В края на октомври 2021 г. Агенцията на Европейския съюз за киберсигурност (ENISA) публикува своя доклад за ландшафта на заплахите. Сега, в деветото си издание, този доклад трябва да се счита за основен източник на материал за ИТ специалистите, които сериозно се занимават със справяне с кибер заплахите и смекчаване на киберриска.
Това е вярно, независимо дали имате технически или корпоративен риск. Това е тема, която лесно може да запълни книга, но нека вместо това се съсредоточим върху три въпроса, повдигнати от доклада. Игнорирайте ги на свой риск.
Заплахи, свързани с имейл (които заблуждават хората)
Докладът прави разлика между свързаните с имейл заплахи, които използват слабостите в човешката психика и ежедневните ни навици, и техническите уязвимости в информационните системи. Справедливо е да се каже, че запознаването с програмите за информираност и обучение се засили през 2021г., тъй като неприятните инциденти с фишинг попаднаха в заглавията от двете страни на Атлантика.
В Обединеното кралство West Midlands Trains претърпя значителна обществена реакция за увличане на персонала си с имейл, съдържащ примамка, която обещаваше бонус на персонала за тяхната лоялност и ангажираност по време на COVID-19. Променете местоположението на САЩ, а бизнеса, който участва, на издателската компания Tribune и можете да се досетите добре за заглавието в New York Times.
Заглавията обаче не свършват дотук. Според други новини, свързани с образованието и обучението, ProofPoint най-накрая се съгласи да прехвърли серия от спорни уеб домейни във Facebook. Платформата за обучение за фишинг на ProofPoints ThreatSim използва facbook-login.com, facbook-login.net, както и други подобни домейни, свързани с Instagram. Решението за прехвърляне на домейни обратно във Facebook беше разумно, като се има предвид, че имаше всички отличителни белези на нарушение на търговската марка, но то повдига въпроса: ако курсът за обучение не може да използва двойници поради нарушение на търговската марка, тогава за каква цел служат тези курсове?
Отговорът на този въпрос може да се съдържа в прозренията, споделени от професорите Анджела Сасе и Мелани Волкамер. Тяхната работа може да спести на фирмите значителни ресурси, както във време, така и в пари. Те стигнаха до заключението, че въпреки че обучението за фишинг има ограничена ефикасност, ползите се изпаряват в рамките на дни.
Това е особено интересно в светлината на факта, че това прозрение е отразено в последния доклад на ENISA: „Въпреки многото кампании за повишаване на осведомеността и образованието срещу тези видове атаки, заплахата продължава да съществува в значителна степен“. С други думи, обучението за фишинг не е от съществена полза за бизнеса, като не предоставя дългосрочни защитни мерки.
Основни заплахи: само имената са променени
Вторият въпрос, който впечатлява, докато четем доклада, е, че макар имената на кибер заплахите да се променят през годините, основните проблеми остават същите.
За да проверим това предположение, преглеждаме докладите от 2012г. В доклада за 2020 г. ENISA идентифицира девет основни заплахи, като първите две са рансъмуер и злонамерен софтуер. От 2019г. до 2015г. рансъмуерът и злонамереният софтуер отново бяха докладвани като основни заплахи. Така че няма промяна оттогава.
През 2014г. двете основни заплахи бяха рансъмуер и злонамерен код. Четейки по-дълбоко, под злонамерен код се означаваше троянски коне и червеи или това, което днес наричаме зловреден софтуер. 2013? Имаше разлики, но те отново бяха леки. ENISA предупреди за ransomware и включи термините „rogueware“ и „scareware“ и „злонамерен код: червеи и троянски коне“.
Предишната година, 2012г., думата ransomware все още не беше част от лексикона на кибер заплахите; той беше просто посочен като rogueware или scareware. Зловредният софтуер беше просто червеи и троянски коне.
Казано по-просто, историята от 2012 г. остава същата. Променени са само имената.
Това трябва да успокои фирмите: въпреки широко разпространените съобщения за нови заплахи или атаки от нулев ден, основните заплахи за бизнеса продължават да са същите, каквито сме виждали през по-голямата част от последното десетилетие.
Освен това, и може би най-важното, ключовите тенденции, идентифицирани в доклада, поставят компрометирането чрез фишинг имейли и грубо налагане на протоколи за отдалечен работен плот (RDP) като двата най-често срещани вектора на заразяване с рансъмуер.
Това не трябва да е шокиращо. Професорът по управление в Оксфордския университет Киаран Мартин, бивш основател на Националния център за киберсигурност на Обединеното кралство и неговият първи главен изпълнителен директор, често е цитиран; „Проблемите, пред които сме изправени, са хронични, а не катастрофични.’’
Уроците
И така, защо е важно да се установи, че заплахите не са нови, а остават същите? Има поне две причини. Първо, управляващите компаниите са длъжни да проявяват разумна грижа, умения и усърдие.
Това правно задължение може да се намери в Закона за дружествата както в Обединеното кралство, така и в Ирландия, ЕС, както и в целия свят на общото право, съдържащ се във вътрешното законодателство в Канада, Австралия и Нова Зеландия. Задължението съществува в САЩ, но все още не е кодифицирано.
Държавите с гражданско право имат подобно изискване. Германците приеха това задължение за грижа в AKTG, което е наборът от закони, които управляват компаниите, отбелязани на фондовата борса. Той гласи: „При управлението на делата на дружеството членовете на управителния съвет трябва да полагат дължимата грижа на разумен мениджър, който вярно изпълнява задълженията си.
Въпросът, който бизнесите, техният борд, акционерите и други заинтересовани страни трябва да зададат е: изпълняват ли директорите задълженията си към компанията, ако не се справят с най-значимите известни заплахи за техния бизнес?
Заплахи, за които, нека бъдем наясно, предприятията са били предупреждавани година след година от доверени, независими експерти. Заплахи, които са повече от разумно идентифицирани; тези заплахи са *лесно* разпознаваеми.
Това ни отвежда до втората причина, поради която е важно да се установи, че заплахите не са нови, но остават едни и същи от година на година. В случай на кибератака, при която бизнес операциите са нарушени, репутацията на компанията е увредена поради течове или цената на акциите претърпява шок от новините, солидна защита на разположение на фирмите и техните директори е, че заплахата не е била разумно идентифицирана .
Съдилищата не очакват режисьорите да виждат зад ъглите, но очакват те да прочетат написаното в сценария. Това е още по-належащо, когато това е написано още от 2012г. И така, когато заплахата е разумно разпознаваема, следващият въпрос, който фирмите трябва да зададат, е дали тази заплаха е избегната, може би чрез прехвърляне или управление на риска?
Кибер застраховката доскоро предоставяше нещо като защитна мрежа. Застрахователният сектор обаче се клати от загуби и реагира на експлозията от атаки на ransomware, като изисква от клиентите да прилагат минимални стандарти за киберсигурност за справяне с известни кибер заплахи. Този ход е начинът, по който застрахователните компании в миналото са управлявали други рискове.
По същество, за да ограничат загубите, застрахователните компании изискват от застрахованите да предприемат разумни стъпки, за да се защитят и да изградят цифрова устойчивост. Полезно е, че те специално призовават за определени мерки. В бъдеще застрахованият ще трябва да има внедрени стандарти, които включват такива мерки като многофакторна автентификация (MFA), криптиране, DMARC и защита на крайната точка.
Застрахователните компании, работещи в киберзастрахователното пространство, сега отхвърлят фирми, чиято позиция за киберсигурност е толкова слаба, че носи всички белези на лесна мишена. И така, ако не можете да прехвърлите риска на застрахователната компания, как иначе можете да се справите с тези известни заплахи? Един от отговорите е да се уверите, че имате разумни отговори на същите въпроси, които съдилищата ще задават:
Отговорът с „да“ на всички въпроса и бездействието означава, че вашият бизнес е ограничил защитите, с които разполага. Не само в лицето на кибератака, но и след нея, което може да включва проблеми със спазването на законите, регулаторни глоби и групови искове.
За да се сложи край, и казано по-просто, ако заплахата е разумно предвидима и избегната, мениджърите на фирмата са длъжни да я управляват. Това ни води точно до третия въпрос: какво могат да направят бизнесите?
Специфични смекчаващи действия
Този трети и последен въпрос се отнася до заплахите, свързани с имейлите, и точката на ENISA, че свързаното обучение изглежда няма съществено въздействие.
Въпреки това, съдържащи се в препоръките в 6.2, на страница 58, авторите също пишат: „Осигурете редовно обучение на потребителите за това как да идентифицирате подозрителни връзки и прикачени файлове и как да докладвате за тях.“ Това изглежда необичайно, ако заключението е, че въпреки обучението, заплахата продължава в значителна степен.
Успокояващо е обаче, че препоръките включват решения, за които е известно, че работят, включително препоръката да се поставят „контроли за сигурност на шлюза за електронна поща, за да се намали честотата или възможността примамките да пристигат във входящите кутии на вашите служители“ и да се приложи един от стандартите за намаляване на спам имейлите, по-специално извикване на DMARC. Успокояващо, тъй като протоколът DMARC ще навърши десет години през 2022 г.!
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.