Широкообхватните промени, въведени след кибератаката от май 2021 г., помагат, но според експерти по сигурността трябва да се свърши още работа.
С наближаването на втората годишнина от масираната атака над Colonial Pipeline с цел получаване на откуп, експертите предупреждават, че усилията за осуетяване на потенциално разрушителната заплаха за критичната инфраструктура на САЩ не са били достатъчни.
Кибератаката срещу ИТ инфраструктурата на компанията принуди Colonial Pipeline да спре цялата си дейност за първи път в историята, предизвиквайки недостиг на гориво и повишаване на цените, което накара четири американски щата по Източното крайбрежие да обявят извънредно положение. Инцидентът незабавно издигна рансъмуера до заплаха от ниво национална сигурност и предизвика съгласувани действия от изпълнителната власт надолу.
След тази атака – и друга, извършена скоро след това срещу JBS, която доведе до недостиг на месо в страната – правителството на САЩ заяви, че ще третира използването на ransomware върху критична инфраструктура като тероризъм. Изпълнителна заповед, подписана от президента Байдън само няколко дни след атаката на Colonial Pipeline, наложи нови изисквания за сигурност на организациите от критичната инфраструктура. На федерално равнище и от страна на регулаторните органи бяха предприети и множество други инициативи за повишаване на устойчивостта на атаките срещу критичната инфраструктура на САЩ.
Въпреки това две години по-късно заплахата от ransomware за критичната инфраструктура остава висока, както показа неотдавнашната атака срещу най-големия американски доставчик на хладилни складове Americold. Атаката – подобно на тази срещу Colonial Pipeline – принуди Americold да спре операциите по студено съхранение, докато работи за отстраняване на заплахата. Миналата година 870 от 2385-те оплаквания за ransomware, които ФБР е получило, са били свързани с организации от критичната инфраструктура. Данните на ФБР показват, че в 14 от 16-те определени сектора на критичната инфраструктура е имало поне една жертва на ransomware.
Тенденцията се запазва с неотслабваща сила и през 2023 г: Докладът на BlackFog за състоянието на рансъмуера за април 2023 г. показа, че атаките с рансъмуер срещу правителството и здравния сектор продължават да нарастват, въпреки че други доставчици съобщават за забавяне на обема на атаките.
Експертите по сигурността разглеждат ситуацията като такава, при която въпреки свършената досега работа има още много за правене.
Тереза Пейтън, главен изпълнителен директор на Fortalice Solutions и бивш главен информационен директор на Изпълнителното бюро на президента в Белия дом, изброява няколко мерки от Colonial Pipeline насам, които смята за положителни стъпки в борбата срещу ransomware. Сред тях са Изпълнителна заповед 14028 на президента Байдън за подобряване на киберсигурността на нацията, Меморандум за национална сигурност 5, насочен специално към системите за контрол на критичната инфраструктура, и усилията за създаване на модели за киберсигурност с нулево доверие във федералните агенции съгласно М-22-09. Заслужават да се отбележат и мерки като Закона за докладване на киберинциденти за критичната инфраструктура и разпоредбите за киберсигурност в двупартийния законопроект за инфраструктурата.
Систематичното разбиване от ФБР на силно разрушителната група Hive ransomware е друг показател за напредък, казва Пейтън.
Това, което е необходимо сега, обяснява тя, са по-конкретни директиви за организациите от критичната инфраструктура. „Трябва да развием минималните изисквания за киберсигурност за критичните сектори [и да подобрим] стандартите за удостоверяване и доказване на самоличността, за да предотвратим възникването на инциденти с рансъмуер“, казва тя.
„Организациите от критичната инфраструктура като Colonial Pipeline трябва да възприемат принципите на нулевото доверие, за да предотвратят атаките с ransomware, особено след като социалното инженерство става все по-реалистично, изтънчено, устойчиво и сложно“, казва Пейтън.
Майк Хамилтън, бивш директор по сигурността на градската управа на Сиатъл и настоящ директор по сигурността на фирмата за киберсигурност Critical Insight, казва, че атаката на Colonial Pipeline е разкрила липсата на добри процедури сред операторите на американска инфраструктура за възстановяване след сериозна кибератака.
„След като Colonial спря работата на тръбопровода от излишна предпазливост, им отне твърде много време да започнат отново, което удължи съществуващия проблем с доставките на гориво“, казва той. „Това е проблем на устойчивостта. Трябва да можете да поемете удар и да се измъкнете, преди да е свършила атаката.“
През двете години след инцидента с тръбопровода Colonial Pipeline американските правителствени организации са работили за това атаките с рансъмуер да станат по-трудни и по-скъпи за нападателите, отбелязва Хамилтън. Министерството на финансите, например, използва съществуващите правомощия на Службата за контрол на чуждестранните активи (OFAC), за да забрани използването на криптоборси за плащания при изнудване. Министерството на правосъдието на САЩ също е по-агресивно в проактивното унищожаване на престъпната инфраструктура и задържането на престъпници.
Занапред акцентът трябва да бъде поставен върху защитата и премахването на престъпната инфраструктура, казва той. Идентифицирайте и санкционирайте престъпниците за евентуално залавяне и лишаване от свобода и забранете на жертвите на ransomware да извършват плащания, казва Хамилтън.
Американската агенция за киберсигурност и инфраструктура (CISA) също играе активна роля в това да накара федералните агенции да засилят защитата срещу ransomware и други киберзаплахи.
Каталогът на агенцията „Известни експлоатирани уязвимости“ например изисква от всички граждански правителствени агенции да поправят уязвимости, които се експлоатират активно, в рамките на определен срок – обикновено две седмици – за да се сведе до минимум излагането на киберзаплахи. Неотдавна CISA стартира пилотна програма за предупреждаване за уязвимост на рансъмуер (Ransomware Vulnerability Warning Pilot – RVWP), за да предупреждава организациите в секторите на критичната инфраструктура за системи с уязвимости в тях, които нападател с рансъмуер може да използва. През март 2023 г. CISA стартира свързаната с нея инициатива за предварително уведомяване за рансъмуер, в рамките на която предупреждава организациите за рансъмуер банди в техните мрежи, за да могат да отстранят заплахата, преди да се стигне до криптиране на данни.
Програмите са част от Съвместното сътрудничество за киберзащита (JCDC) на CISA, чрез което агенцията получава съвети и информация за заплахи от изследователи в областта на киберсигурността и фирми за разузнаване на заплахи.
„CISA призна заплахата от ransomware за критичната инфраструктура“, казва Мариано Нунес, главен изпълнителен директор и съосновател на Onapsis. От началото на годината те вече са сигнализирали на над 60 организации от секторите на здравеопазването, комуналните услуги и други сектори за потенциални заплахи от прерансъмуер в техните мрежи, казва той.
Подобна помощ е жизненоважна, тъй като атаките с рансъмуер срещу критичната инфраструктура се увеличават, казва Нунес.
„Повърхността на атаките ще продължи да нараства, тъй като комуналните услуги и критичната инфраструктура стават все по-свързани или взаимосвързани онлайн“, отбелязва той. „Преминаването към облака също може да създаде някои проблеми, тъй като тази промяна може да затрудни навременното наблюдение на активните заплахи и оценката на уязвимостите.“
Един от факторите, който може да усложни усилията за справяне с проблема с рансъмуера, е нарастващата тенденция на жертвите да отлагат докладването на инцидента или да го прикриват изцяло, ако е възможно.
Според BlackFog проучванията на компанията показват, че организациите, загрижени за потенциалните щети върху техните марки, репутация и отношения с клиентите, отлагат, а понякога и не съобщават за инцидент с ransomware.
„Сега виждаме, че повече от 90% от всички атаки вече не криптират устройствата на жертвата, а просто ексфилтрират данните с цел изнудване“, казва Дарън Уилямс, главен изпълнителен директор и основател на BlackFog. „Разходите, свързани с излагането на риск, са просто твърде високи; загубата на бизнес, възстановяването, регулаторните глоби и колективните искове са само част от проблемите, с които трябва да се справяме.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.