По мнению парламентского комитета, Оттава должна повысить зрелость страны в области кибербезопасности, помогая малому и среднему бизнесу покупать ИТ-оборудование, а также продвигая программы обучения киберзащите после окончания средней школы.
Рекомендации являются частью доклада, опубликованного в этом месяце комитетом по общественной и национальной безопасности Палаты общин, в котором рассматривается готовность Канады противостоять угрозам со стороны России.
Хотя это было вызвано вторжением России в Украину в феврале 2022 года, многие из 21 рекомендации в 53-страничном отчете шире, чем просто отношения с Москвой.
Они включают просьбу к федеральному правительству:
– работать с правительствами провинций и территорий над созданием и продвижением аккредитованных программ обучения киберзащите после окончания средней школы. Очевидная цель — решить проблему нехватки специалистов по кибербезопасности;
— гарантировать операторам и предприятиям всех размеров, подключенным к критически важной инфраструктуре, наличие экспертов по кибербезопасности, опыта и ресурсов, необходимых им для защиты от злонамеренной киберактивности и восстановления после нее; и что они сообщают о своей способности соответствовать стандартам кибербезопасности;
— сообщить Учреждению безопасности связи (CSE), отвечающему за защиту федеральных ИТ-сетей и консультированию частного сектора через Канадский центр кибербезопасности, о расширении инструментов, используемых для обучения малых и средних предприятий необходимости принятия стандартов кибербезопасности. ;
– предпринять шаги, включая, возможно, ускоренную компенсацию капитальных затрат или другие налоговые меры, для малых и средних предприятий, чтобы сделать инвестиции, необходимые для соблюдения базовых мер контроля кибербезопасности CSE;
— изучить все масштабы поддерживаемой государством дезинформации, нацеленной на Канаду, и ежегодно сообщать о своих выводах в парламент.
В отчете также рекомендуется, чтобы правительство требовало от операторов критической инфраструктуры готовиться, предотвращать серьезные киберинциденты и сообщать о них. Не говоря уже об этом, эта рекомендация идентична предложенному законодательству, которое правительство уже представило.
Реакция на рекомендации была неоднозначной. «Хорошие идеи, — сказал Дэвид Свон, директор по киберразведке Центра стратегического киберпространства и международных исследований из Альберты, международного аналитического центра, — но для их реализации потребуются годы, и еще больше времени, чтобы увидеть результаты». Он добавил: «Я уверен, что Канаде не хватает ресурсов для реализации некоторых рекомендаций».
Подобные рекомендации этого комитета уже рассматривались ранее, и с небольшими последующими действиями, пожаловался Кристиан Леупрехт, профессор Королевского университета и старший научный сотрудник по безопасности и обороне в Институте Макдональда Лорье.
«Милосердная интерпретация, которую я бы выбрал, заключается в том, что правительство не хочет говорить об этом», — сказал он. «Это не его политическая повестка дня, поэтому это не приоритет… Это будет отвлекать от обмена сообщениями, отвлекать от политической повестки дня и, возможно, вызовет споры. Правительство меньшинства решило, что это не его приоритеты».
Фактически, добавил он, те же вопросы кибербезопасности, поднятые на слушаниях по вопросам общественной безопасности, поднимаются перед комитетом национальной обороны, который в этом году начал заседания по кибербезопасности и кибервойне. [Leuprect was a witness last Friday.] «Мы продолжаем проверять одни и те же проблемы снова и снова, и, кажется, очень трудно получить какую-либо поддержку», — сказал он.
«Трагично, что у нас есть слушания в комитете, которые очень хорошо справляются с написанием очень хороших отчетов, и теперь мы знаем, что эти отчеты, похоже, остаются глухими к канцелярии премьер-министра… Многое из того, что нам нужно сделать, чтобы сдержать Китай. ”
ИТ-мир Канады оставил телефонные и электронные сообщения председателю комитета депутату-либералу Рону Маккиннону для комментариев. Ответов не было.
Леупрехт согласился с тем, что многие рекомендации Комитета общественной безопасности по кибербезопасности расплывчаты. Но также, добавил он, «это низко висящие плоды. Это основные вещи, которыми должно заниматься правительство. И тот факт, что комитет должен указывать на них, на мой взгляд, смущает».
Он одобрительно сказал, что это единодушный отчет, но то же самое было и с отчетом о кибербезопасности финансового сектора за 2018 год от того же комитета, который, по мнению Леупрехта, не предпринял никаких действий. «Чем дольше мы бездействуем, тем больше отстаем».
Одна рекомендация, которая произвела на него впечатление, заключается в том, чтобы Оттава изучила варианты командной структуры киберзащиты между Канадой и США. «Если мы не можем заставить противников придерживаться кибернорм, нам нужно занять активную и наступательную позицию, чтобы проводить красные линии и наносить им сильные удары каждый раз, когда они их пересекают».
