Министерство внутренней безопасности США
Department of Homeland Security

Компания

ПЕРСОНЫ (1) ПРОЕКТЫ (1) ПРОДУКТ (1)
Цифровой паспорт (1) СМ. ТАКЖЕ (41)
11.11.24Багхантеры (Bughunter) Bug bounty Поиск уязвимостей
08.11.24Кибервойна России и США
06.11.24Бизнес Kaspersky в Европе
17.10.24Бизнес Kaspersky в США
16.10.24Цензура (контроль и анонимность) в интернете. Мировой опыт
10.10.24Санкции против России
12.09.24DJI
15.08.24Вирусы-вымогатели (шифровальщики) в США
08.08.24Искусственный интеллект в США
05.08.24БПЛА в США
29.05.24Потери банков от киберпреступности
22.05.24Рынок труда в странах мира (ИТ и телеком)
13.03.24Киберпреступность и киберконфликты : США
11.12.23Техас (штат США)
23.11.23ФБР (FBI)
01.09.23Департамент сельского хозяйства США
31.08.23Государственный департамент США (U.S. State Department)
03.07.23Информационная безопасность в США
26.04.23Киберпреступность и киберконфликты : Китай
06.04.23Системы распознавания лиц (Facial recognition)
10.02.23Baxter International
21.07.22Cybersecurity and Infrastructure Security Agency (CISA)
06.07.22Защита персональных данных в странах мира
15.06.22Блокчейн (Blockchain)
21.04.22Соединенные Штаты Америки (США)
10.12.21Evernym
08.12.21Система управления талантами Министерства внутренней безопасности США (CTMS)
06.01.21Грависс Мэтью (Matthew Graviss)
28.10.20Госдеп внедряет SD-WAN за $711 млн
06.10.20Centripetal Networks

<< < 1 2 > >>

Активы

Конечные собственники

+ Министерство внутренней безопасности США

2022: Министерство внутренней безопасности США за полгода смогло нанять только одного ИБ-специалиста

К концу мая 2022 года Министерство внутренней безопасности США (DHS) потратило семь лет на создание специальной кадровой системы для привлечения и найма специалистов по кибербезопасности. Однако за полгода работы новой системы только один сотрудник приступил к работе в департаменте. Об этом пишет издание FCW.

DHS играет ключевую роль в сфере кибербезопасности правительства США, реагируя на крупные инциденты в сфере кибербезопасности, помогая обеспечить безопасность критической инфраструктуры и т. п. Впервые полномочия на создание Системы управления талантами в сфере кибербезопасности (CTMS) были получены от Конгресса в 2014 году. Она была введена в эксплуатацию в ноябре 2021 года.

Первый новый сотрудник, нанятый с помощью этой системы, приступил к работе 23 мая 2022 года, еще один должен приступить к работе в ближайшее время. В целом, по словам Трэвиса Хоудли, директора по инновациям в Управлении главного специалиста по человеческому капиталу DHS, департамент провел от 15 до 20 "отборов" кандидатов.

Министерство внутренней безопасности США за полгода смогло нанять только одного ИБ-специалиста

Цель состоит в том, чтобы к концу финансового года в сентябре 2022 года отобрать 150 кандидатов. Эта первая группа будет работать в Агентстве по кибербезопасности и инфраструктурной безопасности (CISA) и в Управлении главного информационного директора (CIO).

«
Мы ожидали, что к этому моменту мы сделаем больше кадровых назначений и возьмем на работу больше людей, но, тем не менее, DHS придерживается цели в 150 человек, сказал Хоудли в интервью.
»

Говоря о причинах низкой скорости найма, агентство указало на необходимость повышения осведомленности о CTMS среди менеджеров по найму DHS и сотрудников кадровых служб, а также отметило, что рыночное давление оказывает влияние на найм в правительстве и за его пределами, и что острая конкуренция за таланты в области кибербезопасности также играет свою роль.

«
Самая большая проблема с CTMS до сих пор заключалась в том, чтобы "убедить людей, насколько это здорово", - сказал FCW заместитель директора CISA Нитин Натараджан. CISA работает над тем, чтобы ознакомить соискателей и менеджеров по найму с принципами работы новой системы.
»

По словам Хоудли, ожидается, что летом прием на работу "ускорится".

На данный момент департамент рассмотрел около 2 000 заявок. Большинство из них поступило от людей, уже работающих в федеральном правительстве в качестве федеральных служащих или подрядчиков, а от 10% до 15% - это действующие сотрудники DHS.TAdviser выпустил Гид по российским операционным системам 10.2 т

По словам Хоудли, почти половина кандидатов претендует на должности начального уровня в департаменте, хотя ожидается, что из 150 сотрудников, на которых нацелено DHS, менее половины будут начального уровня.

DHS также хочет заполнить продвинутые технические и руководящие должности, что потребует "более активной работы с нашей стороны", сказал Хоудли.

Тем не менее, департамент рассматривает возможность подключения к системе "других компонентов" DHS после найма первых 150 сотрудников в CISA и офис CIO, ожидая, что эти "другие компоненты" начнут нанимать сотрудников ближе к концу финансового года, сказал Хоудли.[1]

2021

Запуск программы по выплате $5 тыс. за найденные дыры в ИТ-системах

14 декабря 2021 года Министерство внутренней безопасности США (DHS) объявило о запуске программы, в рамках которой предлагает денежное вознаграждение за нахождение недостатков и уязвимостей в своих ИТ-системах.

В рамках инициативы этичные хакеры будут получать от $500 до $5000 за выявление уязвимостей, в зависимости от их серьезности. Департамент проверит недостатки в течение 48 часов и исправит их в течение 15 дней, а в случае сложных ошибок разрабатывает план действий в течение этого периода.

Министерство внутренней безопасности США начинает платить по $5 тыс. за найденные дыры в своих ИТ-системах
«
Мы сосредоточены не только на защите и повышении кибербезопасности частного сектора и федерального правительства в целом, но, конечно, мы, как департамент, должны подавать пример, и поэтому мы очень сосредоточены на выявлении уязвимостей и устранении этих уязвимостей, - сказал Майоркас.
»

DHS позже, чем некоторые другие федеральные агентства, присоединился к тенденции поощрения нахождения ошибок: министерство обороны (DOD) инициировало пилотную программу «Взломайте Пентагон» еще в 2016 году. IRS в том же году начала первую гражданскую программу федерального агентства по поощрению нахождения уязвимостей.

В январе 2019 года президент Дональд Трамп подписал закон, предписывающий DHS в течение шести месяцев разработать программу вознаграждения за обнаружение ошибок. Хотя Майоркас не сказал, сколько денег будет стоить «Взлом DHS», Бюджетное управление Конгресса подсчитало, что один год пилотной программы в соответствии с этим законодательством будет стоить $250 тыс.

«
Мы действительно вкладываем много денег, а также уделяем внимание этой программе, - сказал Майоркас о потенциально постоянной инициативе. Программа будет действовать в течение 2022 финансового года, который начался в октябре 2021, согласно объявлению DHS.
»

Согласно статистике, DOD за время своего существования подобной программы получила более 29 тыс. отчетов об уязвимостях, 70% из которых были подтверждены Министерством обороны.[2]

Уровень зарплат ИБ-специалистов министерства приближен к зарплате вице-президента

В середине ноября 2021 года министерство внутренней безопасности США объявило о новой системе, которая поможет набирать, развивать и переподготавливать специалистов по кибербезопасности в федеральном правительстве страны. Диапазон зарплат имеет нижний порог зарплаты вице-президента в размере $255 тыс.

Новая система набора персонала, получившая название Система управления талантами в области кибербезопасности (CTMS), запускается на фоне напряженного рынка труда для специалистов по информационной безопасности, которые пользуются чрезвычайно высоким спросом на рынке и поэтому могут получать большие зарплаты. Обеспечения информационной безопасности, это всего лишь один федеральный департамент, но он играет особую роль в реагировании на крупные кибератаки на критически важную инфраструктуру США. Министерство надеется, что новая система поможет ему найти и удержать талантливых специалистов на критически важных должностях, с целью нанять 150 приоритетных специалистов в 2022 году.

Министерство внутренней безопасности США устанавливает ИБ-специалистам зарплаты как у вице-президента

Как следует из сообщения от Министерства внутренней безопасности, CTMS позволит заполнить критически важные должности в сфере кибербезопасности путем отбора кандидатов на основе продемонстрированных компетенций, конкурентной компенсации сотрудников и сокращения времени, необходимого для приема на работу в департамент. Первыми должностями, которые будут заполнены с помощью системы, станут высокоприоритетные должности в Агентстве по кибербезопасности и безопасности инфраструктуры и в Главном управлении информационной безопасности США. Затем, в 2022 году, вакансии Службы кибербезопасности будут доступны в нескольких агентствах.

«
Поскольку наша страна продолжает сталкиваться с меняющимся ландшафтом угроз, мы не можем полагаться только на традиционные инструменты найма для заполнения критически важных вакансий. Эта новая система CTMS позволит нашему департаменту лучше конкурировать за профессионалов в области кибербезопасности и оставаться достаточно гибким, чтобы соответствовать требованиям нашей важнейшей миссии кибербезопасности, - сказала директор по кибербезопасности Агентства национальной безопасности США Анна Нойбергер (Anna Neuberger).
»

Диапазон зарплат из системы CTMS имеет нижний порог зарплаты вице-президента страны в размере $255 тыс. в 2021 году, а верхний порог составит $332 тыс. На ноябрь 2021 года министерство набирает сотрудников на различные должности, связанные с кибербезопасностью, включая реагирование на инциденты, анализ рисков, выявление и оценку уязвимостей, разведку и расследования, инженера по сетям и системам, криминалиста и специалиста по обеспечению безопасности программного обеспечения.[3]

2020: Покупка данных о местоположении миллионов мобильных телефонов

В феврале 2020 года стало известно о том, что министерство внутренней безопасности США и подконтрольные агентства используют огромный репозиторий данных о местоположении миллионов мобильных телефонов для осуществления иммиграционного контроля.

Как пишет The Wall Street Journal (WSJ), американские власти купили геолокационные сведения у компании Venntel, которая, по данным газеты, сотрудничает с правительством по меньшей мере с 2017 года.

Министерство внутренней безопасности США и подконтрольные агентства используют огромный репозиторий данных о местоположении миллионов мобильных телефоно

Venntel не собирала данные самостоятельно, а закупала их у маркетинговых агентств, которые, в свою очередь, предположительно, получали из игр, сервисов электронной коммерции и систем отслеживания погоды, которые запрашивали у пользователей разрешение регистрировать свое местоположение во время установки.

В Venntel подтвердили изданию, что министерство внутренней безопасности США является одним из клиентов, но отказались давать информативные комментарии.

По сведениям WSJ, на основе полученной от Venntel информации были произведены аресты. Геоданные помогли спецслужбам выяснить, где была пересечена граница, и отследить конкретных людей. В публикации отмечается, что американские спецслужбы часто используют коммерческие базы данных для отслеживания перемещений людей возле границы с Мексикой.

В 2018 году Верховный суд США вынес решение о том, что американское правительство не имеет права отслеживать перемещения людей по положению их мобильного телефона без постановления суда. Таким образом, правительство Трампа нашло в сотрудничестве с Venntel и другими подобными компаниями легальную лазейку, чтобы продолжать получать информацию.

Представитель Таможенно-пограничной службы США (US Customs and Border Protection) заявил WSJ, что данные о местоположении телефонов «не фиксируются в массовом порядке».[4]

2019: МНБ США требует от гражданских учреждений создать политики раскрытия уязвимостей

Министерство внутренней безопасности США опубликовало проект под названием Binding Operational Directive (BOD), обязывающий гражданские ведомства создавать программы для работы с привлеченными со стороны исследователями безопасности для нахождения и исправления уязвимостей в программном обеспечении на web-сайтах и ​​в приложениях[5][6].

Согласно проекту приказа, гражданским ведомствам необходимо сформировать политики раскрытия уязвимостей (vulnerability disclosure policies, VDP) в течение шести месяцев после публикации документа. Данные политики распространены в частном секторе, но практически не встречаются в правительственных организациях.

«
«Стремясь к общественному обсуждению, мы также понимаем, что требование к отдельным предприятиям придерживаться политики раскрытия информации об уязвимостях никогда ранее не выполнялось и, конечно же, не в таких масштабах», — сообщила заместитель директора CISA по кибербезопасности Жанетт Манфра (Jeanette Manfra).
»

Данные изменения в работе гражданских ведомств также будут координироваться Административно-бюджетным управлением США, которое выпустило собственное руководство для учреждений, готовящихся к формированию VDP.

2018: Запуск центра киберзащиты критически важной инфраструктуры

31 июля 2018 года министерство национальной безопасности США объявило о создании организации National Risk Management Center, задачей которой станет защита национальных банков, энергетических компаний и других отраслей промышленности от серьезных кибератак, способных нанести вред критически важной инфраструктуре. Подробнее здесь.

2017: В США создадут агентство по кибербезопасности

Агентство по кибербезопасности и безопасности инфраструктуры будет сформировано в США. Соответствующий проект закона большинством голосов приняла в декабре 2017 года Палата представителей[7].

Структура будет создана на основе отдельных подразделений Министерства внутренней безопасности США. В документе отмечается, что «главной задачей агентства станет защита и повышение безопасности и устойчивости кибербезопасности США, связи в случае чрезвычайных ситуаций и критически важной инфраструктуры».

Глава ведомства Кирстен Нильсен, комментируя принятие проекта закона, подчеркнула, что формирование подобной структуры сейчас актуально, как никогда ранее. «Я призываю Сенат принять аналогичное законодательство. Как показывают события (взрыв в Нью-Йорке), критически важная инфраструктура нашей страны часто может быть главной мишенью для разных врагов США, включая террористов, зарубежные государства и других негосударственных субъектов, хакеров и обычных преступников», –заявила она.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT