Мир за неделю: утечки персональных данных не дают покоя евроатлантическим властям

Власти Швейцарии решили штрафовать операторов КИ за несообщение о киберинцидентах, человеческий фактор лежит в основе 95% утечек данных, прокуратура Нью-Йорка обвинила страховую компанию в слабой защите от киберугроз, Белый дом провел перетряску CISA, ФБР не советует жертвам кибератак выплачивать выкуп злоумышленникам Medusa, а британские власти пригрозили карой социальным сетям за нарушения в использовании данных детей.

Швейцария ввела обязательную отчетность о кибератаках на критически важную инфраструктуру

Операторы критической инфраструктуры в Швейцарии вскоре будут обязаны по закону сообщать властям страны о кибератаках. Принятая Федеральным советом 7 марта норма будет упомянута в поправке к Закону об информационной безопасности (ISA) от 29 сентября 2023 года, которая вступит в силу 1 апреля 2025 года.

С этой даты субъекты критической инфраструктуры, работающие в стране, включая поставщиков энергии и питьевой воды, транспортные компании, а также кантональные и коммунальные администрации, должны будут сообщать о кибератаках в Национальный центр кибербезопасности (NCSC) в течение 24 часов с момента обнаружения.

Норма отчетности будет применяться, если кибератака угрожает функционированию критической инфраструктуры, привела к манипулированию или утечке информации или связана с шантажом, угрозами или принуждением.

Форма отчета будет доступна на Cyber Security Hub NCSC, портале для обмена информацией между федеральным правительством Швейцарии и операторами критической инфраструктуры. Организации, не зарегистрированные на платформе, могут отправлять отчеты по электронной почте, используя форму, доступную на веб-сайте NCSC. После отправки первоначального отчета в течение 24 часов с момента обнаружения инцидента у них есть 14 дней на заполнение отчета.

Операторы критической инфраструктуры, которые не сообщают о кибератаке, соответствующей определенным критериям, могут быть оштрафованы, хотя власти не указали точную сумму. Льготный период будет действовать до 1 октября 2025 года, чтобы дать пострадавшим организациям достаточно времени для подготовки к новому обязательству по отчетности.

Законодательство многих стран мира предъявляет аналогичные требования к отчетности в отношении операторов критической инфраструктуры, в том числе в Австралии, ЕС, Японии, Сингапуре, Южной Корее, Великобритании и США.

95% утечек данных в 2024 году связаны с человеческим фактором

Согласно новому исследованию Mimecast, 95% утечек данных в 2024 году были вызваны человеческими ошибками, связанными с внутренними угрозами, неправомерным использованием учетных данных и ошибками пользователей. Небольшая часть сотрудников внесла несоразмерный вклад в эти инциденты безопасности: всего 8% сотрудников оказались ответственными за 80% инцидентов.

В отчете отмечено несколько громких инцидентов за последний год, связанных с человеческими ошибками. В их число входит атака с использованием вымогателя Change Healthcare, в ходе которой учетные данные сотрудника были скомпрометированы через фишинговое письмо, что позволило злоумышленникам получить доступ к сети.

Почти половина (43%) респондентов сообщили об увеличении числа внутренних угроз или утечек данных, инициированных скомпрометированными, беспечными или небрежными сотрудниками в последние 12 месяцев. Кроме того, 66% ожидают, что в следующем году потери данных от внутренних нарушителей возрастут.

Опрошенные лица, принимающие решения в области безопасности, заявили, что утечки данных, вызванные инсайдерами, и кражи обходятся организации в среднем в 13,9 млн долларов. Большинство (87%) организаций заявили, что не реже одного раза в квартал обучают своих сотрудников обнаруживать кибератаки. Несмотря на это, 33% опасаются ошибок и человеческого фактора при обработке угроз по электронной почте сотрудниками, а 27% обеспокоены тем, что усталость сотрудников приводит к потере бдительности.

В отчете установлено, что 95% организаций используют ИИ для защиты от кибератак и/или внутренних угроз. Напротив, более половины (55%) респондентов признали, что они не полностью готовы к конкретным стратегиям борьбы с угрозами, связанными с ИИ. Кроме того, 81% ожидают утечки конфиденциальных данных через инструменты GenAI.

Хотя 85% участников исследования сообщили, что бюджет на кибербезопасность их организаций увеличился за последние 12 месяцев, 57% заявили, что требуется дополнительный бюджет для сотрудников по кибербезопасности и сторонних служб (57%), безопасности инструментов совместной работы (52%) и безопасности электронной почты (47%).

Опрос выявил обеспокоенность по поводу того, что инструменты совместной работы расширяют поверхность атак, при этом 79% согласились, что их использование создает новые угрозы и бреши в безопасности. Данные инструменты предназначены для того, чтобы помочь людям общаться и координировать работу над проектами. В качестве примеров можно привести Slack и Zoom.

Почти половина (44%) респондентов отметили увеличение угроз со стороны этих инструментов за последние 12 месяцев, а 61% констатировали, что ожидают негативное влияние на бизнес из-за атак на платформы коммуникации в 2025 году.

Нью-Йорк подает в суд на Allstate из-за утечек данных и сбоев в системе безопасности

Генеральный прокурор Нью-Йорка Летиция Джеймс подала иск против подразделения Allstate, National General, утверждая, что компания не смогла должным образом защитить данные потребителей и не сообщила об утечках данных, которые раскрыли тысячи номеров водительских прав. Иск, поданный в суд Манхэттена в понедельник, требует финансовых штрафов и улучшения мер безопасности.

Утечки, произошедшие в 2020 и 2021 годах, были вызваны уязвимостями в онлайн-инструментах расчета стоимости автострахования National General. Хакеры воспользовались слабыми местами в этих системах, чтобы получить доступ к номерам водительских прав более 165 тыс. жителей Нью-Йорка и почти 200 тыс. человек в общей сложности.

Офис генерального прокурора утверждает, что National General не смогла внедрить достаточные меры безопасности для предотвращения несанкционированного доступа и не предупредила своевременно пострадавших лиц или государственные органы. Согласно иску, первое нарушение произошло в период с августа по ноябрь 2020 года, но осталось нераскрытым. National General узнала о втором, более крупном нарушении только в начале 2021 года после нескольких месяцев расследования.

В иске утверждается, что это бездействие нарушает Закон штата Нью-Йорк о пресечении хакерских атак и улучшении безопасности электронных данных (SHIELD), который обязывает компании защищать личные данные и своевременно сообщать о нарушениях.

Генеральный прокурор Джеймс раскритиковала National General за ее слабые методы обеспечения безопасности, заявив, что слабая защита от киберугроз позволила злоумышленникам дважды атаковать компанию в течение короткого периода. В иске обозначен штраф в размере до 5000 долларов за нарушение.

Эрих Крон, специалист по повышению осведомленности в области безопасности в KnowBe4, подчеркнул риски, связанные с неуведомлением клиентов о нарушениях, заявив, что злоумышленники могут использовать украденные данные, чтобы выдавать себя за страховые компании и обманывать клиентов.

Администрация Трампа реорганизует CISA, сокращая штат и финансирование

Агентство по кибербезопасности и инфраструктуре США (CISA) претерпевает значительные изменения при новой президентской администрации: контракты примерно с 300 людей были расторгнуты, а финансирование проектов по кибербезопасности в агентстве существенно сокращено.

«Департамент эффективности правительства (DOGE), возглавляемый Илоном Маском, урезал всю нашу команду red team и все вспомогательные должности — это затронуло более ста человек. Спустя неделю DOGE сократил вторую команду red team CISA, также выполнявшую критически важную работу. В результате я и многие другие опытные операторы команды red team теперь ищем новую работу», — сказал старший пентестер в CISA Кристофер Ченовет.

По данным компании CBS, этот раунд сокращений произошел через несколько дней после того, как в середине февраля DOGE потребовал уволить 130 сотрудников CISA, находящихся на испытательном сроке. Представитель CISA заявил прессе, что предполагаемые увольнения будут вызваны «проблемами с контрактами, а не увольнениями сотрудников». При этом он не смог конкретизировать, сколько человек сейчас работает в «красных» командах CISA.

Как сообщил независимый журналист Эрик Геллер, CISA прекратило соглашение о сотрудничестве с Центром интернет-безопасности (CIS) на сумму 10 млн долларов. Партнерство предоставляло CIS управление двумя центрами обмена информацией о киберугрозах (ISAC) — Центром обмена и анализа информации между штатами (MS-ISAC) и Центром обмена и анализа информации об избирательной инфраструктуре (EI-ISAC).

За несколько дней до сообщения Геллера на веб-сайте CIS было размещено уведомление о том, что организация больше не поддерживает EI-ISAC «из-за прекращения финансирования» Министерством внутренней безопасности, частью которого является CISA.

Наконец, президент назначил Шона Планки на должность будущего директора CISA, согласно уведомлению на веб-сайте Конгресса США. Планки занимал различные должности в сфере кибербезопасности во время первой каденции Трампа, а также в Киберкомандовании США. Плюс, он являлся главным информационным директором ВМС США.

CISA и ФБР предупреждают о вирусе-вымогателе Medusa, который может нанести ущерб критической инфраструктуре

Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Центр обмена и анализа информации между штатами (MS-ISAC) выпустили совместный информационный бюллетень, в котором предупреждают, что операция по вымогательству Medusa затронула более 300 жертв в критически важных секторах инфраструктуры. Пострадали здравоохранение, образование, юриспруденция, страхование, технологии и производство.

Medusa, вариант программы-вымогателя как услуги (RaaS), впервые выявленный в июне 2021 года, использует модель двойного вымогательства — шифрует данные жертвы и угрожает публично опубликовать извлеченные данные, если выкуп не будет выплачен.

Расследование ФБР показало, что операторы Medusa получают первоначальный доступ через фишинговые кампании и эксплуатируют неисправленные уязвимости программного обеспечения. Попав в сеть, они используют легитимные административные инструменты, включая PowerShell и Windows Management Instrumentation (WMI), чтобы избежать обнаружения, перемещаться по сети и развертывать полезные нагрузки шифрования.

Аффилированные лица группы Medusa применяют различные инструменты удаленного доступа, такие как AnyDesk, Atera и ConnectWise, для проникновения в сети. Они также прибегают к запутанным скриптам PowerShell, отключению систем обнаружения конечных точек и использованию инструментов обратного туннелирования, таких как Ligolo и Cloudflared.

CISA предупредило, что особенно тревожным аспектом деятельности Medusa является ее тактика вымогательства. Жертвы оказываются под давлением и обязаны заплатить в течение 48 часов. В противном случае хакеры сливают украденные данные на свой сайт в даркнете, выставляя их на продажу до истечения таймера обратного отсчета. Отчеты показывают, что даже после уплаты выкупа жертвы могут столкнуться с дополнительными требованиями со стороны группировки.

ФБР и CISA настоятельно рекомендуют организациям внедрять меры по смягчению последствий, чтобы не стать жертвой атаки, в том числе:

1. Поддержание программного обеспечения в актуальном состоянии и применение исправлений безопасности;

2. Внедрение строгого контроля доступа и многофакторной аутентификации (MFA);

3. Мониторинг необычной активности и ограничение использования протоколов удаленного рабочего стола;

4. Внедрение сегментации сети для сдерживания потенциальных нарушений.

Между тем эксперты критикуют CISA за манеру предупреждать людей о программах-вымогателях, которые распространяются с использованием социальной инженерии, вместо того чтобы предложить повышение осведомленности о безопасности. По их мнению, социальная инженерия задействована в 70–90% всех успешных хакерских атак, что следует принимать в расчет при выработке рекомендаций.

Несмотря на это, ФБР и CISA призывают организации сообщать об инцидентах с вирусом-вымогателем Medusa в правоохранительные органы и воздерживаться от выплаты выкупов, поскольку это может спровоцировать дальнейшие атаки.

Британские власти дали «предупредительный выстрел» по нарушителям из-за использования данных детей

Британский надзорный орган по защите данных предупредил, что новое расследование в отношении TikTok и других компаний в связи с использованием ими данных детей следует рассматривать как «предупредительный выстрел» для небольших цифровых компаний. Комиссар по информации Джон Эдвардс сделал это заявление на конференции IAPP Data Protection Intensive UK 2025, прошедшей на днях в Лондоне.

Чиновник сказал, что организации всех размеров должны рассматривать последние расследования регулятора как «знак наведения порядка в собственном доме» и не ждать, пока он постучится в дверь, чтобы обеспечить соответствие бизнес-процессов законам о защите данных.

«Я хочу заявить предельно ясно. Сосредоточив наши усилия на некоторых из крупнейших и наиболее известных платформ, мы не даем небольшим компаниям зеленый свет для принятия или продолжения незаконных практик, — отметил Эдвардс. — Все организации, использующие данные детей или предлагающие продукты или услуги, предназначенные для молодежи, должны соблюдать закон и следовать нашему Детскому кодексу».

Ссылаясь на новое исследование Управления комиссара по информации (ICO), спикер заявил: почти половина британских родителей считают, что у них «практически нет контроля» над информацией, которую социальные сети и платформы для обмена видео собирают об их детях. Примерно столько же считают себя неспособными объяснить это детям.

«Дети не должны разбираться в этом самостоятельно. Это не их работа. Платформы, которые они используют, должны сделать эту информацию легкодоступной, — добавил Джон Эдвардс. — И мы вмешались, потому что наша работа как британского регулятора защиты данных — призвать эти платформы к ответу. Если социальные сети и платформы для обмена видео хотят получать выгоду от работы в Великобритании, они должны соблюдать закон о защите данных».

На прошлой неделе ICO объявило о своем расследовании в отношении TikTok, Imgur и Reddit. Согласно предупреждению, «системы рекомендаций» на сайтах могут привести к тому, что уязвимым детям будет предоставлен ненадлежащий или вредный контент. Кроме того, в случае Imgur и Reddit ICO заявило, что рассмотрит, как платформы используют личную информацию детей и меры по контролю возраста.