Добро пожаловать в Кибербезопасность сегодня. Это обзор недели за неделю, закончившуюся в пятницу, 15 декабря 2023 года. Я Говард Соломон, репортер по кибербезопасности для ITWorldCanada.com и TechNewsday.com в США.
Через несколько минут Терри Катлер из Монреальской лаборатории цитологии будет здесь, чтобы обсудить несколько историй за последние семь дней. К ним относятся отчет парламента Великобритании, в котором говорится, что страна не готова к целенаправленной атаке с помощью программ-вымогателей, Северокорейская группа «Лазарь» все еще использует уязвимость Log4j двухлетней давности. и последние новости об инсайдерских атаках в тюремном заключении и Отчет ВВС США об утечке данных летчиком.
Но прежде чем мы перейдем к обсуждению этих историй, вот другие недавние новости, произошедшие на этой неделе:
Соединенные Штаты и Великобритания. ввел санкции против базирующейся в России группы Callisto, которую обвиняют не только в широкомасштабных кибератаках, но и в попытке подорвать демократические процессы в Британии.
Портал для родителей Edulog используемый некоторыми школьными советами, чтобы родители могли следить за школьными автобусами, имели проблемы с контролем доступа, которые ухудшали безопасность. Исследователи из Tenable заявили уязвимость могла позволить любому получить доступ к конфиденциальным данным. Edulog сообщает, что исправил проблему в API портала.
Отключение место утечки данных банды вымогателей AlphV/BlackCat до сих пор не объяснено. Ни один правоохранительный орган не признал свою причастность к отключению электроэнергии. Однако в четверг банде удалось распространить информацию о том, что она напала на фирму по управлению бизнесом в Торонто. Он утверждает, что было скопировано 8 ТБ данных. Фирма не ответила на мой запрос по электронной почте о комментариях.
Microsoft захватила веб-сайты и ИТ-инфраструктура в США банды, которую она называет Шторм-1152. Это создатель номер один и продавец поддельных учетных записей Microsoft для мошенников. Эти учетные записи можно использовать для обхода программного обеспечения для проверки личности. Однако у банды могут быть сайты онлайн-распространения в других странах.
Количество продукты управления данными от Dell Technologies требуют исправлений. Компания говорит серверы PowerProtect Data Domain, APEX Protection Storage и Data Manger Appliance необходимо обновить для устранения серьезных уязвимостей.
Полиция во Франции арестовали россиянина подозревается в отмывании средств для банды вымогателей Hive. Изъято криптовалюта на сумму более полумиллиона евро. Сеть Hive была демонтирована в январе.
Министерство обороны Великобритании был оштрафован эквивалент почти 600 000 долларов за распространенную ошибку при отправке электронной почты: массовую рассылку электронных писем множеству людей и помещение всех их адресов электронной почты в раздел «Кому». Адреса электронной почты должны были быть отправлены в виде скрытой копии. Вместо этого были раскрыты имена и подробности о 265 афганцах, претендующих на въезд в Соединенное Королевство. Если бы список имен попал в руки Талибана, их жизни могли бы оказаться под угрозой.
И здравоохранение Южного Иллинойса уведомляет более 147 000 пациентов об утечке данных. Инцидент в клинике в Гаррисберге произошел 12 месяцев назад. Скопированные данные могли включать имена, даты рождения, номера социального страхования и клиническую информацию.
(Эта отредактированная стенограмма охватывает один из четырех обсуждаемых вопросов. Чтобы услышать полный разговор, включите подкаст)
Говард: Насколько правительство должно лидировать в борьбе с программами-вымогателями?
В докладе Британской парламентской стратегии национальной безопасности о программах-вымогателях на этой неделе говорится, что, поскольку значительная часть критически важной инфраструктуры Великобритании уязвима, скоординированная и целенаправленная атака может нанести серьезный ущерб британской экономике. В докладе говорится, что правительству следует рассмотреть возможность создания национального регулятора киберустойчивости для критически важной инфраструктуры, который будет охватывать коммунальные предприятия, банки, телекоммуникации, транспорт, сельское хозяйство и правительства. В докладе говорится, что фирмы, пострадавшие от программ-вымогателей, практически не получают поддержки со стороны правоохранительных органов или государственных органов. По крайней мере, государственный Национальный центр кибербезопасности должен финансироваться для поддержки всех пострадавших в государственном секторе, таких как муниципалитеты и больницы, до полного выздоровления. Более критично в докладе жалуется, что, хотя министерство внутренних дел, которое, среди прочего, отвечает за полицейские департаменты, должно быть ведущим департаментом по борьбе с программами-вымогателями, бывший ответственный министр кабинета министров, министр внутренних дел, не проявлял к этому никакого интереса. В отчете говорится, что ответственность за программы-вымогатели должна лежать на вице-премьере.
Это довольно зажигательная штука. Мой первый вопрос: готова ли какая-либо страна к тому, что в докладе называется «скоординированной и целенаправленной атакой?»
Терри Катлер: Здесь есть что переварить, и не только из-за огромной сложности. Не существует одной группы, которая занимается всем [in a nation] поэтому нам необходимо иметь развитую инфраструктуру кибербезопасности и постоянно обновлять ее. И должно быть сотрудничество между национальным и корпоративным уровнями. Просто попытайтесь представить людей, которые занимаются всем этим. В одной компании есть директора по информационной безопасности, которые стареют на три года, и они, вероятно, потеряют 50 лет своей жизни, справляясь со всем этим. Таким образом, самым важным элементом будет сотрудничество между правительством и частным сектором. Необходимо постоянно проводить регулярное обновление приложений, аудиты и тесты на проникновение, чего сейчас мы не наблюдаем в компаниях. И если они также хотят придерживаться более строгой нормативной базы, должны быть приняты более строгие законы — что-то вроде GDPR в Европе, где должны быть уведомления о нарушениях для жертв и правительства.
Говард: В этом году мы стали свидетелями рекордного количества сообщений об атаках с использованием программ-вымогателей, что поднимает вопрос о том, может ли страна быть готова к скоординированной и целенаправленной атаке с использованием программ-вымогателей, которая является наихудшим сценарием?
Терри: Все сводится к быстрому реагированию и обнаружению. Но у нас не хватает специалистов по кибербезопасности. Во всем мире нам не хватает 3 миллионов сотрудников. Например, не многие из нас хотят работать на правительство, потому что зарплата намного меньше. [than the private sector]. У вас меньше гибкости в графике. Все эти факторы вступают в силу. Я согласен, что необходимы специализированные силы кибербезопасности, которые будут иметь необходимые меры для защиты страны. Также необходимо сотрудничество с правоохранительными органами, потому что мы можем остановить эти атаки определенными способами, но нам нужно найти источник и остановить этих плохих парней.
Говард: Я уже много раз задавал этот вопрос: сейчас 2023 год, программам-вымогателям всего пару лет, и наверняка каждая компания уже знает, что нужно быть готовой к любой кибератаке. Так почему же критически важные отрасли инфраструктуры не готовы сейчас?
Терри: У вас все еще есть много устаревших ИТ-систем, особенно в здравоохранении. Мы все еще видим Windows XP [in organizations], и они не предназначены для работы с более современными технологиями. Но вы не можете просто массово обновить эти вещи или заменить их, потому что это может быть чрезвычайно дорого. Мало того, что некоторые операционные системы встроены в эту технологию. Например, в здравоохранении радиологический аппарат, стоимость которого может составлять 200 000 долларов, может иметь встроенную Windows XP. Вы не можете просто обновить прошивку; вам придется заменить все оборудование. И есть бюджетные ограничения. Бюджет на кибербезопасность не безграничен, особенно в частном секторе. Я думаю, что самая большая проблема также заключается в том, что эти угрозы развиваются так быстро, что нам нужны искусственный интеллект и другие технологии, чтобы остановить атаки.
…Человеческая ошибка – одна из самых больших угроз. Даже если мы проведем много тренингов по безопасности, у одного сотрудника может быть выходной. Они нажимают на то, что им не положено, и это позволяет хакеру проникнуть в их среду. Мы также имеем дело с проблемами цепочки поставок, как мы видели в случае с Solarwinds… Слишком много сложностей. [in IT environments] и защитить их очень и очень сложно.
Говард: В докладе поднимается вопрос, насколько я думаю, какая часть этого ложится на плечи правительства. В Канаде и США есть правительственные учреждения, такие как Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Канадский центр кибербезопасности. У них есть ресурсы, которые компании могут использовать. И, конечно же, компании могут положиться на своих основных поставщиков — Microsoft, IBM, Cisco Systems и так далее. Но, похоже, компании не понимают этого сообщения. Из расследований мы знаем, что многие компании по-прежнему не обеспечивают элементарную кибербезопасность. Почему это происходит? Должны ли правительства настаивать на кибербезопасности или отрасль должна лидировать?
Терри: Я думаю, что это должно быть возглавлено отраслью, потому что мы находимся на переднем крае наблюдения за этими атаками. Мы активно реагируем на инциденты, собираем множество доказательств того, как происходят эти атаки… Роль правительства заключается в том, чтобы отвечать за установление стандартов и правил. Вы хотите убедиться, что организации соблюдают требования, и обеспечить определенный тип безопасности базового уровня. Теперь, конечно, небольшие компании думают, что никто не захочет их взломать. Но киберпреступники знают, что у них нет времени, денег или ресурсов для борьбы с кибербезопасностью, поэтому это делает их мишенью номер один. Поэтому им нужна помощь, даже если это государственные гранты или налоговые льготы, чтобы помочь им идти в ногу со временем. [technology].
Правительство также должно предоставлять ресурсы и рекомендации, как CISA. Они собираются провести некоторые исследования и разработки. Конечно, правительствам необходимо международное сотрудничество. Также проводятся кампании по повышению осведомленности общественности, направленные на пропаганду более безопасного поведения в Интернете.
Если мы посмотрим на ответственность частного сектора, то ему будет поручено реализовать эти меры и иметь технологии, которые помогут защитить компанию. Это также потребует непрерывного обучения и образования… Частный сектор также может инвестировать в киберталанты. Я думаю, что самый большой вывод здесь — это сотрудничество. Мы должны иметь возможность делиться с правительством той информацией, которую мы видим на местах, и помогать им создавать надлежащие рамки.
Говард: В докладе выдвигается идея о создании в Великобритании нового национального регулятора киберустойчивости критически важной инфраструктуры, который будет иметь право наказывать организации, не соответствующие нормативным стандартам кибербезопасности. Что вы думаете об этой идее в Канаде или США?
Терри: Это действительно хорошая идея. Но многие компании скажут, что у них нет времени или бюджета. Но если у вас есть программы стимулирования, такие как налоговые льготы, это, вероятно, поможет. Есть некоторые плюсы и минусы: некоторые из преимуществ заключаются в стандартизации методов кибербезопасности. Специальный регулятор мог бы помочь обеспечить соблюдение и стандартизировать меры кибербезопасности во всех этих отраслях. По крайней мере, есть базовый уровень. Наконец-то появится некоторая подотчетность, потому что сейчас мы этого не видим. Но сейчас у вас есть сложности с регулированием… Кибербезопасность — это глобальная проблема, поэтому гарантировать, что регулирующие органы смогут согласовать международные нормы и практику, будет очень и очень сложно.
Говард: Канадское правительство имеет предложил закон о кибербезопасности для надзора за критической инфраструктурой. Сейчас он находится на рассмотрении парламента. Один из пунктов даст министру промышленности право приказывать телекоммуникационным компаниям предпринимать конкретные действия для обеспечения безопасности сектора связи. Закон также создаст режим соблюдения кибербезопасности для всех критически важных отраслей с использованием существующих регуляторов, таких как Управляющий банками, который курирует финансовый сектор; Канадский регулятор энергетики, который контролирует межпровинциальные коммунальные предприятия. Так что необходимости в создании нового регулятора не будет. Но эти органы будут иметь возможность налагать штрафы за несоблюдение стандартов кибербезопасности. Хотя законопроект был внесен более года назад, он еще даже не находится на стадии обсуждения в комитете.
Терри: Я помню, как еще в 2013 году выступал перед Советом конференций Канады о том, как много телекоммуникационные компании могут видеть в Интернете. Одна из самых больших проблем заключается в том, как защититься от вещей, которых вы не знаете или никогда не видели? Именно здесь на помощь приходят операторы связи, потому что они имеют наибольшую видимость через Интернет. И если вы объедините их с правоохранительными органами, киберпреступникам придется сражаться. Законопроект C 26 имеет здесь некоторые преимущества. Это поможет улучшить защиту от кибербезопасности, особенно в критической инфраструктуре. Это даст полномочия министру промышленности и наверняка поможет защититься от киберугроз, потому что сейчас телекоммуникационные компании не обеспечивают достаточной кибербезопасности на своей внутренней стороне.