После событий “9/11” и урагана “Катрина” создан специальный ИТ-консорциум
При обрушении Южной башни Всемирного торгового центра 11 сентября 2001 г. в 9:58:59 утра большое, но точно не известное число работников экстренных служб пропало без вести в холле отеля “Мариотт”. Много представителей этих служб погибло и при разрушении Северной башни в 10:28:25. В общей сложности в этот день чрезвычайные службы недосчитались трехсот с лишним своих сотрудников, однако власти не смогли точно установить количество тех, кто прибыл к месту катастрофы, и тех, кто оттуда не вернулся.
Незнание того, что именно делали пожарные, полицейские, специалисты служб спасения, работники “Красного креста” и фельдшеры, кто из них какими навыками обладал и где их следовало искать в разгар кризисной ситуации, было национальной бедой как во время террористических атак шесть лет назад, так и позже, во время урагана “Катрина” в 2005-м.
Для решения проблем, связанных с идентификацией и дислокацией работников экстренных служб, бывший советник Белого дома по кибербезопасности Ховард Шмидт возглавил консорциум производителей смарт-карт, бесконтактных чипов, средств шифрования данных и других компаний, специализирующихся на безопасности и начавших свою деятельность под влиянием событий 11 сентября.
Группа, получившая название Tiers of Trust, должна поставлять бесплатное ПО и удешевленные карты личных удостоверений, которые будут работать со считывающими устройствами, соответствующими стандарту FIPS (Federal Information Processing Standards) Publication 201. Этот стандарт определяет архитектуру и технические условия общего формата идентификации федеральных служащих и работников подрядных организаций, имеющих доступ в государственные учреждения и сети.
Целью оснащения экстренных служб этими средствами, причем без нагрузки на их бюджеты, является решение проблем координации, например, при отказе каналов связи. В отчете Комиссии 9/11 имеется детальная информация о глубине и серьезности этих проблем во время террористических атак 2001 г.
“Задача учета и координации действий групп оказалась очень трудной, а иногда и просто невыполнимой из-за нарушения внутренних коммуникаций, вызванного ограниченностью возможностей радиосвязи в многоэтажной зоне Всемирного торгового центра и беспорядком в выделении радиочастот различным категориям персонала”, — говорится в отчете.
Когда 11 сентября службы быстрого реагирования были направлены в Пентагон, их людей задержали на входе в здание, так как нельзя было проверить их личности и полномочия. А во время “Катрины” сотни медиков не могли приступить к работе из-за отсутствия командировочных удостоверений и документов о квалификации.
Другие проблемы связаны с развертыванием экстренных служб и контролем местонахождения их работников. В отчете по “9/11” говорится, что из-за понятного отсутствия опыта реагирования на чрезвычайные ситуации столь крупного масштаба пожарная служба Нью-Йорка оказалась организационно не способна координировать действия групп, направленных в разные точки комплекса площадью 6,5 гектара.
В результате к 9:30 в еще не поврежденном отеле “Мариотт” и в районе командного поста на Вест-стрит скопились огромные силы, тогда как командиры, действовавшие в Южной башне, испытывали отчаянную нужду в подкреплении.
На все эти проблемы и были ориентированы Президентская директива по национальной безопасности HSPD 12 , изданная в феврале 2005 г., и стандарт FIPS 201. Однако, по словам Шмидта, хотя поставленные задачи абсолютно правильны, главный вопрос упирается в финансовую сторону дела.
Как сообщила на прошедшей 10 сентября нынешнего года пресс-конференции, посвященной представлению консорциума, член этого консорциума, исполнительный директор и заведующая вопросами безопасности компании Secure Network Systems Мелани Херноуд, совместимые с FIPS 201 карточки стоят от 68 долл. на нижнем уровне сложности до 150 долл. на верхнем, подразумевающем наличие бесконтактных чипов и PKI- сертификацию. По ее словам, типичная FIPS 201-совместимая система стоит около 1,38 млн. долл.
Помощь на подходе
Программа группы Tiers of Trust для работников чрезвычайных служб включает:
- бесплатное ПО и бесконтактные идентификационные карты для FIPS 201-совместимых считывающих устройств;
- удостоверяющие данные, формируемые посредством бесплатного ПО компании SNS;
- внесение в карты такой информации, как профессиональная квалификация и уровень допуска в государственные здания и сети;
- поставка карт зарегистрированным организациям по $10 за штуку;
- право участия распространяется на подразделения служб США быстрого реагирования; участие в программе должно быть одобрено высшим лицом организации.
Источник: Tiers of Trust.
Херноуд пыталась купить ПО для обработки данных контактной части чипа и обнаружила, что оно стоит около 150 тыс. долл., что, как она считает, сверхдорого для небогатых муниципалитетов, особенно если учесть, что прежде всего они должны закупить кислородные резервуары и другое важное оборудование для спасения жизней. “Я была просто поражена, — сказала г-жа Херноуд, — ведь 150 тыс. долл. стоит новая пожарная машина или целая операция по спасению людей”.
В противоположность этому карточки Tiers of Trust под названием Emergency Management One будут стоить 10 долл. за штуку, если служба быстрого реагирования зарегистрируется в консорциуме. Член консорциума компания HID Global также предлагает линейку сертифицированных по стандарту FIPS 201 считывателей для контроля доступа. А компания SNS будет предоставлять ПО для считывателей бесплатно.
Программа Tiers of Trust уже учреждена и работает, а службам быстрого реагирования выдаются дифференцированные полномочия на базе идентификационной информации. Удостоверяющие данные формируются посредством бесплатного доступа к ПО фирмы SNS, а далее их можно имплантировать в бесконтактные смарт-карты, используя обязательные поля FIPS 201, такие как FASC-N (Federal Agency Smart Card Number — номер смарт-карты федерального агентства), CHUID (Card Holder Unique Identifier — уникальный идентификатор владельца карты) и дата окончания действия карты.
Помимо приемлемого уровня затрат очень важна гибкость. Директива HSPD 12 предусматривает ступенчатый подход к удостоверяющим критериям — от минимальных требований к безопасности до максимальных, чтобы обеспечить гибкость действий при непредсказуемых сценариях катастроф. В этом смысле программа Tiers of Trust учитывает реальные нужды работников экстренных служб, далеко не всем из которых, например, необходим физический доступ в контролируемые государством здания или сети. Этот гибкий подход также помогает сэкономить деньги.
Херноуд оказалась в числе тех, кто участвовал в действиях по чрезвычайному реагированию на ураган “Катрина”. Так, 2 сентября 2005 г. ее родной штат Колорадо начал принимать жертв стихийного бедствия. Эти события поневоле стали бета-тестированием идентификационных карт Emergency Management One, выпущенных компанией SNS для людей, которые уцелели при урагане и лишились всех документов — свидетельств о рождении, водительских прав и других удостоверений личности.
Перед выдачей карт бюро расследований штата Колорадо проверяло у людей отпечатки пальцев. Далее жертвы урагана использовали эти карты при поиске семей и воссоединении с ними, для проезда на автобусах, открытия банковских счетов и т.д.
Шмидт поясняет, как чрезвычайные службы могут использовать эту систему и карточки в случае катастроф. Командный пост оборудуется в какой-то местной организации, скорее всего в отделении полиции. По прибытии подразделения чрезвычайных служб, например пожарных или “Красного креста”, их сотрудники должны зарегистрироваться при помощи любых имеющихся у них документов, хотя бы водительских прав.
Затем для них быстро изготавливается FIPS 201-совместимая карточка — во время урагана “Катрина” на это уходило 55 секунд. Карточка служит входным и выходным пропуском на командный пост и может, в частности, использоваться для регистрации факта отправки сотрудника в конкретное здание или его перенаправления в другое место.
Другим важнейшим элементом информации на личной карточке является профессиональная квалификация. Это предотвратит случаи, когда кардиологическая медсестра в суете и спешке командируется на уборку мусора.
Право участия в программе ограничивается зарегистрированными организациями быстрого реагирования США, включая пожарных, службы правопорядка, специалистов по работе с опасными материалами, скорую медицинскую помощь и других медиков, а также работников ряда компаний частного сектора — коммунальных служб, связи и транспорта.
Присоединение к программе требует явного участия высшего лица организации. Эта политика, по словам Шмидта, должна воспрепятствовать превращению программы в несанкционированные проекты автономно действующих групп.
“Несмотря на внушительность уже вложенных ресурсов, — говорит Шмидт, — они еще остаются недостаточными, и это может помешать полноценной реализации программы. Поэтому первым четырем сотням вступивших в нее организаций будут предоставлены приоритетные условия".