Министерство внутренней безопасности США
Department of Homeland Security

Компания

Проекты (1)

Список проектов компании, известных TAdviser. Добавить проект можно здесь.

ЗаказчикПродуктТехнологияГодПроект
- Mavennet
Проекты на базе блокчейн-технологии---Описание проекта

Продукты (1)

Продукты (ит-системы) данного вендора. Добавить продукт можно здесь.

Цифровой паспорт (1 проект)

Список известных внедрений ИТ-систем в организации. Добавить проект.

ПроектИнтеграторПродуктТехнологияГод
Описание проектаБез привлечения консультанта или нет данных---

СМ. ТАКЖЕ (41)

Активы

Конечные собственники

+ Министерство внутренней безопасности США

2022: Министерство внутренней безопасности США за полгода смогло нанять только одного ИБ-специалиста

К концу мая 2022 года Министерство внутренней безопасности США (DHS) потратило семь лет на создание специальной кадровой системы для привлечения и найма специалистов по кибербезопасности. Однако за полгода работы новой системы только один сотрудник приступил к работе в департаменте. Об этом пишет издание FCW.

DHS играет ключевую роль в сфере кибербезопасности правительства США, реагируя на крупные инциденты в сфере кибербезопасности, помогая обеспечить безопасность критической инфраструктуры и т. п. Впервые полномочия на создание Системы управления талантами в сфере кибербезопасности (CTMS) были получены от Конгресса в 2014 году. Она была введена в эксплуатацию в ноябре 2021 года.

Первый новый сотрудник, нанятый с помощью этой системы, приступил к работе 23 мая 2022 года, еще один должен приступить к работе в ближайшее время. В целом, по словам Трэвиса Хоудли, директора по инновациям в Управлении главного специалиста по человеческому капиталу DHS, департамент провел от 15 до 20 "отборов" кандидатов.

Министерство внутренней безопасности США за полгода смогло нанять только одного ИБ-специалиста

Цель состоит в том, чтобы к концу финансового года в сентябре 2022 года отобрать 150 кандидатов. Эта первая группа будет работать в Агентстве по кибербезопасности и инфраструктурной безопасности (CISA) и в Управлении главного информационного директора (CIO).

«
Мы ожидали, что к этому моменту мы сделаем больше кадровых назначений и возьмем на работу больше людей, но, тем не менее, DHS придерживается цели в 150 человек, сказал Хоудли в интервью.
»

Говоря о причинах низкой скорости найма, агентство указало на необходимость повышения осведомленности о CTMS среди менеджеров по найму DHS и сотрудников кадровых служб, а также отметило, что рыночное давление оказывает влияние на найм в правительстве и за его пределами, и что острая конкуренция за таланты в области кибербезопасности также играет свою роль.

«
Самая большая проблема с CTMS до сих пор заключалась в том, чтобы "убедить людей, насколько это здорово", - сказал FCW заместитель директора CISA Нитин Натараджан. CISA работает над тем, чтобы ознакомить соискателей и менеджеров по найму с принципами работы новой системы.
»

По словам Хоудли, ожидается, что летом прием на работу "ускорится".

На данный момент департамент рассмотрел около 2 000 заявок. Большинство из них поступило от людей, уже работающих в федеральном правительстве в качестве федеральных служащих или подрядчиков, а от 10% до 15% - это действующие сотрудники DHS.

По словам Хоудли, почти половина кандидатов претендует на должности начального уровня в департаменте, хотя ожидается, что из 150 сотрудников, на которых нацелено DHS, менее половины будут начального уровня.

DHS также хочет заполнить продвинутые технические и руководящие должности, что потребует "более активной работы с нашей стороны", сказал Хоудли.

Тем не менее, департамент рассматривает возможность подключения к системе "других компонентов" DHS после найма первых 150 сотрудников в CISA и офис CIO, ожидая, что эти "другие компоненты" начнут нанимать сотрудников ближе к концу финансового года, сказал Хоудли.[1]

2021

Запуск программы по выплате $5 тыс. за найденные дыры в ИТ-системах

14 декабря 2021 года Министерство внутренней безопасности США (DHS) объявило о запуске программы, в рамках которой предлагает денежное вознаграждение за нахождение недостатков и уязвимостей в своих ИТ-системах.

В рамках инициативы этичные хакеры будут получать от $500 до $5000 за выявление уязвимостей, в зависимости от их серьезности. Департамент проверит недостатки в течение 48 часов и исправит их в течение 15 дней, а в случае сложных ошибок разрабатывает план действий в течение этого периода.

Министерство внутренней безопасности США начинает платить по $5 тыс. за найденные дыры в своих ИТ-системах
«
Мы сосредоточены не только на защите и повышении кибербезопасности частного сектора и федерального правительства в целом, но, конечно, мы, как департамент, должны подавать пример, и поэтому мы очень сосредоточены на выявлении уязвимостей и устранении этих уязвимостей, - сказал Майоркас.
»

DHS позже, чем некоторые другие федеральные агентства, присоединился к тенденции поощрения нахождения ошибок: министерство обороны (DOD) инициировало пилотную программу «Взломайте Пентагон» еще в 2016 году. IRS в том же году начала первую гражданскую программу федерального агентства по поощрению нахождения уязвимостей.

В январе 2019 года президент Дональд Трамп подписал закон, предписывающий DHS в течение шести месяцев разработать программу вознаграждения за обнаружение ошибок. Хотя Майоркас не сказал, сколько денег будет стоить «Взлом DHS», Бюджетное управление Конгресса подсчитало, что один год пилотной программы в соответствии с этим законодательством будет стоить $250 тыс.

«
Мы действительно вкладываем много денег, а также уделяем внимание этой программе, - сказал Майоркас о потенциально постоянной инициативе. Программа будет действовать в течение 2022 финансового года, который начался в октябре 2021, согласно объявлению DHS.
»

Согласно статистике, DOD за время своего существования подобной программы получила более 29 тыс. отчетов об уязвимостях, 70% из которых были подтверждены Министерством обороны.[2]

Уровень зарплат ИБ-специалистов министерства приближен к зарплате вице-президента

В середине ноября 2021 года министерство внутренней безопасности США объявило о новой системе, которая поможет набирать, развивать и переподготавливать специалистов по кибербезопасности в федеральном правительстве страны. Диапазон зарплат имеет нижний порог зарплаты вице-президента в размере $255 тыс.

Новая система набора персонала, получившая название Система управления талантами в области кибербезопасности (CTMS), запускается на фоне напряженного рынка труда для специалистов по информационной безопасности, которые пользуются чрезвычайно высоким спросом на рынке и поэтому могут получать большие зарплаты. Обеспечения информационной безопасности, это всего лишь один федеральный департамент, но он играет особую роль в реагировании на крупные кибератаки на критически важную инфраструктуру США. Министерство надеется, что новая система поможет ему найти и удержать талантливых специалистов на критически важных должностях, с целью нанять 150 приоритетных специалистов в 2022 году.

Министерство внутренней безопасности США устанавливает ИБ-специалистам зарплаты как у вице-президента

Как следует из сообщения от Министерства внутренней безопасности, CTMS позволит заполнить критически важные должности в сфере кибербезопасности путем отбора кандидатов на основе продемонстрированных компетенций, конкурентной компенсации сотрудников и сокращения времени, необходимого для приема на работу в департамент. Первыми должностями, которые будут заполнены с помощью системы, станут высокоприоритетные должности в Агентстве по кибербезопасности и безопасности инфраструктуры и в Главном управлении информационной безопасности США. Затем, в 2022 году, вакансии Службы кибербезопасности будут доступны в нескольких агентствах.

«
Поскольку наша страна продолжает сталкиваться с меняющимся ландшафтом угроз, мы не можем полагаться только на традиционные инструменты найма для заполнения критически важных вакансий. Эта новая система CTMS позволит нашему департаменту лучше конкурировать за профессионалов в области кибербезопасности и оставаться достаточно гибким, чтобы соответствовать требованиям нашей важнейшей миссии кибербезопасности, - сказала директор по кибербезопасности Агентства национальной безопасности США Анна Нойбергер (Anna Neuberger).
»

Диапазон зарплат из системы CTMS имеет нижний порог зарплаты вице-президента страны в размере $255 тыс. в 2021 году, а верхний порог составит $332 тыс. На ноябрь 2021 года министерство набирает сотрудников на различные должности, связанные с кибербезопасностью, включая реагирование на инциденты, анализ рисков, выявление и оценку уязвимостей, разведку и расследования, инженера по сетям и системам, криминалиста и специалиста по обеспечению безопасности программного обеспечения.[3]

2020: Покупка данных о местоположении миллионов мобильных телефонов

В феврале 2020 года стало известно о том, что министерство внутренней безопасности США и подконтрольные агентства используют огромный репозиторий данных о местоположении миллионов мобильных телефонов для осуществления иммиграционного контроля.

Как пишет The Wall Street Journal (WSJ), американские власти купили геолокационные сведения у компании Venntel, которая, по данным газеты, сотрудничает с правительством по меньшей мере с 2017 года.

Министерство внутренней безопасности США и подконтрольные агентства используют огромный репозиторий данных о местоположении миллионов мобильных телефоно

Venntel не собирала данные самостоятельно, а закупала их у маркетинговых агентств, которые, в свою очередь, предположительно, получали из игр, сервисов электронной коммерции и систем отслеживания погоды, которые запрашивали у пользователей разрешение регистрировать свое местоположение во время установки.

В Venntel подтвердили изданию, что министерство внутренней безопасности США является одним из клиентов, но отказались давать информативные комментарии.

По сведениям WSJ, на основе полученной от Venntel информации были произведены аресты. Геоданные помогли спецслужбам выяснить, где была пересечена граница, и отследить конкретных людей. В публикации отмечается, что американские спецслужбы часто используют коммерческие базы данных для отслеживания перемещений людей возле границы с Мексикой.

В 2018 году Верховный суд США вынес решение о том, что американское правительство не имеет права отслеживать перемещения людей по положению их мобильного телефона без постановления суда. Таким образом, правительство Трампа нашло в сотрудничестве с Venntel и другими подобными компаниями легальную лазейку, чтобы продолжать получать информацию.

Представитель Таможенно-пограничной службы США (US Customs and Border Protection) заявил WSJ, что данные о местоположении телефонов «не фиксируются в массовом порядке».[4]

2019: МНБ США требует от гражданских учреждений создать политики раскрытия уязвимостей

Министерство внутренней безопасности США опубликовало проект под названием Binding Operational Directive (BOD), обязывающий гражданские ведомства создавать программы для работы с привлеченными со стороны исследователями безопасности для нахождения и исправления уязвимостей в программном обеспечении на web-сайтах и ​​в приложениях[5][6].

Согласно проекту приказа, гражданским ведомствам необходимо сформировать политики раскрытия уязвимостей (vulnerability disclosure policies, VDP) в течение шести месяцев после публикации документа. Данные политики распространены в частном секторе, но практически не встречаются в правительственных организациях.

«
«Стремясь к общественному обсуждению, мы также понимаем, что требование к отдельным предприятиям придерживаться политики раскрытия информации об уязвимостях никогда ранее не выполнялось и, конечно же, не в таких масштабах», — сообщила заместитель директора CISA по кибербезопасности Жанетт Манфра (Jeanette Manfra).
»

Данные изменения в работе гражданских ведомств также будут координироваться Административно-бюджетным управлением США, которое выпустило собственное руководство для учреждений, готовящихся к формированию VDP.

2018: Запуск центра киберзащиты критически важной инфраструктуры

31 июля 2018 года министерство национальной безопасности США объявило о создании организации National Risk Management Center, задачей которой станет защита национальных банков, энергетических компаний и других отраслей промышленности от серьезных кибератак, способных нанести вред критически важной инфраструктуре. Подробнее здесь.

2017: В США создадут агентство по кибербезопасности

Агентство по кибербезопасности и безопасности инфраструктуры будет сформировано в США. Соответствующий проект закона большинством голосов приняла в декабре 2017 года Палата представителей[7].

Структура будет создана на основе отдельных подразделений Министерства внутренней безопасности США. В документе отмечается, что «главной задачей агентства станет защита и повышение безопасности и устойчивости кибербезопасности США, связи в случае чрезвычайных ситуаций и критически важной инфраструктуры».

Глава ведомства Кирстен Нильсен, комментируя принятие проекта закона, подчеркнула, что формирование подобной структуры сейчас актуально, как никогда ранее. «Я призываю Сенат принять аналогичное законодательство. Как показывают события (взрыв в Нью-Йорке), критически важная инфраструктура нашей страны часто может быть главной мишенью для разных врагов США, включая террористов, зарубежные государства и других негосударственных субъектов, хакеров и обычных преступников», –заявила она.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT