В ЕС вступает в силу Директива ЕС по кибербезопасности NIS2, Национальный институт стандартов и технологий США облегчает требования к паролям, а мировые компании ищут утечки и подсчитывают убытки после кибератак.
Будет ли эффективна Директива NIS2?
18 октября 2024 г. вступает в силу Директива ЕС по кибербезопасности NIS2 (Network and Information Security 2), которая расширяет сферу действия директивы NIS, направленной на повышение киберустойчивости критической инфраструктуры и услуг в Евросоюзе, и устанавливает новые требования к безопасности, срокам предоставления отчетности об инцидентах, уделяет особое внимание безопасности цепочки поставок, ужесточает наказания для организаций, не соблюдающих требования, гармонизирует правила в масштабах ЕС и улучшает обмен информацией между государствами-членами.
На этом фоне компания Censuswide по заказу разработчика ПО Veeam Software провела опрос руководителей компаний из стран ЕС и Великобритании. Он показал, что только 43% лиц, принимающих решения в сфере ИТ в регионе Европы, Ближнего Востока и Африки, считают, что NIS2 значительно повысит кибербезопасность в ЕС. При этом 90% респондентов сообщили как минимум об одном инциденте безопасности, который эта директива могла бы предотвратить за последние 12 месяцев. Около 44% респондентов столкнулись с тремя и более киберинцидентами, причем 65% из них были отнесены к категории «критических важных».
Оценивая итоги опроса, представитель Veeam Андре Троски заявил, что NIS2 выносит ответственность за кибербезопасность за пределы ИТ-отделов в совет директоров. И хотя многие компании признают важность этой директивы, трудности с ее соблюдением, выявленные в ходе опроса, подчеркивают существенные системные проблемы.
Исполнение NIS2 влечет за собой дополнительные расходы для предприятий и других организаций. Директива не подлежит обсуждению, однако, согласно предварительным оценкам, выполнение требований увеличит расходы организаций на кибербезопасность до 22% в первые годы.
По оценке консалтинговой компании Frontier Economics, прямые затраты на внедрение регулирования для компаний по всему ЕС составят 31,2 млрд евро в год или 0,31% от общего оборота во всех секторах, на которые распространяется Директива NIS2. Ожидается, что существенное увеличение расходов в критически важных отраслях будет компенсировано значительным сокращением затрат, связанных с инцидентами кибербезопасности.
Опрос Censuswide охватил более 500 человек, принимающих решения в сфере ИТ, из Бельгии, Франции, Германии, Нидерландов и Великобритании, как важного партнера европейских организаций. Почти 80% компаний уверены в своей готовности соответствовать рекомендациям NIS2. Однако до двух третей респондентов заявляют, что не успеют к началу ввода новой директивы.
Основными причинами были названы технический долг (24%), отсутствие понимания со стороны руководства (23%) и недостаточный бюджет/инвестиции (21%). Опрос показал, что 42% респондентов, которые считают NIS2 незначительным для улучшения кибербезопасности ЕС, связывают это с неадекватными, по их мнению, последствиями за несоблюдение требований директивы.
По мнению Андре Троски, учитывая растущую частоту и серьезность киберугроз, потенциальные преимущества NIS2 в предотвращении критических инцидентов и укреплении устойчивости данных невозможно переоценить. И руководители компаний должны действовать оперативно устранить все пробелы и обеспечить соответствие не только в целях соблюдения нормативных требований, но и для реального повышения киберустойчивости и защиты критически важных данных.
NIST меняет правила
Национальный институт стандартов и технологий США (NIST) опубликовал обновленные рекомендации по безопасности паролей. Этот шаг ознаменовал значительный отход от традиционной практики использования паролей. Новые рекомендации направлены на повышение кибербезопасности и одновременное улучшение пользовательского опыта.
Среди важных изменений — отказ от сложности пароля, смешивания заглавных и строчных букв, цифр и специальных символов, в пользу его длины как основного фактора надежности.
NIST рекомендует минимальную длину пароля в 8 символов. Организациям рекомендуется использовать пароли длиной не менее 64 символов для размещения парольных фраз.
Еще одним существенным изменением является отмена обязательной периодической смены паролей. NIST утверждает, что частые сбросы паролей часто приводят к их ослаблению и побуждают пользователей вносить незначительные, предсказуемые изменения. Теперь пароли следует менять только при наличии доказательств компрометации.
Важно проверять пароли по спискам часто используемых или скомпрометированных паролей. NIST рекомендует организациям вести обновленный список слабых паролей и запрещать пользователям выбирать любой пароль из этого списка. Кроме того, NIST не рекомендует использовать подсказки для пароля или вопросы аутентификации, основанные на знаниях, поскольку их часто можно угадать или обнаружить с помощью социальной инженерии.
Для хранения паролей NIST рекомендует использовать соленое хеширование с фактором работы, который делает офлайн-атаки вычислительно затратными. Такой подход помогает защитить сохраненные пароли, даже если база данных скомпрометирована.
Также вводятся требования к длине и сложности паролей, которые необходимо учитывать верификаторам и поставщикам криптопротоколов и криптоуслуг.
В рекомендациях подчеркивается важность многофакторной аутентификации (MFA) как дополнительного уровня безопасности. Хотя это и не прямое требование к паролю, NIST настоятельно рекомендует использовать MFA везде, где это возможно.
Новые рекомендации были одобрены в сообществе кибербезопасности. Эксперты отмечают, что обновленные требования NIST соответствуют тому, за что годами выступали исследователи безопасности. Они обеспечивают баланс между безопасностью и удобством использования.
MoneyGram теряет партнеров
Долгосрочный контракт между Почтой Великобритании и платежным сервисом MoneyGram истек в полночь 30 сентября и не будет продлен. Кибератака, которая ранее вывела из строя службы MoneyGram, изменила планы двух компаний.
В сообщении, отправленном подразделениям, Post Office сообщает, что Почта Великобритании с июня 2024 г. вела переговоры с MoneyGram о новом контракте, который должен был вступить в силу с 1 октября текущего года. Процесс согласования договора находился на завершающей стадии, когда сервис MoneyGram подвергся кибератаке. Почтовое ведомство предлагало краткосрочное продление отношений, что позволило бы партнерам расставить приоритеты в деятельности по предоставлению услуг и понять долгосрочные последствия для клиентов и подрядчиков. Однако MoneyGram отклонила предложение.
Представители Post Office заявили, что по-прежнему стремятся найти способ продолжить отношения с MoneyGram и сообщат клиентам обо всех изменениях в процессе переговоров.
Dell считает утечки
Компания Dell ведет расследование утечки данных сотрудников после того, как злоумышленник Grep разместил информацию, украденную у компании, на торговой площадке BreachForums.
Хакер заявил, что «незначительная утечка данных» произошла в сентябре 2024 г., были раскрыты сведения о сотрудниках Dell. Злоумышленник утверждает, что утечка данных сотрудников Dell затронула интересы более 10 800 сотрудников Dell и их партнеров, и привела к утечке их личных и служебных идентификаторов. Хакер предоставил небольшой образец для бесплатной загрузки, но за всю базу данных взимается плата в размере одного кредита BreachForums, эквивалентного 0,30 доллара.
Dell подтвердила утечку данных сотрудников и сообщила, что внутренняя служба безопасности проводит собственное расследование. Никакой дополнительной информации относительно характера утечки и числа пострадавших не раскрывается. Эксперты подчеркивают, что, скорее всего, инцидент не привел к раскрытию адресов электронной почты и номеров телефонов сотрудников. Однако, утечка показала, что даже такие технологические компании как Dell не застрахованы от утечек данных, что подчеркивает необходимость упреждающего мониторинга для своевременного обнаружения и устранения инцидентов кибербезопасности.
В середине 2024 г. компания Dell столкнулась с другой утечкой данных — о заказах клиентов. В результате инцидента были раскрыты данные клиентов 49 млн человек, включая имена, адреса, описания товаров, сервисные метки и информацию о заказах, что подвергло клиентов риску мошенничества со стороны техподдержки.
Злоумышленник, стоящий за утечкой данных Dell, воспользовался незащищенным API компании, чтобы украсть персональные данные, выдавая себя за настоящую компанию. По оценкам специалистов, несмотря на заявления Dell о принятии дополнительных мер по защите пострадавших клиентов, компания преуменьшила масштаб утечки данных, заявив, что она не представляет существенного риска для ее клиентов «учитывая тип затронутой информации».
Также Dell столкнулась с возможной второй утечкой данных, затрагивающей инфраструктуру Jira, Jenkins и Confluence после того, как хакер взломал учетную запись компании на платформе Atlassian. В результате этого инцидента предположительно произошла утечка 3,5 ГБ конфиденциальной информации о внутренней инфраструктуре компании. Раскрытие этой информации подвергает компанию риску потенциальных кибератак, включая развертывание программ-вымогателей, атаки нулевого дня и атаки на цепочки поставок.
На примере Dell можно сказать, что подобные нарушения безопасности Dell подчеркивают растущий риск от использования SaaS-приложений, отмечают эксперты по безопасности, с которыми пообщался портал CPO Magazine. Такие инструменты становятся «уязвимым местом» цифровой экосистемы, создавая слабые места, которыми пользуются хакеры.
Как отмечает издание, злоумышленник Grep взял на себя ответственность за другие утечки данных, включая атаку на консалтинговую компанию Capgemini, в результате которой была раскрыта информация объемом 20 ГБ, включая данные сотрудников французского консалтингового гиганта, ключи безопасности, токены, имена пользователей, пароли и исходный код.
Grep заявил, что также взломал сервисы T-Mobile и слил журналы виртуальных машин; однако американская сторона опровергла это заявление, приписав инцидент другому «бренду T-Mobile» за пределами США.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных