BIS Journal №1(52)2024

4 марта, 2024

Регуляторы всех стран, ужесточайтесь!

Нормативные требования в сфере кибербезопасности стремятся к защите КИИ, сулят огромные штрафы и уголовные наказания.

 

КЛАССИФИКАЦИЯ ИНЦИДЕНТОВ И КАРАТЕЛЬНЫЕ МЕРЫ

В декабре 2023 года Администрация киберпространства Китая (CAC) опубликовала для обсуждения проект требований по формированию отчётности об инцидентах кибербезопасности. В проекте указывается, что кража информации о национальной безопасности должна быть признана серьёзным инцидентом, а сокрытие такого происшествия будет строго караться, пишет портал Global Times. 

По данным CAC, документ призван стандартизировать отчётность об инцидентах кибербезопасности и сократить потери и ущерб, причиняемые киберинцидентами.

В документе уточняется, что операторы должны оперативно инициировать планы реагирования на чрезвычайные ситуации для устранения инцидентов. Согласно рекомендациям, о крупных, серьёзных или чрезвычайно серьёзных инцидентах следует сообщать в течение одного часа.

Инцидент сетевой безопасности считается чрезвычайно серьёзным, если приводит к отказу системы и потере возможности обработки бизнес-процессов.

В классификацию инцидентов также включены ситуации, при которых информация, содержащая государственную тайну, конфиденциальные сведения и данные, теряется, украдена или сфальсифицирована. Такой инцидент представляет особо серьёзную угрозу национальной безопасности и социальной стабильности.

Другие события, определённые как чрезвычайно серьёзные инциденты, определяются по следующим признакам:

  • недоступность веб-сайтов партийных и правительственных порталов государственного, регионального или местного уровня, ключевых новостных порталов более 24 часов;
  • недоступность или перерыв в работе КИИ более чем на шесть часов или отказ в работе их основных функций более чем на 24 часа;
  • события, которые затрагивают работу и жизнь более 30% населения в одном административном районе провинциального уровня или затрагивают вопросы обеспечения водой, электричеством, газом, маслом, отоплением или транспортом более 10 млн человек;
  • утечки персональных данных более 100 млн человек или прямые экономические потери на сумму более 100 млн юаней ($14 млн).

Проект документа показывает, что для Управления сетевой безопасностью Китая начинается новый этап развития, считают китайские должностные лица. Классификация инцидентов по уровням серьёзности является главной особенностью документа, поскольку позволяет распределить происшествия на основе их срочности и важности, устраняет путаницу, возникающую в критических ситуациях. 

По мнению CAC, если оператор задерживает отчётность, искажает или скрывает инцидент, приводящий к серьёзным последствиям, то ответственные лица должны быть наказаны в соответствии с законом. Реализация карательных мер имеет решающее значение для обеспечения эффективного исполнения законов и защиты национальной безопасности, считают китайские эксперты. 

При обнаружении инцидента оператор должен сообщить название подразделения, где произошла кибератака, и основную информацию о задействованных объектах, системах и платформах, а также время, место, тип события, степень воздействия и причинённый вред. В отчёте должны быть отражены принятые меры и их эффективность, тенденция развития ситуации, возможные дальнейшие последствия и вред, а также предварительный анализ причин инцидента. 

 

НЕ УЛОЖИЛИСЬ В СРОКИ

По данным Управления подотчётности правительства США (GAO), 20 из 23 федеральных департаментов и агентств США не уложились в установленные законом сроки для внедрения возможностей реагирования на инциденты, связанные с киберугрозами. Новый отчёт GAO показал, что по состоянию на август 2023 года только три из 23 федеральных подразделений соответствовали требуемым стандартам регистрации событий, предусмотренным Приказом Президента США (№ 14028 от 2021 года, «Требования к реагированию на инциденты кибербезопасности и статус завершения»). Согласно этому документу, Управление по управлению и бюджету США (OMB) требует, чтобы все федеральные агентства США достигли «третьего уровня» организации мониторинга киберинцидентов, на котором надлежащим образом ведутся и хранятся журналы мониторинга на всех уровнях критичности. 

Несмотря на то что большинство агентств делают шаги по стандартизации планов реагирования и несколько улучшили свои возможности обнаружения, анализа и обработки инцидентов, только три из них достигли продвинутого — третьего— уровня. Из оставшихся двадцати три находятся на первом, базовом, уровне, а 17 — на неэффективном нулевом уровне, пишет портал Cyber Security Hub. 

«До тех пор пока все агентства не внедрят требования к регистрации событий, способность федерального правительства в полной мере обнаруживать, расследовать и устранять киберугрозы будет ограничена», — говорится в отчёте GAO. Среди агентств, которые не смогли достичь третьего уровня, — Госдеп США, Министерства торговли и юстиции. 

Федеральные агентства США сообщают о многочисленных проблемах реагирования на инциденты в области кибербезопасности. Для решения проблем агентства используют различные инструменты и услуги, которые предоставляются Агентством по кибербезопасности и инфраструктурной безопасности (CISA) и сторонними компаниями, привлекают к работе квалифицированный персонал и выделяют финансирование. При этом агентства сталкиваются с тремя ключевыми проблемами, которые препятствуют в полной мере подготовиться к реагированию на инциденты кибербезопасности: 

  • нехватка персонала;
  • технические проблемы с регистрацией событий;
  • ограничения в обмене информацией о киберугрозах.

Для решения этих вопросов федеральные органы власти принимают усилия, которые включают помощь CISA, семинары, рекомендации и усовершенствование платформы обмена информацией о киберугрозах. В долгосрочной перспективе запланированы реализация Национальной стратегии в области трудовых ресурсов и образования и внедрение новой платформы для анализа угроз, создаваемой с участием CISA. Первый этап внедрения платформы в федеральных департаментах и агентствах ожидается в 2024 финансовом году, говорится в отчёте. 

 

ЮРИДИЧЕСКИЙ СПОР ПРИВЁЛ К КИБЕРАТАКАМ

В марте 2023 года Агентство по охране окружающей среды США (EPA) выпустило уведомление, предупреждающее компании о росте кибератак на муниципальные системы водоснабжения. По данным EPA, эти атаки могут привести к отключению или загрязнению путей доставки питьевой воды. И хотя некоторые государственные управляющие компании приняли шаги для повышения кибербезопасности своих систем водоснабжения, многие организации не смогли внедрить современные базовые методы ИБ и подвергаются высокому риску киберугроз. В числе таких компаний есть и финансируемые государством, утверждает EPA. 

В соответствии с федеральным «Законом о безопасной питьевой воде» штаты обязаны проводить регулярное, каждые 3–5 лет, обследование местных систем водоснабжения, чтобы оценить состояние систем, её источников и эксплуатацию, а также качество питьевой воды. Все выявленные в ходе обследования недостатки должны быть устранены в соответствии с требованиями. Согласно мартовскому уведомлению, в список оборудования для проверки включены электронные системы, например промышленные системы управления. Должна проводиться и проверка кибербезопасности любой используемой операционной технологии, которая может повлиять на водоснабжение и качество поставляемой потребителям воды. В меморандуме изложены различные подходы, с помощью которых штаты могут соблюдать требования EPA, включая самооценку водной системы, оценку третьей стороной, прямую государственную оценку и пр. В сопроводительном документе Агентство привело контрольный список вопросов по кибербезопасности, который могут использовать штаты для оценки ИБ. 

Однако новые требования вызвали неприятие в ряде штатов и у Ассоциации водопроводных предприятий США и Национальной ассоциации сельского водоснабжения. Они обратились в суд с требованием о приостановке уведомления EPA в связи с превышением полномочий последней. В июле 2023 г. суд Восьмого округа удовлетворил ходатайство истцов о приостановке действия меморандума до вынесения ходатайства на рассмотрение. В октябре EPA отозвало уведомление, сославшись на судебный процесс.

Осенью 2023 года ФБР, Агентство кибербезопасности и безопасности инфраструктуры (CISA), АНБ, Национальное управление кибербезопасности Израиля и EPA выпустили предупреждение, что как минимум с 22 ноября 2023 г. хакеры иранского Корпуса стражей исламской революции активно эксплуатируют уязвимости, найденные в системах водоснабжения и водоотведения США. В числе скомпрометированных устройств — программируемые логические контроллеры Unitronics израильского производства. В рядах пострадавших — система водоснабжения г. Аликвиппа (шт. Пенсильвания), взломанная иранской группировкой CyberAv3ngers. 

Агентства рекомендуют (после судебного решения они не могут требовать) выполнить три условия, чтобы водоснабжающие организации могли предотвратить или смягчить последствия кибератак: установить многофакторную аутентификацию, использовать уникальные пароли и проверить установленное оборудование на наличие паролей по умолчанию. Эти пункты идентичны трём из четырёх, которые были в списке контрольных вопросов из уведомления EPA. Как показало расследование инцидента в Пенсильвании, хакеры используют те слабые стороны, которые вызвали негодование эксплуатирующих организаций и на которые ранее обратило внимание Агентство.

После кибератак Ассоциация водопроводных предприятий призвала федеральное правительство законодательно установить режим регулирования для систем водоснабжения и канализации, создать частную отраслевую компанию, которая будет разрабатывать требования кибербезопасности и обеспечивать их соблюдение при непосредственном участии EPA. Аналогичный подход давно действует в электроэнергетике, однако до сих пор не реализован в виде закона. 

Как отмечают юристы, бюрократия и враждебность судов к федеральному регулированию замедляют усилия Администрации Байдена по принятию правил кибербезопасности для всех секторов экономики. Белый дом продолжает искать способы усилить безопасность критически важной инфраструктуры, пока конгресс США сопротивляется принятию новых регуляторных требований. Так, Департамент здравоохранения и социальных служб США (HHS) опубликовал план по реализации мер кибербезопасности для больниц, получающих выплаты Medicare и Medicaid.

 

ПОМОГИ СЕБЕ САМ 

Невозможность получить неотложную медицинскую помощь из-за кибератаки — это не страшная сказка, а реальность, с которой всё чаще сталкиваются пациенты в Северной Америке. Сфера здравоохранения — на всех этапах оказания медицинской помощи, от больниц до врачебной практики, — является основной мишенью для кибератак из-за её зависимости от сложных ИТ-систем и хранения персональных данных. 

Осенью 2023 года две крупные кибератаки нарушили работу медицинских компаний. 26 ноября компания Ardent Health Services подверглась атаке программы-вымогателя, которая нарушила работу 30 больниц и закрыла отделения неотложной помощи как минимум в трёх штатах. Ardent не смогла восстановить доступ к системе электронных медицинских карт и основным клиническим и бизнес-системам до 6 декабря. 

В декабре диализная группа Fresenius Medical Care (ФРГ) сообщила о взломе американской дочерней компании Cardioglass Consultants. Злоумышленник получил доступ к медицинским записям и личной информации 500 тыс. пациентов и их поручителей. Были скомпрометированы персональные данные 200 сотрудников.

Управление по гражданским правам США (OCR) зафиксировало увеличение количества утечек данных на 93% в период 2018–2022 гг., а медицинские компании сообщили OCR о 536 утечках данных только в течение 2023 г. Согласно исследованию 2021 г., проведённому Proofpoint и Ponemon Institute, во время атак программ-вымогателей наблюдается рост смертности пациентов в госпиталях. Кибератаки вынуждают больницы отменять плановые процедуры и срывают проведение экстренных операций.

Учитывая тенденции, Департамент здравоохранения и социальных служб США (HHS) разработал и опубликовал для обсуждения план по реализации мер ИБ, который позволит использовать существующие полномочия ведомства для установления требований кибербезопасности для больниц, получающих выплаты Medicare и Medicaid. Этот план является частью усилий по реализации Федеральной стратегии кибербезопасности. В документе основное внимание уделяется четырём основным целям.

  1. Добровольность принятия мер в области кибербезопасности для сектора здравоохранения. Цели эффективной кибербезопасности (Cybersecurity Performance Goals, CPG) будут включать основополагающие методы ИБ и поощрение внедрения передовых методов.
  2. Предоставление ресурсов для стимулирования и внедрения методов кибербезопасности. HHS будет реализовывать программы инвестиций и стимулирования.
  3. Внедрение общенациональной стратегии HHS для поддержки строгого правоприменения и подотчётности. Цель HHS — включить CPG в существующие правила и программы, в том числе через Центры услуг Medicare и Medicaid (CMS). Кроме того, OCR дополнит правило безопасности Закона о переносимости и подотчётности медицинского страхования (HIPAA) дополнительными требованиями кибербезопасности. 
  4. Создание и развитие единого центра кибербезопасности для установления тесной связи между организациями, предоставляющими медицинские услуги, и Управлением стратегической готовности и реагирования HHS (ASPR) — агентством, имеющим опыт обеспечения готовности к чрезвычайным ситуациям в сфере здравоохранения.

После публикации этого документа HHS заключило мировое соглашение с медицинской группой Lafourche Medical Group (LMG) из Луизианы в отношении фишинговой атаки 2021 г., которая привела к нарушениям HIPAA и утечке медицинских данные почти 35 тыс. человек. LMG согласилась выплатить OCR $480 тыс. и принять меры по внедрению мер безопасности, соответствующих требованиям HIPAA, и провести обучение персонала основам ИБ. 

В октябре 2023 г. HHS заключило соглашение со службой управления врачами (DMS) в связи с атакой программы-вымогателя, в результате которой в 2017 г. были скомпрометированы данные почти 207 тыс. человек. DMS согласилась выплатить OCR $100 тыс., принять меры для устранения нарушений HIPAA и улучшить меры безопасности. 

Эти соглашения показывают, что HHS расширяет свои правоприменительные полномочия и уделяет особое внимание усилиям по обеспечению отрасли здравоохранения надёжными и эффективными программами кибербезопасности. 

 

Аналогичным образом Департамент финансовых услуг Нью-Йорка (DFS) внёс поправки в свои правила кибербезопасности. Они расширяют требования к безопасности финансовых учреждений и применяются к любой организации, действующей или обязанной действовать в соответствии с Законом о банковской деятельности, Законом о страховании или Законом о финансовых услугах. Таким образом, под действие этих правил подпадают страховые компании, менеджеры по льготам в аптеках и аналогичные организации. Правила кибербезопасности в Нью-Йорке потребуют от больниц внедрения мер кибербезопасности для улучшения защиты систем и сетей, используемых для оказания помощи пациентам. Правила были рассмотрены Советом по общественному здравоохранению и планированию здравоохранения и прошли общественные обсуждения до 5 февраля 2024 г. Если правила будут доработаны и приняты, больницам предоставят один год до начала соблюдения требований.

Во Флориде компания Community HealthIT (CommHIT) выделила два федеральных гранта для учреждений здравоохранения и общественного здравоохранения в сельских, недостаточно обслуживаемых и отдалённых районах. Гранты предназначены для оказания помощи этим учреждениям в реализации мер кибербезопасности и обучения персонала.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

24.04.2024
У «Сбера» (и рынка?) будет свой SAP за «миллиарды рублей»
24.04.2024
В I квартале хакеры совершили более 19 млн атак на смартфоны россиян
24.04.2024
Минпромторг раздаёт деньги на отечественные решения
24.04.2024
Правительство одобрило ужесточение наказания за утечку ПДн
24.04.2024
«Мы разработали законодательную инициативу по дропам»
24.04.2024
«Мы обеспечили определённый уровень заказа». ГРЧЦ продолжает импортозамещать чипы
23.04.2024
В АП не поддержали поправки о штрафах за утечки ПДн
23.04.2024
Хакеры всё активнее DDoS-ят российскую отрасль энергетики
23.04.2024
Минпромторг начнёт выдавать баллы блокам питания?
23.04.2024
Microsoft — угроза для нацбезопасности? Бывает и такое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных