Мир за неделю: как нам реорганизовать кибербез

Китайские хакеры проникли в прошивку маршрутизаторов, в Онтарио украли персданные младенцев, а в Европе стартовал месяц кибербезопасности.

 

Как реализовать требования NIS2?

В ЕС стартовал месяц кибербезопасности (ECSM) — это ежегодная кампания ЕС, посвященная продвижению кибербезопасности среди граждан и организаций. В течение октября по всей Европе проводятся сотни мероприятий, направленные на продвижение цифровой безопасности и кибергигиены, предоставление актуальной информации об онлайн-безопасности посредством повышения осведомленности и обмена опытом.

Страны ЕС должны воспользоваться месячником, чтобы укрепить коллективную киберустойчивость в Европе, полагают эксперты Мари-Пьер де Байенкур (директор аналитического центра «Институт Монтеня), Оливер Валет (гендир компании Docaposte) и Жером Биллуа (партнер по кибербезопасности консалтинговой компании Wavestone). Европе необходимо быстро развивать кибербезопасность, пишут они. Все больше критически важных компаний оценивают риски кибератак и принимают меры для повышения безопасности. Однако с малый и средний бизнес (МСП), местные органы власти и учреждения здравоохранения остаются уязвимыми, им не хватает поддержки и ресурсов.

В период с 2015 по 2020 гг. ежегодный ущерб мировой экономике от киберпреступности удвоился, достигнув 5,5 трлн евро. Основной ущерб нанесен малым и средним компаниям. До 50% МСП закрылись после разрушения их ИТ-систем и потери данных. В условиях цифровизации и роста атак ситуация может быстро ухудшиться.

К лету 2024 г. в ЕС планируется принять новые требования к критически значимой инфраструктуре (NIS2). Однако этот факт не отразится на положении дел в МСП. Необходимо помочь им реализовать новые требования и успешно укрепить коллективную кибербезопасность, полагают эксперты.

Директива NIS2 расширит требования к кибербезопасности и охватит весь спектр экономики. Срок интеграции директивы NIS2 в национальные законодательства и начала реализации мер — октябрь 2024 г. В случае нарушений компаниям грозят штрафы регуляторов в размере до 2% от годового оборота. И если крупные компании имеют подразделения кибербеза и готовы к новшествам, то в МСП обслуживание ИТ-систем передано на аутсорсинг. Ситуация усугубляется острой нехваткой кадров в сфере ИБ.

В преддверии вступления NIS2 эксперты предлагают найти баланс между эффективной адаптацией европейской директивы и спецификой каждой страны. Правительства должны создать набор инструментов и механизмов поддержки, чтобы помочь небольшим компаниям реализовать все требования директивы. Эксперты предлагают масштабировать кибербезопасность для всех с помощью локализованной экосистемы. Так, во Франции организации, работающие в области ИБ, создали каталог киберэкспертов, к которым могут обратиться компании, и профинансировали создание региональных групп реагирования на инциденты. Объединение экспертов ИБ создано в Люксембурге. Примеры удачной работы сообществ и правительства есть в Великобритании и Бельгии.

Поэтому страны ЕС должны воспользоваться месячником, чтобы привлечь внимание всех субъектов и повысить киберустойчивость всех участников — от крупнейших до самых маленьких игроков.

 

Китайские хакеры взломали маршрутизаторы Cisco

Агентство национальной безопасности США, ФБР США, Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Национальное полицейское управление Японии и Японский национальный центр кибербезопасности выпустили совместное консультативное заключение по кибербезопасности, в котором подробно описывается деятельность связанной с Китаем группировки BlackTech. Хакеры показали возможность модификации прошивки маршрутизаторов в штаб-квартирах международных корпораций без обнаружения взлома и атаковать через них филиалы дочерних компаний.

Участники группы BlackTech (также известной как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda) нацеливаются на правительственный, промышленный, технологический, медиа, электронный и телекоммуникационный секторы в Японии и США, включая организации, которые оборонные предприятия. Для сокрытия операций BlackTech используют вредоносное ПО, инструменты двойного назначения и тактику «живого заработка», например, отключение входа в систему на маршрутизаторах.

В заявлении Агентств подробно описаны тактика, методы и процедуры BlackTech и подчеркивается необходимость внедрения принципа нулевого доверия для всех связей с дочерними компаниями, чтобы ограничить степень потенциальной компрометации.

Злоумышленники постоянно обновляют используемые инструменты, чтобы избежать обнаружения, отмечают эксперты. Хакеры используют оборудование различных марок и версий, в частности, они взломали несколько маршрутизаторов Cisco, используя варианты бэкдора прошивки. Функциональность бэкдора включается и отключается с помощью специально созданных пакетов TCP или UDP. Этот TTP не ограничивается только устройствами Cisco; аналогичные методы можно использовать для включения бэкдоров в другом сетевом оборудовании, пишут эксперты. В некоторых случаях злоумышленники BlackTech заменяют микропрограммное обеспечение некоторых маршрутизаторов на базе Cisco IOS вредоносным микропрограммным обеспечением.

Для обнаружения и смягчения деятельности BlackTech, разработчики настоятельно рекомендуют отключить исходящие соединения, применив команду конфигурации «transport output none» к линиям виртуального телетайпа, отслеживать сетевые устройства на предмет несанкционированной загрузки загрузчиков и образов встроенного ПО и перезагрузок. Сетевые защитники также должны отслеживать необычный трафик, направляемый на маршрутизатор, включая SSH. Полный список предлагаемых мер приведен на сайте CISA.

 

Риск угрозы мошенников для младенцев невелик

Канадская компания BORN (Better Outcomes Registry & Network), финансируемая правительством провинции Онтарио, сообщила об инциденте кибербезопасности, связанном с глобальной уязвимостью программного обеспечения Progress MOVEit. Об этом говорится в сообщении, размещенном недавно на сайте больницы Grand River.

Во время взлома из систем BORN были взяты несанкционированные копии файлов, содержащих личную медицинскую информацию, которая была собрана из сети медицинских учреждений и поставщиков медуслуг. Сведения касаются вопросов бесплодия, беременности, ухода за новорожденными и детьми и охватывают период с января 2010 г. по май 2023 г.

Компания узнала об инциденте 31 мая 2023 г., разместила публичное заявление на сайте и уведомила соответствующие органы, включая полицию провинции Онтарио и комиссара по информации и конфиденциальности Онтарио. Компания начала расследование с приглашенными экспертами по кибербезопасности. Был изолирован атакованный сервер и обеспечена безопасность других систем для продолжения работы. Компания также приняла дополнительные меры для усиления безопасности, чтобы предотвратить повторение инцидентов такого рода.

Углубленный анализ утечки показал, что скопированные файлы содержали личную медицинскую информацию примерно 3,4 млн человек, в основном тех, кто обращался за помощью по беременности и родам, и новорожденных, родившихся в Онтарио в указанный период 2010‑2023 годов.

BORN проконсультировалась с отраслевыми экспертами, в т. ч. с командой по расследованию киберпреступлений полиции провинции Онтарио, и пришла к выводу, что тип копируемой информации имеет минимальный риск кражи персональных данных или мошенничества, говорится на странице компании, посвященной инциденту.

2 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников
08.10.2024
Информационная безопасность в перспективе 5-7 лет: основные векторы развития (по Матвееву)
07.10.2024
«Восстановление займёт много времени». На ВГТРК кибернапали?
07.10.2024
О сертификации айтишников по версии АПКИТ
07.10.2024
МТС RED: Больше всего DDoS-атак досталось ИТ-сектору и транспорту
07.10.2024
Время уплаты налогов: как этим пользуются мошенники
07.10.2024
Беларусь оставила аналоговую подпись в соглашении о признании электронной

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных