Мир за неделю: КИИ под угрозой

Данные миллионов госслужащих Индонезии попали в руки злоумышленника. Гонконг принимает законодательство о кибербезопасности объектов КИИ. Британское хранилище ядерных отходов признано объектом повышенной опасности для хакеров и всех остальных.

 

Массовая утечка данных произошла в агентстве государственной службы Индонезии

Исследовательский институт кибербезопасности Индонезии (CISSReC) сообщил об очередной серьезной утечке данных. Целью атаки стало Национальное агентство гражданской службы (BKN).

Впервые о взломе сообщил хакер TopiAx на форуме Breachforums. Вечером 10 августа 2024 г. он разместил информацию, что получил 4 759 218 строк данных из BKN, содержащих конфиденциальные данные, включая имена, места и даты рождения, сведения об образовании и ученые звания, о госслужбе, в т. ч. информацию о приеме на работу, идентификационные номер кандидатов и служащих, должности, места работы, номера телефонов и адреса электронной почты. Украденные данные также включали как текстовую информацию, так и данные, защищенные криптографическими методами. Хакер выставил весь набор данных на продажу по цене 10 тыс. долларов США и предоставил образец информации, содержащей данные о 128 государственных служащих из различных ведомств.

Глава CISSReC Пратама Персадха подтвердил факт взлома BKN в воскресенье утром. Институт провел выборочную проверку 13 имен, перечисленных в выборке. Респонденты подтвердили точность данных, хотя некоторые отметили незначительные ошибки в последних цифрах ряда идентификационных данных. Однако официального ответа от ответственных органов, таких как Национальное агентство по кибербезопасности и шифрованию (BSSN) и Министерство связи и информатики по поводу предполагаемой утечки данных не поступало, пишут местные СМИ.

3 октября 2022 г. BKN подписала срочный меморандум о взаимопонимании с BSSN, направленный на усиление защиты данных государственных служащих и повышение качества электронной информации и безопасности транзакций. Действие меморандума истекло в октябре 2023 г., на сегодня его статус остается неясным.

Новый инцидент вызывает серьезную обеспокоенность по поводу состояния кибербезопасности в госорганизациях, особенно в свете конфиденциального характера скомпрометированных данных и их потенциальных последствий.

 

Закон о кибербезопасности критической инфраструктуры готовятся принять в Гонконге

25 июня 2024 г. правительство Гонконг предложило принять «Закон о защите критической инфраструктуры (компьютерных систем)», направленный на усиление защиты компьютерных систем критических инфраструктур. В начале июля законопроект был представлен Группе по безопасности Законодательного совета страны. Ожидается, что первый в Гонконге законопроект о кибербезопасности объектов КИИ, о необходимости которого говорят с 2021 г., будет согласован с соответствующими секторами и принят к концу этого года.

Предлагаемый закон потребует от операторов выполнения определенных требований и принятия соответствующих мер для усиления безопасности объектов КИИ и минимизации вероятности сбоя или компрометации основных служб в результате кибератак. Законопроектом предлагается создать Офис уполномоченного при правительственном Бюро безопасности для реализации предлагаемого законодательства

Предлагается, чтобы Закон о защите КИИ охватит две основные категории:

  1. Критически важные отрасли, в т. ч. энергетику, ИТ, медицинские, банковские и финансовые услуги, наземный и воздушный транспорт, морское судоходство, а также связь и вещание.
  2. Социально-экономическую сферу, жизнедеятельности, включая крупные спортивные объекты и концертные площадки, технопарки и исследовательские парки, и т. д.

К объектам КИИ компьютерных систем будут отнесены те системы, остановка или сбой в работе которых серьезно повлияют на нормальное функционирование объекта КИИ. Остальные системы не будут подпадать под действие предлагаемого законодательства. При этом требования закона будут распространяться на все системы КИИ, независимо от того, находятся они физически в Гонконге или нет.

О том, какие системы и компании необходимо включить в состав КИИ, будет определено дополнительно. Закон предполагает указание только названий секторов размещения объектов КИИ, чтобы не создавать новые цели для кибератак.

Руководители ИТ-подразделений компаний будут обязаны на законодательном уровне гарантировать, что создадут надежную структуру управления для защиты безопасности объекта КИИ и реализуют необходимые меры для предотвращения кибератак на эти системы, а также оперативно реагируют на затронутые системы и восстанавливают их в случае инцидентов безопасности компьютерных систем.

В обязанности Комиссара Офиса уполномоченного войдут вопросы категорирования объектов КИИ и назначение руководителей ИТ-подразделений, разработка и выпуск методических рекомендаций и основных требований для объектов КИИ и мер по их защите и мониторингу угроз, помощь компаниям в реагировании на атаки и расследование инцидентов. Также в обязанности Офиса войдут вопросы разработки политики и руководящих принципов при обработке инцидентов и координации их с различными правительственными ведомствами. Офис Комиссара будет обладать обширными следственными полномочиями для расследования инцидентов безопасности в отношении объектов КИИ и правонарушений, предусмотренных законодательством.

Также правительство предлагает назначить отраслевые регулирующие органы для контроля за выполнением обязательств конкретными секторами экономики. Уже известно о создании денежно-кредитного управления и управления связи.

За неисполнение требований Офиса Комиссара о предоставлении информации о КИИ предполагается ввести штрафы, максимальный размер которых варьируются от 500 тыс. до 5 млн гонконгских долларов. За постоянное несоблюдение требований в ряде случаев предполагается налагать дополнительные ежедневные штрафы. Руководство объекта КИИ будет нести ответственность за любой инцидент, в т. ч. за действия стороннего подрядчика в случае атаки по цепочке поставок.

 

Воланд де Морт для хакеров

Руководство комплекса Селлафилд (Sellafield) принесло извинения после признания вины по уголовным обвинениям, связанным с нарушениями кибербезопасности на самом опасном ядерном объекте Великобритании. Эти нарушения могли угрожать национальной безопасности. Обвинения, выдвинутые в июне этого года Управлением по ядерному регулированию Великобритании (ONR) против Селлафилд, охватывают период с 2019 по 2023 годы и касаются нарушений информационной безопасности.

Вестминстерский магистратский суд Лондона установил, что 75% компьютерных серверов центра в Камбрии были уязвимы для кибератак в течение как минимум четырех лет. Представитель Sellafield подтвердил, что заявленные критические проверки работоспособности ИТ-систем на самом деле не проводились. Судебное расследование показало, что в ИТ-сети компании посредством фишинговой атаки можно было «без опасений быть обнаруженным» загружать и запускать вредоносные файлы. Сайт крупнейшего в мире хранилища плутония был уязвимым для внутренних и внешних кибератак. А любой «достаточно опытный хакер или злоумышленик-инсайдер» мог легко получить доступ к конфиденциальным данным и установить вредоносное ПО для кражи информации.

Суд установил, что субподрядчику по ошибке были отправлены четыре тысячи файлов, 13 из которых были классифицированы как «официальные / конфиденциальные», без срабатывания предупреждений протоколов обмена данными. Конфиденциальная ядерная информация (согласно отраслевой системе классификации SNI), оказалась уязвимой из-за использования устаревших технологий, включая ОС Windows 7 и Windows 2008.

Расследование, проведенное The Guardian в прошлом году, выявило ряд ИТ-сбоев в госструктуре, а также радиоактивное загрязнение и токсичную культуру на рабочем месте. Ядерный комплекс Селлафилд — это «свалка ядерных отходов» оборонного и гражданского происхождения. В компании работает около 11 тыс. человек. Она является частью британского Управления по выводу ядерных объектов из эксплуатации и финансируется налогоплательщиками.

По данным издания, внешние подрядчики могли подключать к системам Селлафилда бесконтрольно, при этом его серверы считались настолько небезопасными, что были прозваны Voldemort в честь главного злодея из книг о Гарри Потере.

Также The Guardian утверждает, что в декабре 2023 г. сайт был взломан хакерскими группами, связанными с Россией и Китаем. Они внедрили вредоносное ПО «sleeper», которое могло использоваться для шпионажа или атак на системы. Руководство Селлафилд отрицало инцидент, однако суд признал компанию «неспособной адекватно выявить и реагировать на проверенные атаки».

Окончательный приговор суда ожидается в сентябре 2024 г. При этом суд постарается сбалансировать затраты налогоплательщиков с необходимостью создать прецедент и упредить другие компании отрасли от совершения аналогичных преступлений.

Селлафилд уже согласился оплатить судебные издержки в размере 53 тыс. фунтов стерлингов. Адвокат компании также заявил, что Селлафилд пытался устранить проблемы в области кибербезопасности, изменив ИТ-менеджмент на объекте и создав новый защищенный центр обработки данных.

Национальное аудиторское бюро, контролирующее государственные расходы Великобритании, проводит собственное расследование расходов и рисков в Селлафилде.

12 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.02.2025
Standoff 15: кибербитва в мае соберёт около полусотни команд белых хакеров и защитников со всего мира
13.02.2025
Эксперты ВТБ представили краткий скам-обзор января
13.02.2025
В ближайшем будущем QR-коды будут содержать антифрод-измерение
13.02.2025
Минцифры начинает строить свой маленький валидатор навыков
13.02.2025
Мишустин — о весне в российском телеком-законодательстве
12.02.2025
UniCredit торопится выйти из России
12.02.2025
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов
12.02.2025
АПКИТ: Единственный аккредитованный чип в разы уступает бытовым Intel Core i7
12.02.2025
Ideco: При обеспечении ИБ треть компаний выбирают комплексный подход
12.02.2025
Предоставление силовикам доступа к коммерческим БД конфликтует с законом «О персональных данных»?

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных