идентификация активов, разработка сценариев для выявления проблем и системы контроля для снижения рисков (рис. 3). Эти четыре подхода основаны на идентификации и защите активов, обнаружении атак и реагировании на них, а также на разработке процессов восстановления деятельности. В совокупности они могут быть использованы для определения текущего профиля безопасности организации, ее целевого профиля и потребностей в принятии решений; распознавания угроз и факторов уязвимости и реагирования на них; обучения персонала; проведения оценки рисков для принятия решений о распределении ресурсов.

По словам Венугопалана, практика кибергигиены — это фундаментальные средства контроля, которые должна внедрить каждая организация, независимо от сектора, к которому она относится, и от ее размера, прежде чем добавлять более сложные средства контроля. Такие практические подходы, как обучение персонала, многофакторная аутентификация, шифрование данных, архитектура c нулевым доверием, управление оконечными устройствами и стратегии резервного копирования (раздельного и с ограниченным доступом), являются наиболее простыми в реализации и защищают от широкого спектра распространенных атак. Существуют качественные готовые системы кибергигиены и оценки рисков, например, Center for Internet Security Controls (Центр средств контроля для обеспечения безопасности в Интернете), версия 8. Венугопалан отметил, что Dropbox и iCloud широко используются академическими исследователями для облегчения обмена данными и оснащены средствами защиты, однако при использовании таких

сервисов исследователи должны согласовать соответствующие правила контроля доступа, использования и обмена данными.

Для определения того, какие данные или средства нуждаются в наивысшем уровне защиты, необходимо сотрудничество между исследователями и ИТ-персоналом, подчеркнул Венугопалан. К сожалению, продолжил он, абсолютно надежной системы не существует, поскольку в ходе большинства успешных кибератак на каком-либо этапе используется человеческий фактор. Человеческое поведение можно улучшить только с помощью обучения, в рамках которого основное внимание уделяется конфиденциальности, целостности и доступности данных и создаются каналы для распознавания атак. Кроме того, Венугопалан отметил, что очень важно удобство использования системы, поскольку если системы доступа к данным и организации работы с ними слишком сложны или трудны в использовании, люди будут искать способы обойти их, чтобы иметь возможность эффективно выполнять свою работу. Не существует единого подхода или единой системы, которые подходили бы для всех учреждений или условий работы. «У каждого учреждения своя культура, свои ресурсы, свои нормы, – говорит Венугопалан. – Люди должны разрабатывать такую систему, которая бы их устраивала».

ПОНИМАНИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Триша Тухолски (Национальные академии наук, инженерии и медицины США) привела пример, в котором рассматривается одна из общих проблем в области безопасности данных – человеческий фактор. Отметив, что многие участники семинара находятся на передовом рубеже исследований в области наук о жизни и обеспечения кибербезопасности, Тухолски подчеркнула, что люди являются самым главным активом организации и самым слабым звеном в системе ее безопасности. Это объясняется тем, что злоумышленники могут манипулировать людьми, заставляя их разглашать информацию с помощью социальной инженерии, которая использует психологию человека, а не технологии (Dinha, 2023).

или несоответствий и быстро выполнит просьбу, предоставив злоумышленнику доступ к информации или системам, которые должны быть надежно защищены.

Тухолски считает, что для повышения осведомленности о фишинге и формирования у сотрудников навыков распознавания подозрительных сообщений необходимо проводить обучение. Она отметила, что следует внимательно относиться к неожиданным сообщениям, поступившим с неизвестных электронных адресов, особенно если они кажутся срочными. В случае сомнений лучше всего проверить личность отправителя альтернативным способом, например, провести самостоятельный поиск в Интернете или попытаться связаться с предполагаемым отправителем по другим каналам, например, по телефону или по каналу видеосвязи. Кроме того, необходимо избегать передачи информации для входа в систему, инициирования финансовых операций, перехода по ссылкам или загрузки вложений, полученных с незнакомых или подозрительных адресов электронной почты. Однако даже несмотря на самое тщательное обучение любого человека можно обмануть. Злоумышленники становятся все более изощренными, а растущая цифровизация повседневной жизни требует от каждого человека, особенно от сотрудников лабораторий и компаний, работающих с конфиденциальными или служебными данными, быть более бдительными и избегать фишинговых атак.

ВОПРОСЫ ЗАЩИТЫ ДАННЫХ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ЦЕНТРАЛЬНОЙ АЗИИ

Кавита Бергер (Национальные академии США) выступила модератором дискуссии, в ходе которой были рассмотрены существующие практические подходы к обеспечению кибербезопасности и связанные с этим проблемы, обсуждены примеры необходимых практических подходов к обеспечению кибербезопасности, защиты данных и информации, а также проанализированы различия в рисках и практиках для разных типов учреждений и сфер деятельности. Эти вопросы становятся все более актуальными для ученых, которые могут получать сообщения в рамках фишинговых атак под видом регистрации для участия в конференциях, запросов на публикацию или приглашений в социальные сети, что может создавать угрозу для их работы и работы

их коллег. Участники обсудили важность обучения по вопросам кибербезопасности, предложили несколько областей, в которых есть потребность в обеспечении кибербезопасности, а также поделились информацией о трудностях, связанных с обеспечением баланса между обменом данными и безопасностью и информированием о рисках тех, кто не является представителем научных кругов. Некоторые участники также отметили, что ресурсы, упомянутые в ходе семинара, могут помочь исследователям в области наук о жизни преодолеть эти общие проблемы в сфере кибербезопасности.

Важность обучения по вопросам кибербезопасности

Несколько участников подчеркнули важность постоянного обучения методам кибергигиены, оценки рисков и защиты данных в целях сохранения бдительности всех, кто принимает участие в исследованиях в области наук о жизни – от студентов до опытных ученых. Они отметили, что защита данных важна и при работе с данными, находящимися в открытом доступе. Фишинговые атаки могут быть очень настойчивыми и проникать через самые надежные средства защиты. Венугопалан предупредил, что лучший способ борьбы с подозрительными или неожиданными электронными письмами – это их немедленное удаление. Даже если просто прочитать электронное сообщение, даже не переходя по приведенной в нем ссылке или не отвечая на него, это может открыть путь для кибератаки.

Дамира Аширалиева (Национальный научно-практический центр, Министерство здравоохранения Кыргызстана) заявила, что ученые в ее стране становятся все более бдительными в отношении угрозы кибератак. Она отметила, что с подозрением отнеслась к приглашению на данную серию семинаров и убедилась в его подлинности только после того, как получила дополнительную информацию непосредственно от Тухолски. Она также отметила, что при департаменте здравоохранения страны действует комитет по этике, который контролирует все исследования и механизмы защиты данных, предусматривает обучение экспертов и включает вопросы биоэтики, чтобы идти в ногу с быстрым развитием науки.

Янн Джоли (университет Макгилла, Канада) сказал, что в канадских университетах специалистов по кибербезопасности,

которые могут изучать биоинформационные, этические и юридические компоненты данных, стали набирать совсем недавно, и ситуация варьируется в зависимости от проекта и учебного заведения. Хотя академические комитеты по этике существуют, они создавались в условиях физических рисков и, по его словам, не спешат учитывать знания и навыки в области анализа данных и процессов.

Как отметила Мехринисо Рустамова из Национальной академии наук Таджикистана, в Таджикистане решение вопросов кибербезопасности также находится на начальном этапе, и в ближайшее время академия проведет конференцию по кибербезопасности в целях обучения научных кадров. В то же время, у Национального совета по биоэтике Таджикистана имеется хорошо отлаженная, строгая и успешно зарекомендовавшая себя процедура утверждения проектов.

Проблемы и возможности в области кибербезопасности

Вэй Чжэн (Медицинский центр Университета Вандербильта) предложил расширить существующие системы, обеспечивающие верификацию результатов, чтобы снизить риск использования данных не по назначению и повысить доверие к общедоступным хранилищам данных. Бергер добавила, что общедоступные хранилища могут также привести к тому, что данные будут использоваться для целей, которые не предполагались исследователями, в том числе во вред людям, животным, растениям и окружающей среде. Эту обеспокоенность разделила Аширалиева, которая отметила, что, хотя законодательство Кыргызстана и Национальный совет по биоэтике четко определяют, кто может участвовать в обмене информацией и какая информация может предоставляться, данные, используемые в рамках глобальных механизмов сотрудничества, могут стать доступными неизвестным исследователям и использоваться в неизвестных целях.

Джоли отметил, что в дополнение к расширению практики кибербезопасности определенную роль в защите открытых данных и обеспечении их целостности играют юридические контракты. Например, инструменты, разработанные Глобальным альянсом по геномике и здравоохранению, чтобы помочь ученым безопасно, законно и этично обмениваться данными и интегрировать их,

являются бесплатными и открытыми, но предусматривают лицензирование прав интеллектуальной собственности для защиты от последующего внесения изменений или злоупотреблений.

Обеспечение баланса

Венугопалан заявил, что обеспечение баланса между желанием открыто обмениваться данными и использовать их, с одной стороны, и возможностью непредвиденных последствий такого обмена и использования, с другой, связан не столько с кибербезопасностью, сколько с ценностями и приоритетами лабораторий или механизмов сотрудничества, а также с тем, как они оценивают соответствующие риски и выгоды. Хотя использование средств обеспечения безопасности – от методов кибергигиены до лицензирования и юридических договоров – имеет большое значение, он считает, что это вряд ли остановит злоумышленников. Поэтому вопрос о том, стоит ли делиться данными и как это делать, должен обсуждаться постоянно, и походы к его решению могут меняться с развитием науки.

Джоли согласился с тем, что каждая исследовательская группа может самостоятельно принимать решения о том, как лучше защищать данные на каждом этапе – от формирования массива данных до их хранения и обмена ими. Он добавил, что на эти решения могут влиять обстоятельства, отметив, что соображения срочности во время COVID-19 иногда перевешивали мнения тех, кто предлагал более осторожно подходить к анализу потенциальных неточностей в данных и их дальнейших последствий.

Как отметила Бергер, вопрос о том, как сбалансировать различные риски и выгоды от использования разных типов данных и методов обмена ими, обсуждается в США уже давно. Например, термин «вызывающие озабоченность исследования двойного назначения» означает исследования, проводимые в мирных целях, которые могут быть использованы лицами с преступными намерениями причинения вреда. Всемирная организация здравоохранения (2010, 2022а) наряду со многими другими организациями предлагает советы, помогающие ученым и правительствам понять риски и выгоды, связанные с такой работой. По ее словам, на самом деле задача заключается в осуществлении

ответственных инноваций, которые позволяют признать и устранить риски и получить максимальную выгоду, продолжая при этом создавать глобальные механизмы сотрудничества и развивать науку. Эта задача становится все более сложной, поскольку национальные и международные правила внезапно пересекались или вступали в противоречие друг с другом, создавая препятствия для устранения последствий чрезвычайных ситуаций в области общественного здравоохранения или развития науки. Например, во время пандемии ограничения, предусмотренные Общим положением о защите данных, препятствовали сбору человеческих образцов, необходимых для обнаружения и отслеживания вируса SARS-CoV-2, поскольку при секвенировании этих образцов также может быть получен генетический материал человека, вследствие чего возникают опасения по поводу сохранения конфиденциальности в отношении отдельных лиц. Она указала на один из часто упоминаемых советов, который заключается в том, что глобальным организациям здравоохранения следовало бы призывать исследователей защищать цифровые данные так же тщательно и правомерно, как они защищают физические образцы, и добавила, что страны могут усиливать меры по поддержке открытых, прозрачных исследований, предотвращая нанесение ущерба в результате несанкционированного или незаконного доступа к данным.

Доведение информации о рисках до лиц, не являющихся представителями научных кругов

Рита Гюнтер (Национальные академии США) отметила, что исследователи в США испытывают трудности с доведением информации о рисках до тех, кто не является представителями научных кругов, особенно до лиц, принимающих решения, у которых зачастую совершенно иные приоритеты. Одной из мер, принятых в ответ на серию биологических терактов с использованием сибирской язвы в 2001 году стало создание Национального научного консультативного совета по биобезопасности (National Science Advisory Board for Biosecurity, NSABB) – группы ученых и представителей академических кругов, которые проводят обсуждения с государственными руководителями, с другими исследователями по вопросам обеспечения баланса между рисками и выгодами в некоторых областях науки, таких как биобезопасность и

работа по проблемам мутации с повышением вирулентности. Она высказала мнение, что руководители стран Центральной Азии, возможно, сочтут приемлемой для применения стратегию NSABB, в которой основное внимание уделяется пониманию рисков, доведению информации о них и внедрению процессов непрерывной оценки рисков. Аширалиева согласилась с этим мнением и отметила, что Кыргызстан организует межсекторальное сотрудничество для преодоления таких кризисов, как COVID-19 и других чрезвычайных эпидемиологических ситуаций.

Примером другой потенциальной модели информирования, добавила Бергер, является Международный конкурс по генноинженерным машинам (International Genetically Engineered Machine, iGEM), который интегрирует информирование о рисках в более широкий контекст научной ответственности. iGEM проводит ежегодный студенческий конкурс по синтетической биологии, в котором особое внимание уделяется оценке рисков, безопасности, защите данных и этике. Кроме того, Межакадемическое партнерство (InterAcademy Partnership) и Национальные академии США помогают зарубежным и отечественным ученым анализировать исследования двойного назначения, выявлять проблемы биобезопасности и внедрять передовые методы обеспечения безопасности, отметила она.

ИТОГИ ОБСУЖДЕНИЯ

Семинар позволил обратить внимание на то важное значение, которое эффективные практические подходы к обеспечению кибербезопасности имеют для исследователей в области наук о жизни в решении общих для них проблем. Самый ценный актив организации – это ее сотрудники, и они же являются самым слабым звеном ее безопасности. Участники семинара обсудили, как можно ознакомить студентов и исследователей с рисками кибербезопасности и научить их использовать соответствующие методы и средства защиты.