Кибератаки стали мировой угрозой. И требуют общей стратегии и стандартов защиты
АВИАТОРЫ
Компании авиационного сектора отказываются от предписаний Агентства транспортной безопасности (TSA) Министерства внутренней безопасности США, которое требует оповещать ведомство обо всех инцидентах кибербезопасности в течение 24 часов.
По новым правилам, принятым в США в декабре 2021 г., каждый аэропорт и оператор авиакомпании должны назначить координатора по кибербезопасности и сообщать об инцидентах в течение 24 часов. Ранее на чрезмерно жёсткие требования (в частности, уведомлять об инцидентах в течение 12 часов) жаловались эксперты в трубопроводной отрасли. И TSA было вынуждено внести изменения в регламенты.
Эксперты по ИБ, работающие с авиакомпаниями, заявили, что за такой короткий срок невозможно классифицировать происшествие как киберинцидент. Глава компании по управлению киберрисками CyberSaint Патрик О’Рейли приводит в качестве примера сканирование и просмотр хакерами систем, при которых злоумышленники ничего не крадут. Поскольку такое сканирование — явление частое, то сообщение о каждом инциденте ляжет ненужным бременем на испытывающие нехватку ресурсов правительственные учреждения. Во многих компаниях нет даже штатных сотрудников службы ИБ, поэтому не ясно, как решить проблему отчётов в 24 часа.
О’Рейли пояснил, что другие положения правил, требующих наличия киберкоординатора, плана реагирования на инциденты и оценки пробелов в уязвимости, либо уже действуют, либо относительно бесспорны.
Важным в этих дебатах стало мнение Международной ассоциации воздушного транспорта (IATA) — крупнейшей негосударственной организации, представляющей авиакомпании в мире. Процесс разработки общеотраслевой стратегии авиационной кибербезопасности находится в стадии обсуждения, создано несколько формальных и неформальных рабочих групп. Для эффективного решения вопроса требуется тесное сотрудничество между заинтересованными сторонами в отрасли и правительстве, соответствие документа международным руководствам и рекомендациям, единые термины и нормы. Директива TSA в данном случае не соответствует международным требованиям, несмотря на то что были проведены и разъяснительная работа, и консультации.
Согласно отчёту юридической фирмы Stephenson Harwood, только в 2020 г. было совершено 62 атаки программ-вымогателей на авиакомпании, аэропорты и компании, обеспечивающие жизнедеятельность отрасти (топливные трубопроводы, инфраструктуру заправщиков и др.). Стоимость требований о выкупе побила рекорды в 2021 году. Среди значимых инцидентов 2022 г. — атаки на Федеральное агентство воздушного транспорта России, системы авиакомпаний Sunwing Airlines (Канада) и SpiceJet (Индия). Европейская группа реагирования на компьютерные чрезвычайные ситуации в области управления воздушным движением (EATM-CERT) отмечает, что количество зарегистрированных кибератак на организации авиационной отрасли выросло на 530% с 2019 по 2020 г.
В целом, считают эксперты, международные правила дадут TSA больше информации о состоянии кибербезопасности и деятельности злоумышленников в отрасли. Данные позволят адаптировать поддержку систем в зависимости от типа атак, что поможет сектору стать более устойчивым к кибератакам.
ТРЕБОВАНИЯ СТАНУТ ЗАКОНОМ
Вопросы кибербезопасности перешли на правительственный уровень. После десятилетий, когда организации частного сектора в большей или меньшей степени справлялись с киберинцидентами самостоятельно, на проблему обратили внимание все: масштабы и последствия кибератак стали мировой угрозой.
В США готовится целый ряд нормативных актов и правоприменительных мер в области кибербезопасности. Федеральная торговая комиссия, Комиссия по ценным бумагам и биржам, Управление по контролю за продуктами и лекарствами, Министерство транспорта, Министерство энергетики и Агентство по кибербезопасности и инфраструктурной безопасности работают над новыми правилами. Кроме того, в прошлом году 36 штатов приняли новое законодательство в области кибербезопасности. В мировом масштабе уже существует множество правительственных инициатив: Китай и Россия требуют локализации данных, в Индии введена отчётность об инцидентах CERT-In, приняты Регламент по защите данных ЕС и отчётность об инцидентах.
В США новые правила потребуют от компаний сообщать о кибератаках, особенно в критически важных отраслях инфраструктуры, таких как энергетика, здравоохранение, связь и финансовые услуги. Согласно этим правилам, инцидент с кибератакой на трубопроводную систему Colonial Pipeline и прекращение поставок топлива по стране на несколько дней не сможет повториться в глобальном масштабе.
На первый взгляд, требования к кибербезопасности кажутся очень разумными. Но есть много подводных камней. Что должно считаться «инцидентом» в области кибербезопасности: отказ системы при случайном вводе неправильного пароля, получение фишингового электронного письма или проникновение в систему хакеров? Что делать, если злоумышленник проник в систему, но был обнаружен и удалён до того, как был причинён вред? — задаётся вопросами Стюарт Медник из Harvard business review.
Эта двусмысленность требует от компаний и регулирующих органов соблюдения определённого баланса и понимания значимости инцидента. Согласно данным Национальной базы данных уязвимостей (NVD) только 288 из почти 200 тыс. известных уязвимостей активно используются в атаках программ-вымогателей. Знание этого позволяет компаниям уделять приоритетное внимание устранению таких уязвимостей. С другом стороны, компании могут обязать сообщать о тысячах инцидентов в день, даже если большинство из них были спамом. Это бремя как для компаний, так и для Агентства, которому нужно обработать поток и отчётов.
Международным компаниям придётся ориентироваться в различных стандартах отчётности в ЕС, Австралии, США и других странах, знать сроки подачи отчёта (6 ч. в Индии, 72 ч. в ЕС в соответствии с GDPR или 4 рабочих дня в США) с учётом национальных особенностей и множества ведомственных нормативных актов.
Компаниям, подпадающим под действие правил Комиссии по ценным бумагам и рынкам, к которым относится большинство крупных компаний в США, необходимо быстро определить «материальность» и пересмотреть текущую политику и процедуры для соответствия правилам и упрощения работы, особенно если решения должны приниматься часто и быстро.
Главное, необходимо поддерживать политику в отношении программ-вымогателей в актуальном состоянии. Необходимо пересмотреть политику компании в отношении оплаты программ-вымогателей, а также возможные изменения в политике киберстрахования.
Многие организации не знали, что в их системах есть уязвимость log4j, потому что это программное обеспечение часто поставлялось в комплекте с другим ПО. Новые правила потребуют от компаний ведения подробной и актуальной спецификации программного обеспечения (SBOM), чтобы быстро и точно знать все программы, встроенные в сложные компьютерные системы.
И конечно, сотрудники отдела ИБ компании должны ознакомиться с этими новыми или предлагаемыми правилами и оценить, какое влияние они окажут на организацию. Технические детали, оставленные на усмотрение команды по ИТ или ИБ, могут иметь далеко идущие последствия для всей компании. И вероятно, изменят многие политики и процедуры в организации.
ВЕЛИКОБРИТАНИЯ
Проект свода правил защиты телекоммуникационных сетей Великобритании от кибератак уже согласован со всеми заинтересованными сторонами и представлен в парламент в соответствии с требованием Закона о связи 2003 г. Он будет рассматриваться в течение сорока дней, после чего будет издан и опубликован.
Новые правила будут одними из самых строгих в мире и обеспечат гораздо более жёсткую защиту Великобритании от киберугроз, которые могут привести к сбою сети или краже конфиденциальных данных, полагают эксперты.
Закон о телекоммуникациях (безопасности), принятый в ноябре 2021 г., даёт правительству полномочия повышать стандарты безопасности мобильных и широкополосных сетей Великобритании. В настоящее время операторы связи несут ответственность за установление собственных стандартов безопасности в своих сетях. Однако анализ деятельности провайдеров показал, что у них часто мало стимулов для внедрения передовых методов обеспечения безопасности.
Новые правила в статусе закона, разработанные совместно с Национальным центром кибербезопасности и агентством Ofcom, определяют конкретные действия для британских провайдеров общедоступных телекоммуникационных услуг. Они повысят киберустойчивость телекоммуникационных систем страны, внедрив передовые методы обеспечения ИБ в долгосрочные инвестиционные решения поставщиков и повседневную работу их сетей и услуг.
Поставщики будут обязаны:
- защищать данные, обрабатываемые их сетями и службами, и критически важные функции, которые позволяют работать и управлять ими;
- защищать ПО и оборудование, которые отслеживают и анализируют свои сети и услуги;
- понимать риски кибербезопасности и определять аномальную активность, регулярно отчитываться перед внутренними советами;
- учитывать риски поставщиков и подрядчиков, а также контролировать доступ третьих лиц в работу сетей для повышения безопасности.
Обсуждая закон, министр цифровой инфраструктуры Мэтт Уорман отметил, что правительство знает, «насколько разрушительными могут быть кибератаки на КИИ. Широкополосные и мобильные сети занимают центральное место в жизни граждан. Защита этих жизненно важных сетей, внедрение одного из самых жёстких в мире режимов безопасности телекоммуникаций поможет защитить коммуникации от текущих и будущих угроз».
По мнению технического директора NCSC, доктора Яна Леви, «…новые правила гарантируют, что безопасность и отказоустойчивость этих сетей и оборудования, которое их поддерживает, будут соответствовать требованиям будущего».
Британское агентство Ofcom будет осуществлять надзор, мониторинг и обеспечение соблюдения юридических обязанностей, а также будет иметь право проводить проверки помещений и систем телекоммуникационных фирм, чтобы убедиться, что провайдеры выполняют свои обязательства. Если компании не будут этого делать, регулирующий орган сможет налагать штрафы в размере до 10% от оборота или, в случае продолжающегося нарушения, до 100 тыс. фунтов стерлингов в день.
С октября на провайдеров будут распространяться новые правила, и Ofcom сможет использовать свои новые полномочия по надзору за исполнением компаниями требований нового закона.
Ожидается, что поставщики услуг приведут сети в соответствие с требованиями правил к марту 2024 г. В своде правил также будут установлены дополнительные сроки для выполнения иных мер. Требования будут периодически обновляться, чтобы соответствовать уровню угроз и предотвращать любые кибератаки.
СТРАХОВЩИКИ ОТКАЗЫВАЮТСЯ ВОЗМЕЩАТЬ УЩЕРБ
Смена руководства компании Lloyd’s привела к смене политики в области страхования киберрисков. Увеличение числа атак программ-вымогателей и всё более высокие требования к выкупам нанесли ущерб страховой отрасли.
Долгожданное решение компании Lloyd’s о поэтапном отказе от покрытия кибератак, спонсируемых государствами, иллюстрирует ситуацию на страховом рынке, который уже много лет испытывает растущее финансовое давление. Отказ страховщиков также ставит перед американскими компаниями вопросы об их готовности к отражению кибератак и долгосрочных рисках в условиях всё более изощрённых угроз.
«Кибербезопасность остаётся приоритетной областью для Lloyd’s», — говорится в заявлении пресс-секретаря компании. Lloyd’s уже заявила, что продолжит придерживаться прагматичного и инновационного подхода к поддержке роста киберпространства.
Роль компании заключается в поддержке конкурентного и устойчивого рынка киберстрахования, но в бюллетене нет обязательных положений для агентов. Вместо универсального подхода новое руководство Lloyd’s призывает управляющих агентов проявлять должную осмотрительность в отношении атак, спонсируемых государствами.
Руководство для агентов появилось в то время, когда рынок киберстрахования находится под огромным давлением из-за роста числа атак программ-вымогателей. Давление усилилось после февраля 2022 г., с началом спецоперации России на Украине. Это вызвало значительные опасения клиентов страховых компаний по поводу нападений на их КИИ.
Данные S&P Global Ratings за июль свидетельствуют о значительной турбулентности на рынке киберстрахования. Ожидается, что премии по киберстрахованию будут расти на 25% в год и достигнут $22,5 млрд к 2025 г. по сравнению с $9 млрд в 2021 г.
Согласно отчёту, с 2019 по 2021 г. число заявлений о вымогательстве выросло на 232%, а в первом квартале 2022 года уровень невыплат по заявлениям о вымогательстве составил 54% по сравнению с 15% в первом квартале 2019 г.
Есть и другие неприятные вопросы, с которыми рынку придётся столкнуться в связи с исключениями в отношении кибервойн, например, бремя доказывания степени участия государства и соответствия атаки целям конфликта, считает Мануэль Адам, заместитель директора S&P Global Insurance Ratings.
Исследование Blackberry и Corvus показывает проблемы малых и средних организаций. Только 55% респондентов имели покрытие киберстрахования, а 78% добавили такое покрытие к ранее существовавшему полису, что указывает на то, что оно не является приоритетным направлением. Из числа застрахованных компаний 44% организаций имеют страховку на сумму до $600 тыс., что значительно ниже порогового значения для среднего спроса на страхование от программ-вымогателей.
Смена руководства Lloyd’s и изменение политики в области страхования киберрисков вытекают из сложившейся на рынке ситуации. Страховщики вынуждены снижать свои риски, чтобы быть прибыльными, поэтому они ввели строгие требования к киберзащищённости клиентов и задают им дополнительные вопросы. Новые исключения являются продолжением положений об исключении кибервойн и киберопераций, которые вступили в силу в этом году.
Lloyd’s не одинок в переосмыслении политики страхования. Весной 2022 г. немецкий перестраховщик Munich Reраскрыл планы по вводу военных исключений или положений с аналогичными намерениями, которые адекватно решают конкретные проблемы кибербезопасности.
МИГРАЦИЯ
«Австралии необходимо создать программу поддержки миграции в области ИБ, чтобы страна наращивала свой потенциал для защиты от хакеров, работающих под прикрытием других государств, и иных игроков, которые стремятся причинить вред стране, — заявила министр внутренних дел и кибербезопасности Австралии Клэр О’Нил на саммите по вопросам занятости, который прошёл в конце августа в Албании. — Программа миграции, включающая финансовую поддержку людей с навыками работы в сфере кибербезопасности, имеет решающее значение. Нам нужно подумать о том, как включить возможность создания новых рабочих мест в стратегических отраслях, обеспечивающих суверенитет страны. Нам нужно будущее, созданное в Австралии.
Если у нас не будет процветающей, разнообразной и квалифицированной рабочей силы в области кибербезопасности, мы продолжим нести финансовые затраты, которые налагают на экономику и граждан различные киберинциденты», — сказала О’Нил.
Пандемия коронавируса дала Австралии возможность реформировать иммиграционную систему. О’Нил отметила, что двухлетний запрет на въезд и выезд из страны показал зависимость Австралии от миграции. Принимая во внимание тот факт, что страна не является привлекательным местом для высококвалифицированных специалистов, предпочитающих мигрировать в Канаду, ФРГ или Израиль, министр отметила необходимость переосмысления процесса миграции. Переезд в Австралию стал сложной задачей для людей, приезжающих в страну жить или работать: 70 уникальных визовых программ, каждая со своими критериями и подкатегориями; сотни трудовых договоров и несколько списков квалифицированных профессий — разобраться в этом по силам не каждому. К тому же в стране действует устаревшая система обработки данных, которая не соответствует назначению.
ГРОМКИЕ ВЗЛОМЫ
Судостроительная компания Sembcorp Marine (штаб-квартира в Сингапуре) приняла оперативные меры после обнаружения факта проникновения неизвестных в свои компьютерные сети. Инцидент и связанные с ним риски были эффективно устранены, сообщается в пресс-релизе компании.
Установлено, что была затронута личная информация, относящаяся к работающим и бывшим сотрудникам компании и её гостям, а также информация, относящаяся к деятельности фирмы. Все пострадавшие стороны были уведомлены об инциденте, Sembcorp обязалась помочь им управлять всеми возможными рисками и принять соответствующие последующие меры.
Бизнес-операции Sembcorp Marine затронуты не были, сканирование, проведённое экспертами по ИБ, не выявило утечки конфиденциальных данных. Ожидается, что кибератака не окажет существенного влияния на материальные активы и прибыль на акцию Sembcorp Marine.
Компания Samsung подтвердила утечку данных, затрагивающую личную информацию клиентов. По заявлению компании, инцидент был обнаружен в конце июля. «Неавторизованная третья сторона получила информацию из некоторых систем Samsung в США». Компания заявила, что 4 августа установила, какие данные клиентов были скомпрометированы. Номера социального страхования и кредитных карт затронуты не были, но была взята информация о клиентах — имя, контактная и демографическая информация, дата рождения и регистрационная информация о продукте.
«Мы уведомляем пользователей об инциденте», — говорится в заявлении.
Представитель Samsung отказался сообщить, сколько клиентов пострадало или почему компании потребовалось больше месяца, чтобы уведомить клиентов о нарушениях. Компания отметила, что координирует свои действия с правоохранительными органами, а также предприняла шаги для защиты своих систем и привлекла стороннюю фирму по кибербезопасности.
Это второй случай, когда Samsung подтверждает утечку данных в этом году. В марте 2022 г. компания признала, что хакерская группа Lapsu$ завладела почти 200 Гб конфиденциальных данных, включая исходный код различных технологий и алгоритмов операций биометрической разблокировки.