В марте 2023 года администрация Байдена выпустила новую Национальную стратегию кибербезопасности, в которой ясно сказано, что время, когда частные компании добровольно выбирают кибербезопасность, давно прошло. Вместо этого новая стратегия обещает поддерживать новую нормативно-правовую базу, которая сместит ответственность и создаст стимулы для частных компаний защищаться от критических уязвимостей. В этой статье обсуждаются три конкретные вещи, которые бизнес-лидеры должны знать о новой стратегии. Во-первых, каждой компании необходимо будет определить свои четкие уязвимости и риски. Во-вторых, компаниям необходимо будет принять меры по устранению этих уязвимостей. В-третьих, стратегия категорически заявляет, что она будет настаивать на принятии законодательства, предусматривающего привлечение этих фирм к ответственности, когда они не выполняют свои обязательства по заботе о потребителях, предприятиях или поставщиках критически важной инфраструктуры.
2 марта 2023 года администрация Байдена выпустила долгожданную Национальную стратегию кибербезопасности. В свете кибератак, нацеленных на американскую инфраструктуру, бизнес и правительственные учреждения, в документе кибербезопасность рассматривается как важнейший компонент экономического процветания и национальной безопасности Соединенных Штатов. Это также указывает на фундаментальную дилемму, заключающуюся в том, что частный сектор — с ключевыми заинтересованными сторонами, состоящими из компаний-разработчиков программного обеспечения, малого и среднего бизнеса, провайдеров широкополосного доступа и коммунальных служб — владеет ключом к общественному благу кибербезопасности:
Продолжающиеся сбои в критически важной инфраструктуре и кражи персональных данных ясно показывают, что одних только рыночных сил недостаточно для широкого внедрения передового опыта в области кибербезопасности и устойчивости.
Добровольного продвижения к лучшей кибергигиене со стороны частного сектора уже недостаточно. Вместо этого новая стратегия обещает поддерживать новую нормативно-правовую базу, которая сместит ответственность и создаст стимулы для частных компаний защищаться от критических уязвимостей.
Почему документ государственного сектора зациклен на частном секторе
Частный сектор привлек внимание опасающегося кибербезопасности государственного сектора из-за множества громких кибер-инцидентов за последние несколько лет. В 2017 году бюро кредитных историй клиентов Equifax подверглось взлому, в результате которого были скомпрометированы личные данные более 143 миллионов американцев, что привело к урегулированию спора с Федеральной торговой комиссией на сумму 425 миллионов долларов. Злоумышленники все чаще используют программы-вымогатели против американских компаний, требуя больших сумм денег за безопасный обмен конфиденциальными данными.
Программы-вымогатели продолжают оставаться популярной тактикой среди хакеров именно потому, что эти кампании часто приносят прибыль. Согласно анализу инцидентов с программами-вымогателями в США, проведенному Comparitech, атаки программ-вымогателей на американские предприятия обошлись в 20,9 млрд долларов в период с 2018 по 2023 год, при этом средний спрос на выкуп для пострадавших предприятий в 2022 году составил 4,15 млн долларов. Например, Colonial Pipeline, по которому транспортируется 100 миллионов галлонов. топлива в день, или 45% всего топлива, используемого на Восточном побережье, в 2021 году подверглись разрушительной атаке программ-вымогателей, что стало крупнейшей публично раскрытой атакой на критически важную нефтяную инфраструктуру США в истории. Преступник, DarkSide, украл 100 гигабайт данных в течение двух часов, которые он пригрозил раскрыть, если компания не заплатит группе 75 биткойнов, что на тот момент составляло около 5 миллионов долларов, которые Colonial Pipeline заплатил в течение нескольких часов, шантажировал и заставил действовать. по разрушительности атаки.
Ни одна часть экономики не застрахована. Как показал опрос 2021 года, проведенный Центром стратегических и международных исследований, 42% малых и средних предприятий подверглись кибератакам в прошлом году, и, по оценкам, 40% кибератак 2021 года были сосредоточены на малых и средних предприятиях, при этом количество атак на эти предприятия выросло на 150% за последние два года. Потенциальная возможность извлечения данных и доходов может быть ниже по сравнению с крупными предприятиями, такими как Microsoft, но у малых и средних фирм также меньше ресурсов, которые можно выделить для надежной кибербезопасности. В некоторых случаях у этих компаний просто нет выделенных ресурсов для кибербезопасности.
Три вещи, которые нужно знать компаниям о национальной стратегии кибербезопасности
В то время как 39-страничный документ содержит бюрократические модные слова, такие как «согласование», «заинтересованные стороны» и «многосторонний», мы определили три конкретных вещи, которые бизнес-лидеры должны знать о новой стратегии.
Во-первых, каждая компания должна определить свои четкие уязвимости и риски. Стратегия администрации Байдена ясно дает понять, что время, когда компании добровольно выбирают кибербезопасность, давно прошло. Вместо этого им необходимо принять упреждающие меры, чтобы протестировать и понять свой ландшафт угроз. Компании должны проводить официальное сканирование уязвимостей и тесты на проникновение, которые выявляют потенциальные точки доступа. Там, где это возможно, компаниям следует нанимать «этичных хакеров», также известных как «красные команды», которые имитируют изощренные кибератаки и выявляют, могут ли и каким образом злоумышленники получить доступ к конфиденциальным данным или нарушить работу сетей. Компании также должны тщательно проверять сторонних поставщиков и поставщиков программного обеспечения, чтобы свести к минимуму риск атак через цепочку поставок.
Во-вторых, компаниям необходимо принять меры, направленные на устранение уязвимостей цепочки поставок. В рамках этого шага они должны воспользоваться предусмотренным стратегией обещанием государственно-частного сотрудничества в форме обмена информацией, а также практическими рекомендациями и поддержкой в отношении того, как ориентироваться в среде киберугроз. В более общем плане им необходимо принять превентивные меры, включая исправление известных эксплойтов, проведение регулярных тренингов по безопасности для сотрудников и внедрение инструментов обнаружения аномалий, гарантируя при этом, что у них есть планы реагирования, которые могут свести к минимуму масштабы и вред успешных взломов.
В-третьих, компании должны признать, что единый размер не подойдет всем, когда речь идет о кибербезопасности. Важным подтекстом стратегии является ее акцент на установлении более агрессивных нормативных стандартов для крупного бизнеса, критической инфраструктуры и поставщиков программного обеспечения.
Стратегия категорически заявляет, что «отсутствие обязательных требований привело к неадекватным и непоследовательным результатам» и что она будет настаивать на том, чтобы законодательство возлагало на эти фирмы «ответственность, когда они не выполняют свои обязательства по заботе о потребителях, предприятиях или поставщики критической инфраструктуры». Эти фирмы, в свою очередь, могут попытаться сформировать законодательство и ответственность, но стратегия ясно дает понять, что большая часть ответственности с точки зрения поиска и устранения уязвимостей ляжет на более крупные предприятия, где ставки выше, а ресурсов больше. Малый бизнес не находится в центре внимания (пока), но и не сорвался с крючка. Им также следует искать возможности для сотрудничества, такие как недавно начатая Национальным институтом стандартов и технологий инициатива по развитию коммуникации между малыми предприятиями.
Когда дело доходит до конкретных последствий новой Национальной стратегии кибербезопасности администрации Байдена для американской промышленности, дьявол будет кроться в деталях. Документ включает в себя основные принципы и благородные цели, которые мы ожидаем, учитывая, что киберпространство, возможно, сейчас является основой национальной экономики США. Хитрость будет заключаться в том, чтобы делать это таким образом, чтобы помнить о реальных проблемах выявления и исправления всех уязвимостей, а также о рисках того, что неадекватная забота повлияет не только на отдельных людей, но и на всю мировую экономику.
2023-04-14 12:05:24
1681651682
#Что #нужно #знать #бизнесу #новой #стратегии #кибербезопасности #США
