Добро пожаловать в Кибербезопасность сегодня. Это обзор недели за неделю, закончившуюся в пятницу, 16 февраля 2024 года. Я Говард Соломон, репортер по кибербезопасности для ITWorldCanada.com и TechNewsday.com в США.
Через несколько минут здесь будет Дэвид Шипли, глава службы безопасности Босерона, чтобы обсудить заголовки последних новостей. К ним относятся обязательства американских телекоммуникационных компаний сообщать о новых киберинцидентах и утечках данных; прогресс в разработке канадского закона о кибербезопасности; а кибератака на страхового брокера федеральным служащим Канады; и правильная стратегия предотвращения кражи транспортных средств с цифровыми ключами.
Но прежде чем я расскажу о Дэвиде, вот краткий обзор других событий, произошедших на этой неделе в сфере кибербезопасности:
Министерство обороны США уведомляет Десятки тысяч людей, их личная информация была раскрыта в результате ошибки электронной почты поставщиком услуг ровно год назад. > говорит Инцидент произошел с облачным почтовым сервером, к которому в течение трех недель был доступен доступ из Интернета без пароля.
Об этом заявил новый премьер-министр Польши предыдущая администрация незаконно использовала шпионское ПО Pegasus против людей. Это приложение тайно имплантируется на смартфоны жертв. Цитаты The Record В местных новостях говорится, что правительство считает, что существует «очень длинный» список целей. В сентябре прошлого года Сенат Польши расследовал вопрос о том, использовался ли Pegasus для взлома оппозиционного политика. Слушатели, возможно, помнят, что ряд правительств, включая Канаду и США, договорились на прошлой неделе для расследования злоупотреблений коммерчески продаваемыми шпионскими программами, такими как Pegasus.
Мошенники начали использовать снова вредоносное ПО Bumblebee. По данным исследователей из Proofpoint, несколько групп угроз использовали полезную нагрузку во вложениях и ссылках зараженных электронных писем вплоть до октября прошлого года. Затем его использование исчезло — до прошлой недели.
Microsoft и OpenAI говорят они нарушили группы угроз из Китая, России и Северной Кореи, которые пытались использовать инструменты искусственного интеллекта OpenAI для улучшения своего вредоносного ПО. Группы открыли учетные записи в OpenAi — создателе ChatGPT — для запроса информации из открытых источников, перевода документов, поиска ошибок в кодировании и выполнения основных задач по кодированию. OpenAI закрыла счета.
Исламская некоммерческая организация в Саудовской Аравии, вероятно, был скомпрометирован в 2021 году с помощью специального бэкдора, говорят исследователи из Cisco Systems. Вредоносное ПО копировало данные и отправляло их два раза в месяц. Cisco обнаружила шпионскую кампанию чуть больше года назад и отложила публикацию новостей до сих пор. Нападавший – загадка.
И канадский OpenText присоединился Объединенный коллектив правительства США по киберзащите. Это государственно-частное партнерство, призванное помочь государственному и частному секторам повысить уровень кибербезопасности. Также на этой неделе Коллаборатив опубликовал список своих приоритетов на этот год. Они включают в себя защиту от сложных операций с постоянными угрозами, помощь государственным и местным чиновникам США в обеспечении безопасности их ИТ-инфраструктуры, а также прогнозирование новых технологий и рисков.
(Следующая расшифровка первой из четырех тем, обсуждавшихся на этой неделе, была отредактирована для ясности. Чтобы получить полное обсуждение, воспроизведите подкаст.)
Говард: Американские телекоммуникационные провайдеры вскоре введут новые правила сообщения о киберинцидентах и утечках данных. Федеральная комиссия по связи США завершила разработку новых правил отчетности о кибератаках и уведомления об утечке потребительских данных. для американских телекоммуникационных провайдеров. Они еще не установили дату вступления в силу новых правил, но телекоммуникационные компании должны будут в течение семи дней сообщать комиссии, а также ФБР и Секретной службе о любом нарушении конфиденциальной сетевой информации потребителя — это данные. например, сведения о вашем плане подписки и номера, по которым вы звоните. Новым является дополнение о том, что FCC должна быть уведомлена об этих утечках данных, кроме того, потребители должны будут быть уведомлены в течение 30 дней, если произойдет кража или непреднамеренное раскрытие их личных данных. Добавление непреднамеренного раскрытия информации для американских телекоммуникационных провайдеров является новым. Также новым является отмена правила, согласно которому операторы связи не обязаны сообщать об утечках данных, если они считают, что кража определенных данных, таких как имя и номер телефона, не причинит потребителям разумного вреда.
Дэвид, это признак того, что регулирующие органы проявляют нетерпение по поводу утечки данных со стороны телефонных компаний, а потребители жалуются, что их не уведомляют достаточно быстро в случае утечки данных.
Дэвид Шипли: Я думаю, что да, и я думаю, что регулирующие органы имеют право проявлять нетерпение. Но давайте помнить, что это больше, чем просто нападки на телефонные компании. Всего несколько недель назад мы говорили о так называемой Матери всех нарушений — или, точнее, о дитя всех нарушений, поскольку это совокупность целого ряда утечек данных за последние 20 лет. Это буквально злая версия «Have I be Poned?» Телефонные компании внесли значительный вклад в объем данных, которые теперь доступны преступникам для причинения вреда. У телефонных компаний в США был ужасный, ужасный 2023 год. По данным компании киберразведки Cyble, личная информация о 74 миллионах американцев была раскрыта в 2023 году одной или несколькими телекоммуникационными компаниями. Это более 23 процентов всех американских пользователей телекоммуникаций только за 1 год. Проблема для телефонных компаний заключается в том, что ситуация будет только ухудшаться по мере того, как мы переходим к технологиям без паролей, таким как пароли — биометрическая аутентификация с помощью вашего смартфона — в качестве цифровых ключей к вашей жизни. [smart]Телефон теперь является наиболее важной частью вашего личного, а в некоторых случаях и корпоративного управления идентификацией и доступом. Это заставляет телефонные компании обеспечивать безопасность своих клиентов способами, которые делают их более похожими на финансовые учреждения, поскольку важность безопасности никогда не была такой высокой. Так что давление на них со стороны регулирующих органов будет только усиливаться, потому что со стороны преступников оно будет только усиливаться.
Говард: Обратите внимание, что американским операторам связи придется сообщать властям не только о краже личной информации. FCC теперь расширяет определение личной информации, включив в нее биометрические данные, такие как отпечатки пальцев и изображения лица, которые используются для входа в систему. И это также включает в себя непреднамеренное раскрытие данных, о котором необходимо сообщать, из-за таких вещей, как неправильная конфигурация.
Дэйвид: Постановление Федеральной комиссии по связи было действительно интересно читать… Оно содержит одно из самых ясных описаний того, что представляет собой PI. [personal information] что я когда-либо видел от регулятора. Это прекрасно в дырах, которые он протыкает для людей, которые не хотят об этом сообщать. Что также интересно, их определения также включают разрозненные или анонимизированные данные. Вы не получите пропуск, если скажете: «Данные были зашифрованы», если злоумышленники разумно имели доступ к ключу, который мог бы повторно подключить людей к этим данным. Если кто-либо из представителей телекоммуникационной компании слушает меня на уровне руководителей и на уровне службы безопасности, пожалуйста, выслушайте следующую мысль, которую я собираюсь высказать громко и ясно: не храните биометрические данные — голос, лицо, отпечатки пальцев. Единственный способ использования биометрических данных — это использование на устройстве (никогда не хранится группами на сервере) в безопасном анклаве на устройстве. Преобразуйте их в зашифрованную форму, которую невозможно расшифровать без связанного с ней ресурса национального уровня, если это вообще возможно. Вы можете изменить пароль, вы можете заменить токен MFA, но, за исключением голливудских знаменитостей, большинству из нас нелегко изменить свое лицо.
Ховард; Интересно, что другие поставщики критически важной инфраструктуры должны сообщать американским властям об утечках данных в течение 72 часов. Требование семидневной отчетности для американских телекоммуникационных компаний остается в силе.
Дэйвид: Я не юрист, но думаю, что имею примерное представление о том, что здесь происходит, и о различии, которое пытается провести Федеральная комиссия по связи. Отчеты о критической инфраструктуре США, которые включают в себя телекоммуникационные компании, должны больше касаться хакерских атак, которые могут поставить под угрозу постоянную доступность и работу поставщиков критически важной инфраструктуры — например, атака Colonial Pipeline или JBS Meats, когда внезапно деятельность бизнеса фактически нарушается. . Какими бы серьезными ни были утечки данных, они не отключают телефоны или интернет-соединения. Это лазейка, которую часто можно использовать, чтобы избежать отчетности по критической инфраструктуре. Наряду с порогом, известным как «реальный риск значительного вреда», который, как вы отметили, используется [by companies] в прошлом, чтобы сказать: «Ну, это просто их имя и адрес электронной почты». Насколько это важно?» Таким образом, они устранили этот реальный риск значительного ущерба и теперь говорят: «Это может нанести вред клиенту». Вы должны сообщить об этом. Новое правило FCC ясно дает понять, что в случае потери PI существует риск причинения вреда клиенту, и вы должны сообщить об этом. Я думаю, это полезно.
