Рейтинг НИУ ВШЭ по компьютерной безопасности
Обновлено: 21.11.2024
Лектор UCD и исследователь кибербезопасности Ян Кэрролл обсуждает, что кибербезопасность теперь является проблемой для всех, а не только для ИТ-отдела.
За последний год кибербезопасность оказалась в центре внимания гораздо больше, и в немалой степени это связано с пандемией Covid-19.
Внезапный сдвиг в том, как мы работаем и учимся, привел к тому, что огромное количество сотрудников по всему миру перешло на облачные вычисления, удаленные рабочие столы и децентрализованную систему.
Однако этот внезапный шаг вызвал серьезные проблемы у специалистов по безопасности, поскольку они пытались обезопасить новую удаленную рабочую силу и защитить данные, которые внезапно распространились повсюду.
С самого начала пандемии было ясно, что киберпреступники пользуются Covid-19, отправляя хищнические электронные письма и спам-сообщения. Всемирная организация здравоохранения зафиксировала удвоение числа кибератак, а в августе 2020 года Интерпол сообщил, что число атак растет с «тревожной» скоростью.
Но только в этом году серьезность этих атак действительно стала очевидной после нескольких крупных атак, в том числе серьезной атаки программы-вымогателя на Управление здравоохранения Ирландии (HSE).
Несмотря на то, что многие системы НИУ ВШЭ восстановлены и работают, последствия этого все еще ощущаются, а огромные затраты еще предстоит подсчитать.
Однако исследователь кибербезопасности Ян Кэрролл считает, что в недавних атаках есть и положительная сторона.
«Кибербезопасность и информационная безопасность теперь проблема каждого»
– ЯН КАРРОЛЛ
«Одним из положительных результатов атаки на ВШЭ стало то, что она заставила всех серьезно относиться к кибербезопасности», – сказала она. «Мы должны рассматривать это как возможность воспользоваться всеобщим вниманием и запустить национальную кампанию по повышению осведомленности о кибербезопасности».
Она сказала, что даже помимо атаки HSE другие события как в самой отрасли, так и в средствах массовой информации привели к повышению осведомленности о важности кибербезопасности.
"Кибербезопасность и информационная безопасность теперь являются проблемой для всех, а не только для ИТ-отдела", – сказала она. «Внедрение GDPR и громкие утечки данных из таких компаний, как Facebook, заставили всех нас узнать, как наша личная информация хранится и используется на разных платформах».
Решение проблемы нехватки навыков
Кэрролл также работает лектором по кибербезопасности в Профессиональной академии UCD и поэтому очень увлечен тем, чтобы ликвидировать пробел в навыках кибербезопасности, привлекая в отрасль больше женщин и недостаточно представленных групп.
Недавний отчет Cyber Ireland показал, что 47 % специалистов по безопасности в компаниях по крайней мере несколько недоукомплектованы персоналом, и почти половина (48 %) компаний имеют открытые или незанятые должности в сфере кибербезопасности.
Кэрролл сказал, что, хотя нехватка навыков является глобальной проблемой, хорошо, что она была выявлена и предпринимаются шаги для ее решения.
"Такие организации, как Cyber Ireland, сотрудничают с национальными органами, промышленностью и поставщиками образовательных услуг, включая UCD, над составлением дорожной карты предоставления качественного обучения, отвечающего потребностям отрасли и работников", – сказала она.
Эта потребность в отрасли в сочетании с повышением осведомленности о проблемах кибербезопасности создали спрос на курсы по кибербезопасности.
В прошлом месяце компания IT Sligo запустила новый курс, посвященный инфраструктуре, обеспечивающей перемещение данных в Интернете, с встроенными модулями безопасности. А в начале июня было объявлено о новом проекте стоимостью 8 млн евро под руководством Технологического университета Мюнстера, направленном на устранение дефицита навыков в области кибербезопасности.
Профессиональная академия UCD, где читает лекции Кэрролл, также предлагает профессиональные дипломы в области кибербезопасности и этического хакерства. Зачисление на них начнется в июле.
«Часть моего исследования заключается в том, чтобы привлечь больше «возвращающихся» в кибербезопасность, особенно женщин, обладающих универсальными навыками. Техническим навыкам легче научить, чем так называемым «коммуникативным навыкам» критического анализа, общения, написания отчетов и т. д. – – сказала она.
Тем не менее, по словам Кэрролла, в индустрии информационной безопасности по-прежнему существует проблема разнообразия. Согласно отчету Международного консорциума по сертификации безопасности информационных систем, или (ISC)², женщины составляют лишь 24 процента специалистов по кибербезопасности. .
Хотя это заметное увеличение по сравнению с предыдущей оценкой в 11%, Кэрролл сказал, что еще предстоит проделать большую работу.
"Есть проблемы с удержанием и отсутствием участия в руководящих командах. Другие группы также недостаточно представлены, и это проблема, которую необходимо решать как можно раньше», — сказала она.
"Проблема разнообразия касается всех. Разнообразная рабочая сила — это более надежная рабочая сила, поскольку каждый из нас привносит свой уникальный опыт и точки зрения на стол».
Более широкое влияние на общество
Атака на HSE, возможно, была одной из крупнейших кибератак в Ирландии, последствия которой, по словам Кэрролла, будут ощущаться еще долгие годы.
«После того как преступная группировка Конти нацелилась на Вышку, они собирались упорствовать и каким-то образом добиваться своего. Эти группы обладают настойчивостью, навыками и ресурсами, чтобы проникнуть практически через любую защиту», — сказала она.
«Недостаточно проводить тренинги по повышению осведомленности раз в год, чтобы поставить галочку»
– ДЖАН КАРРОЛЛ
"Организациям необходимо извлечь уроки из атаки, обеспечив надлежащую непрерывность бизнеса и процессы аварийного восстановления, чтобы свести к минимуму вероятность того, что они подверглись атаке, а не если бы они подверглись атаке".
Она также сказала, что хочет исправить ошибочное представление о том, что «преступные хакеры — это молодые парни в толстовках, сидящие в своих спальнях. Это не так».
"Эти преступные группы похожи на крупные международные корпорации, и их продуктом является "взлом как услуга". Они хорошо управляются и структурируются, часто поддерживаются государством и не исчезнут в ближайшее время».
Она сказала, что большинство утечек сводится к человеческому фактору и что лучшая форма защиты — это иметь сотрудников, знающих безопасность.
«Недостаточно проводить тренинги по повышению осведомленности раз в год, чтобы поставить галочку. Безопасность — это обязанность каждого», — сказала она.
"Даже если мы все следуем лучшим протоколам для защиты наших собственных данных, мы все равно уязвимы, поскольку доверяем свои данные другим сторонам, которые затем не могут их защитить. Мы должны быть постоянно бдительны, так как нет идеальных средств защиты».
Хотите, чтобы такие и другие истории попадали прямо в вашу почту? Подпишитесь на Tech Trends, еженедельный дайджест важных технических новостей Кремниевой Республики.
Если говорить о кибербезопасности, организации еще предстоит подняться на вершину зрелости. Изображение предоставлено Сильвеном Мору.
Управление здравоохранения Ирландии опубликовало свежий отчет о разрушительной атаке программ-вымогателей, поразившей сектор здравоохранения страны летом 2021 года, на основе подробного общедоступного отчета консалтинговой компании PwC после инцидента. HSE является крупнейшим работодателем в государственном секторе Ирландии, в котором работает более 130 000 сотрудников, обслуживающих более 70 000 ИТ-устройств в 4000 офисах. Более 80 % обширных ИТ-ресурсов Вышки пострадали от атаки программы-вымогателя Conti, в результате которой 31 из 54 больниц неотложной помощи прекратили оказание различных услуг, от хирургии до лучевой терапии.
В отчете отмечается, что:
- В HSE не было главного директора по информационной безопасности (CISO) или «единого ответственного лица за кибербезопасность на уровне старшего исполнительного или руководящего звена, которое обеспечивало бы лидерство и руководство».
- У него не было задокументированных инструкций по реагированию на кибер-инциденты или планов восстановления ИТ (кроме задокументированных планов восстановления AD) для восстановления после крупномасштабного события, связанного с программами-вымогателями.
- Менеджеры по информационной безопасности с ограниченными ресурсами не выполняли свои обычные обязанности (включая проверку кибербезопасности на основе NIST), но работали над оценкой средств контроля безопасности для системы вакцинации от COVID-19. Антивирусное программное обеспечение инициировало многочисленные предупреждения после обнаружения активности Cobalt Strike, но они не были переданы. (Антивирусный сервер позже был зашифрован во время атаки).
- Не было возможности мониторинга безопасности, которая могла бы эффективно обнаруживать, расследовать и реагировать на предупреждения безопасности в ИТ-среде HSE или в более широкой Национальной сети здравоохранения (NHN).
- Не хватало эффективных исправлений (обновлений, исправлений ошибок и т. д.) по всей ИТ-инфраструктуре, и полагались на один антивирусный продукт, который не отслеживался и не обслуживался эффективно с помощью обновлений по всему ИТ-ресурсу. (На первой атакованной рабочей станции антивирусные сигнатуры не обновлялись более года.)
- Более 30 000 компьютеров работали под управлением Windows 7 (не поддерживается с января 2020 г.).
- Первоначальная утечка произошла после того, как сотрудник НИУ ВШЭ взаимодействовал с вредоносным файлом Microsoft Office Excel, прикрепленным к фишинговому письму; многочисленные последующие предупреждения не были эффективно расследованы.
Четкий список рекомендаций PwC после инцидента, а также подробные сведения о влиянии атаки программы-вымогателя HSE на бизнес — могут оказаться очень полезными рекомендациями для ИТ-специалистов, которые хотят настроить программу безопасности и получить ее. финансируется. (Полный 157-страничный отчет PwC об инциденте в области ОТОСБ находится здесь.)
Рекомендации по отчету об инциденте в области ОТОСБ
В ИТ-среде НИУ ВШЭ обнаружены пробелы с высоким риском, связанные с 25 из 28 критических средств контроля кибербезопасности. Предоставлено: PwC
Среди его рекомендаций: ВШЭ «должна установить четкие обязанности в отношении ИТ и кибербезопасности для всех сторон, которые подключаются к NHN, обмениваются медицинскими данными или получают доступ к общим медицинским услугам. Эта формализация обязанностей должна включать спецификацию соглашений об уровне обслуживания (SLA) для централизованно предоставляемых услуг, включая требования к доступности. HSE должен определить код подключения, определяющий минимально приемлемый уровень контроля безопасности, необходимый для подключения к NHN, который должен быть согласован всеми сторонами, подключенными к NHN, включая требования к центральной отчетности о предупреждениях и инцидентах кибербезопасности. HSE должна установить программу для мониторинга и обеспечения постоянного соблюдения этого кодекса поведения. Соблюдение кодекса подключения должно стать частью процесса адаптации любой подключающейся организации».
Отчет соответствует аналогичным отчетам после инцидентов в отношении большинства крупных недавних инцидентов в области кибербезопасности, включая атаку программ-вымогателей на Colonial Pipeline в США в 2021 году. гигиена безопасности, способствующая влиянию инцидента.
(The Stack продолжает призывать организации, нанимающие директора по информационной безопасности, отчитываться непосредственно перед генеральным директором и, по возможности, регулярно перед советом директоров. Как ранее сказал нам специалист по подбору персонала в области кибербезопасности Ованейт Бестман: «Традиционные линии подчинения как правило, директора по информационной безопасности подчиняются совету директоров, обычно это технический директор или ИТ-директор. В небольших организациях это может быть даже директор по директору. что часто выдает недоразвитую или неправильно понятую функцию безопасности. Из проведенных мною поисковых запросов в отношении директоров по информационным технологиям большая часть линий подчинения направляется техническому директору, за которым следует ИТ-директор. этот отчет генеральному директору более привлекателен для соискателей, поскольку считается, что он делает роль более заметной. Это дает директору по информационной безопасности место за столом переговоров").
Почему здоровье, безопасность и окружающая среда (HSE) зависят от ICS Cybersecurity?
- Автор сообщения: Саиф Шариф
- Запись опубликована: 16 марта 2021 г.
- Время чтения: 10 минут чтения
По мере того, как кибермир постепенно сближается с физическим миром, а термин «цифровая трансформация» становится все более популярным, охватывающим все усилия по повышению производительности и минимизации затрат, последствия кибератак больше не ограничиваются утечкой данных и финансовыми последствиями. Атаки могут иметь катастрофические последствия для физического мира и даже привести к гибели людей, как это, к сожалению, недавно произошло в немецкой больнице.
Промышленные системы управления (ICS) варьируются от очень небольших систем (лифт, энергетика, ОВКВ, системы охлаждения, водонагреватели) до очень крупных промышленных систем (нефтеперерабатывающие заводы, химические и фармацевтические производства, электростанции). Хотя эти системы традиционно были независимыми, цифровая трансформация расширила возможности подключения между ними. Цифровая трансформация также связала многие из них с корпоративными системами и системами поставщиков в центрах обработки данных и в облаке, что еще больше усложнило и расширило профиль киберрисков организации.
Что, по-видимому, остается в значительной степени незамеченным, так это основной риск, который гиперсвязность систем оказывает на здоровье, безопасность и окружающую среду (HSE). Достаточно одной небезопасной системы во всей цепочке создания стоимости, чтобы вывести из строя всю производственную операцию, что приведет к последствиям для ОТ, ПБ и ООС.
В этой статье рассматриваются связи между ICS и НИУ ВШЭ. В нем также представлен подход к кибербезопасности АСУ ТП, направленный на охрану ОТ, ПБ и ООС эффективным, совместным, всеобъемлющим и экономичным образом.
Что такое здоровье, безопасность и окружающая среда (HSE)?
Здоровье, безопасность и окружающая среда (HSE) — это набор действий, которые организации должны предпринять для обеспечения защиты окружающей среды без ущерба для здоровья и безопасности своих сотрудников или местных сообществ.
• Фактор безопасности системы включает в себя установление и обеспечение соблюдения процессов и процедур для выявления опасных условий и их последствий и реализации адекватных контрмер для снижения вероятности несчастных случаев, связанных с безопасностью.
• Здоровье сотрудников, клиентов, пациентов или местных сообществ обеспечивается за счет разработки высококачественных процессов и политик, направленных на снижение возможности причинения вреда людям.
• Экологический фактор касается обеспечения выполнения практик, политик и процедур, соответствующих нормативным требованиям по защите окружающей среды, таких как сокращение углеродного следа или минимизация выбросов и отходов.
Организации, базирующиеся в США, подчиняются правилам HSE в Своде федеральных правил, в частности CFR 29, 40 и 49. Кроме того, Управление по охране труда (OSHA) имеет многочисленные правила, а также отчеты об инцидентах. требования, проверки и штрафы для обеспечения соблюдения передового опыта и обеспечения здоровья и безопасности сотрудников и окружающей среды.
Как ICS приносит пользу и вредит HSE?
В настоящее время в рамках усилий по цифровизации промышленности промышленные системы управления (ICS) внедряются в различные уровни бизнес-процессов, от полевых устройств, таких как интеллектуальные счетчики или реле, до критически важных вычислительных систем. Эти системы удаленно отслеживают и контролируют операционные объекты, собирая данные с датчиков, отслеживая локальную среду и передавая данные для принятия решений.
Использование ICS значительно повышает эффективность, поскольку они могут централизованно контролировать и контролировать различные этапы производства, а также выявлять неисправности и опасности посредством сбора данных и аудита. Предоставляя заблаговременные уведомления об опасных условиях, системы ICS не только снижают их воздействие и повышают эффективность, но также приносят пользу здоровью и безопасности сотрудников и защищают окружающую среду, поскольку службы безопасности могут принять меры для устранения этих условий.
Однако ни одна система не застрахована от уязвимостей. Помимо преимуществ, которые привносят системы АСУ ТП, они создают новые риски и проблемы в области кибербезопасности, а также расширяют спектр угроз. В промышленных условиях из-за преступной деятельности, нацеленной на эти системы, инциденты кибербезопасности могут привести к финансовым потерям, повреждению оборудования, экологическим последствиям и даже к травмам или гибели людей.
Эти инциденты и нарушения кибербезопасности происходят, когда организации проявляют небрежность и не могут установить и обеспечить строгие меры безопасности для защиты от новых угроз. В то время как в некоторых секторах ущерб, как правило, носит финансовый характер, в промышленных секторах ущерб может быть и физически разрушительным. Например, когда воздух или вода загрязнены из-за кибератаки или когда здоровье и безопасность людей находятся под угрозой, последствия могут быть далеко идущими. Недавний кибер-инцидент во Флориде — это просто пример того, что может пойти не так.
По мере увеличения числа кибератак на промышленные киберфизические системы экспоненциально возрастает риск физических последствий. Изощренные кибератаки на киберфизические системы могут привести к многочисленным жертвам и значительным финансовым, регулятивным и репутационным потерям. В статье, опубликованной Gartner, финансовые последствия оцениваются примерно в 50 млрд долларов к 2023 году. В статье говорится, что 75 % руководителей несут личную ответственность за такие инциденты.
Кибербезопасность ICS — общая ответственность
Чтобы смягчить эти угрозы для киберфизических систем и ограничить их последствия, в отрасли разрабатываются более строгие правила. Например, стандарты защиты критической инфраструктуры (CIP) Североамериканской корпорации по обеспечению надежности электроснабжения (NERC) продолжают совершенствоваться для регулирования и обеспечения соблюдения мер кибер- и физической безопасности для энергосистемы США.
Учитывая далеко идущие последствия кибер-физических инцидентов и атак, лидеры отрасли должны понимать, что киберриски настолько же возможны и эффективны, как и «традиционные» риски безопасности, с которыми они привыкли бороться. На самом деле, киберугрозы могут быть источником рисков для безопасности, если отсутствуют соответствующие меры для их предотвращения.
Также важно понимать, что киберриски — это не «работа ИТ». Давно прошли времена, когда миры ИТ и ОТ были изолированы друг от друга. Технологии размыли границы между ИТ и ОТ. Изолированный подход к кибербезопасности создает больше слепых зон, которыми могут воспользоваться киберпреступники. Siemens упоминает в отчете:
Кибербезопасность должна быть общей ответственностью всех сотрудников компании, от высшего руководства до тесного сотрудничества между OT, операциями и корпоративными ИТ. В кибербезопасности также должны участвовать группы по охране труда, технике безопасности и охране окружающей среды (HSE) из-за потенциального воздействия серьезного нарушения безопасности на HSE. HR также должен быть вовлечен, потому что все сотрудники должны быть осведомлены, обучены и нести ответственность за свои потенциальные роли, преднамеренные или нет, в открытии дверей — физически или виртуально — для злоумышленников.
( Три Пути Нефть и Газ, 4)
Как кибербезопасность АСУ может защитить процессы HSE?
Организации могут усилить кибербезопасность АСУ ТП и защитить процессы ОТ, ПБ и ООС, применяя подход, аналогичный подходу к защите безопасности и надежности систем безопасности.Строгие и надежные политики и методы кибербезопасности могут помочь обнаружить и предотвратить неизбежные атаки на системы АСУ ТП и свести к минимуму последствия возможных инцидентов.
Отрасли должны использовать подход, основанный на оценке рисков, такой же, как тот, который они уже знают из жизненного цикла безопасности процессов. Эффективная кибербезопасность АСУ ТП — это процесс, основанный на оценке рисков, который включает четыре повторяющихся шага:
Определить и оценить риск.
Выявить киберриски и угрозы можно, используя хорошо зарекомендовавшие себя исследования Hazard and Operaability (HAZOP) и придавая процессам киберизюминку. CyberHAZOP основан на исследовании HAZOP и обеспечивает более тесное сотрудничество экспертов и специалистов в различных областях (проектирование и эксплуатация предприятий, HSE, OT и ИТ) для получения междисциплинарного понимания и знаний обо всех процессах, на которые влияет кибербезопасность ICS.
Еще один инструмент, используемый специалистами по безопасности процессов для оценки риска, такой как анализ уровня защиты (LOPA), может быть адаптирован для дальнейшей оценки требований по смягчению последствий для кибербезопасности ICS.
LOPA — это подход, основанный на событиях, используемый профессиональными инженерами для определения основных барьеров («Уровней защиты») для снижения операционных рисков, а затем для определения индикаторов мониторинга для каждого барьера. CyberLOPA основывается на этой концепции независимых уровней защиты для оценки устойчивости физических и киберфизических систем к кибератакам. Положения организаций в области кибербезопасности выиграют от комбинированного расследования и оценки слабых мест в кибернетических, киберфизических и физических системах, чтобы затем применить соответствующие экономичные и надежные меры защиты. Иногда физического или механического контроля может быть достаточно, чтобы предотвратить киберинцидент, и поэтому не требуются сложные и дорогостоящие решения для кибербезопасности.
Управлять рисками.
Растущее использование ИТ-возможностей в промышленных средах и, как следствие, сложность промышленных условий повышают риск сбоев и их последствий. Поэтому необходимо, чтобы все риски постоянно выявлялись, оценивались и снижались в рамках системы киберопераций и обслуживания. Применение отраслевых стандартов кибербезопасности, таких как NERC CIP, ISA/IEC 62443, CFATS, NIST Cybersecurity Framework, и сотрудничество в рамках других доменных стандартов, таких как ITIL (для ИТ), IEC 61508 и ISA/IEC61511 (для функциональной безопасности), может помочь повысить возможности киберустойчивости.
Улучшение осанки.
В рамках общего управления кибер-оперативной устойчивостью (cyberORM) обновления установленных процессов обеспечения кибербезопасности и обслуживания ICS должны включать аудиты, оценки, учения, повышение квалификации персонала и доступ к аналитической информации, предоставляемой поставщиками, CCCS, CISA или другие федеральные агентства. Анализ существующих процессов и их развитие для адаптации к меняющейся среде угроз является важной частью устойчивости кибербезопасности АСУ ТП. Он выявляет новые белые пятна и пробелы благодаря выявлению новых уязвимостей в существующих технологиях и постоянному внедрению новых технологий.
Как помогает ORIGNIX
Советы директоров должны постоянно оценивать свою эффективность в обеспечении кибербезопасности как с точки зрения их собственной фидуциарной ответственности, так и с точки зрения надзора за деятельностью руководства. Наши службы анализа рисков киберпроцессов (cyberPRA) и управления устойчивостью киберопераций (cyberORM) работают вместе и настраиваются в соответствии с потребностями наших клиентов с критически важной инфраструктурой.
ORIGNIX предоставляет индивидуальные инженерные услуги в области кибербезопасности для более безопасной разработки и эксплуатации промышленных процессов. Мы используем систематическую оценку кибер- и операционных рисков с использованием хорошо зарекомендовавших себя методов и шаблонов. Наша методология CyberPRA выявляет потенциальные пробелы, опасности, уязвимости и независимые уровни защиты, связанные с инженерными промышленными процессами на предприятиях. Наше исследование киберопасности и работоспособности (cyberHAZOP) является компонентом CyberPRA, который помогает клиентам систематически выявлять и классифицировать риски, связанные с доступностью и надежностью их киберфизических систем (CPS). Наша системная структура CyberORM может помочь вам быстро отследить и достичь желаемого уровня устойчивости к функциональным и стратегическим рискам вашей CPS. Наши методы основаны на признанных и общепринятых передовых методах проектирования (RAGAGEP), включая международно признанные отраслевые стандарты ISO 27001/2, ISA/IEC 62443, ISA/IEC 61511 и NIST 800-82.
Для получения дополнительной информации нажмите здесь.
Примечание авторов. Соавторами этого блога являются Саиф Шарифф и Анастасиос Арампацис.
Вам также может понравиться
Как расставить приоритеты для инвестиций в безопасную и надежную электрическую сеть
16 февраля 2021 г.
Что такое NERC CIP?
22 октября 2020 г.
3 декабря 2021 г. компания PricewaterhouseCoopers Ireland (PwC) сообщила о своей независимой оценке масштабной кибератаки на сектор здравоохранения Ирландии в 2021 году.
В этой статье мы обсуждаем кибератаку, выводы отчета и то, что государственный сектор Канады может извлечь из атаки и отчета PwC. Мы также перечисляем шесть вопросов, которые организациям следует задать, чтобы подготовиться к таким атакам и предотвратить их.
Фон
Обзор атаки и ее последствий
В мае 2021 года злоумышленники, связанные с группой Conti (Conti), развернули программу-вымогатель в национальной сети здравоохранения Ирландии, управляемой Управлением здравоохранения Ирландии (HSE).
Conti предоставила НИУ ВШЭ пригодный для использования ключ дешифрования (без выплаты выкупа НИУ ВШЭ) вскоре после атаки, хотя процесс восстановления НИУ ВШЭ все еще был сложным и занимал много времени. Вышка восстановила 50 % своей сети сразу после середины июня, а остальную часть своей сети — сразу после середины сентября.
Атака вызвала перебои в работе медицинских служб по всей стране. HSE отложила некоторое лечение и полагалась на частные учреждения, вернулась к ручному ведению записей и столкнулась со значительными дополнительными рисками для безопасности пациентов. Сотрудникам, и без того истощенным из-за необходимости работать в условиях пандемии COVID-19, некоторые платежи были задержаны.
Уязвимая организация и сеть
Высшая школа экономики отвечает за предоставление медицинских и социальных услуг всем жителям Ирландии с населением более 5 миллионов человек, и в нем работает около 130 000 человек. На момент атаки сеть ВШЭ насчитывала 4500 серверов, 70 000 устройств конечных пользователей и более 1000 приложений. Сеть охватывает 4000 физических местоположений.
HSE предоставляет услуги на основе сложных взаимоотношений с общественными организациями здравоохранения и больничными группами, а также в сотрудничестве с «добровольными» больницами, которые работают независимо от HSE. Организации, имеющие доступ к сети НИУ ВШЭ, разделяли то, что PwC называет «двунаправленными доверительными отношениями» с НИУ ВШЭ, по-видимому, в отличие от отношений, которые давали НИУ ВШЭ более сильный контроль.
К началу 2021 года НИУ ВШЭ определила свои киберриски и оценила их степень зрелости как низкую. Он также считал свою сеть «хрупкой»: «плоской» (относительно несегментированной) сетью, которая со временем развивалась для удовлетворения потребностей, связанных с услугами, а не потребности в безопасности и отказоустойчивости. Интенсивное использование устаревших технологий также создавало нагрузку на сеть.
Проблема была и с кадрами: в НИУ ВШЭ работало всего 350 человек на должностях в сфере ИТ и только 15 – на должностях, связанных с кибербезопасностью. НИУ ВШЭ в значительной степени набрала команду по кибербезопасности из ИТ-персонала, и, по данным PwC, этой команде не хватало опыта в области кибербезопасности.
Как произошло нападение
Атака произошла в середине марта, когда пользователь НИУ ВШЭ щелкнул вредоносный документ Microsoft Excel, прикрепленный к фишинговому письму. Затем злоумышленник развернул известные хакерские инструменты на рабочей станции пользователя и закрепился в сети. Антивирусное ПО НИУ ВШЭ зафиксировало атаку еще в конце марта, но было настроено только на мониторинг и поэтому не блокировало вредоносные команды.
Исполнители фишинговой атаки, возможно, продали этот плацдарм компании Conti, которая снова получила доступ к сети 7 мая и начала двигаться в боковом направлении, частично используя неисправленную и известную уязвимость.
В период с 7 по 14 мая, когда компания Conti развернула программу-вымогатель, в различных подразделениях НИУ ВШЭ были обнаружены признаки компрометации. Одна независимая больница и Департамент здравоохранения воспользовались предупреждениями и успешно заблокировали развертывание, принудительно сбросив пароль, перенастроив брандмауэры и используя средства защиты. Сама HSE не мобилизовалась достаточно быстро, отчасти потому, что она неверно истолковала доказательства, предполагая, что независимая больница была источником угрозы. PwC объяснила эту неудачу размером и отсутствием опыта у группы кибербезопасности НИУ ВШЭ.
Усилия по восстановлению
Вышка не планировала такой инцидент и, по данным PwC, пострадала из-за следующих недостатков:
- Нет планов реагирования на кибербезопасность или сборников сценариев;
- Нет инструментов безопасности, способных исследовать и устранять предупреждения системы безопасности;
- Нет централизованного списка контактных данных всех сотрудников ОТОСБ или реестра активов;
- Никаких автономных копий ключевой ИТ-безопасности и документации;
- Отсутствует заранее установленный приоритетный список приложений и систем для восстановления, в частности список, учитывающий межтехнологические зависимости; и
- Нет заранее согласованной, настроенной и протестированной системы внеполосной связи.
В результате специалисты HSE потратили время на сбор информации о своей сети, чтобы восстановить приоритеты и корректировать ее по ходу дела. Отсутствие документации и ресурсов легло тяжелым бременем на ключевой персонал, вызывая «узкие места» и замедляя восстановление ОТОСБ.
Похоже, что правовое позиционирование также имело некоторую фрагментацию: одна независимая больница, чьи данные Conti опубликовала в даркнете вместе с данными HSE, решила уведомить затронутых субъектов данных. HSE решила, что уведомление было необоснованным, поскольку риск персональных данных для прав и свобод людей был слишком низким.
Выводы и рекомендации PwC
PwC сделала ряд выводов в своем 100-страничном отчете и сосредоточила внимание на необходимости трансформационных изменений. На основе этих выводов были вынесены четыре стратегические рекомендации:
<р>1. Внедрите усовершенствованную структуру управления ИТ и кибербезопасностью, которая обеспечит надлежащее внимание, внимание и контроль. В отношениях между НИУ ВШЭ и организациями, входящими в сеть НИУ ВШЭ, PwC рекомендовала, чтобы НИУ ВШЭ взяли на себя управление, в том числе путем разработки и применения «кодекса связи». Внутри PwC рекомендовала HSE создать комитеты по кибербезопасности и ИТ на исполнительном уровне, а также комитет правления (при поддержке внешних экспертов) для наблюдения за необходимыми изменениями в программе безопасности HSE. <р>2. Создать трансформационного директора по технологиям и трансформации (CTTO) и офис, чтобы создать концепцию и архитектуру для устойчивых и перспективных технологических возможностей; чтобы возглавить реализацию необходимой программы значительных преобразований и создать расширенную функцию, которая будет необходима для выполнения такого масштаба изменений в ИТ. По данным PwC, нынешнему директору по информационным технологиям НИУ ВШЭ не хватает мандата, полномочий и бюджета для разработки и создания более устойчивой сети НИУ ВШЭ. Он предполагает, что технический директор разработает новую стратегию, требующую значительного дополнительного финансирования. <р>3. Назначьте главного сотрудника по информационной безопасности (CISO) и создайте подразделение кибербезопасности с соответствующими ресурсами и навыками. Разработать и внедрить программу трансформации кибербезопасности. PwC заявила, что HSE нужен директор по информационной безопасности для проведения организационных изменений, заявив, что «директор по информационной безопасности должен быть на уровне национального директора, подчиняться непосредственно CTTO и иметь соответствующий доступ к [группе исполнительного руководства] и их повестке дня, чтобы гарантировать, что кибербезопасность риски понимаются и учитываются при принятии всех решений». <р>4. Внедрить программу преобразования непрерывности медицинских услуг и услуг, подотчетную Национальному директору по управлению и рискам, и расширить возможности управления кризисными ситуациями, чтобы охватить такие события, как масштабные кибератаки или крупномасштабная потеря ИТ. Несмотря на то, что компания признала непрерывность обслуживания сильной стороной ОТОСБ, PwC, тем не менее, рекомендовала внести изменения, чтобы сделать непрерывность обслуживания дисциплиной управления рисками и координировать процессы во всей организации.Выводы
<р>1. Кибератака в Ирландии иллюстрирует опасности моделей управления ИТ и безопасностью, которые четко не закрепляют ответственность и полномочия за одним лицом. Многие части государственного сектора внедрили сложные модели общих ИТ-услуг, которые могут быть недостаточно устойчивыми, поскольку ответственность и полномочия неясны или разделены между организациями.Спросите: есть ли у вас достаточно надежная модель управления?
<р>2. Кибератака в Ирландии иллюстрирует необходимость упреждающего планирования реагирования на инциденты, а для сложных ИТ-систем дает полезные рекомендации по планированию. По данным PwC, несмотря на исключительные навыки кризисного управления и реагирования на чрезвычайные ситуации, НИУ ВШЭ мешало отсутствие планирования. В отчете PwC основное внимание уделялось сопоставлению активов, определению приоритетности услуг и систем для восстановления и выявлению зависимостей между службами и системами.Спросите: есть ли у вас актуальная карта сети и инвентаризация систем, в которых указаны приоритеты и зависимости?
Спросите: есть ли у вас план реагирования на инциденты, в котором определены роли, обязанности и ключевые задачи?
<р>3. Привлекая PwC к проведению независимой проверки своей кибератаки, HSE выиграет от серьезного анализа PwC по устранению недостатков. Основной причиной атаки в Ирландии была не человеческая ошибка, из-за которой пользователь HSE попался на фишинговую схему.Скорее, причиной стала организационная проблема, которая не позволила ВШЭ построить устойчивую сеть и оптимально отреагировать на кибератаку. Не каждый инцидент требует такого глубокого расследования, которое проводит HSE. Однако организации, которые подвергаются атакам без тщательного анализа того, что произошло и почему, останутся уязвимыми.Спросите: есть ли у вас программа информирования пользователей, которая адекватно снижает риск фишинга, который неизменно является одной из основных атак, используемых злоумышленниками?
Спросите: предусматривает ли ваш план реагирования на инциденты причинно-следственный анализ, который позволит вам устранить непосредственные и первопричины?
<р>4. Кибератака в Ирландии показывает, что кибербезопасность, особенно в государственном секторе, зависит от стратегии, финансирования и организационных изменений. Вышка эксплуатировала критически важную общественную инфраструктуру, столкнулась с критическим риском и оценила себя как имеющую низкую зрелость в области кибербезопасности. Такое относительное положение вещей было очевидным для Вышки, но оно менялось недостаточно быстро, чтобы защитить себя и общественность, которой служило. Многие организации государственного сектора Канады находятся на той же «горячей платформе», что и Вышка. Их задача состоит в том, чтобы изменить себя — в идеале до, а не после крупного инцидента.Спросите себя: что можно сделать, чтобы инициировать устойчивые изменения и усилить государственную поддержку до того, как вы подвергнетесь серьезной кибератаке?
Спросите: как вы можете использовать причинно-следственный анализ совместно или с другими организациями, чтобы обосновать необходимость улучшения государственного финансирования?
Подвержены ли вашей организации те же недостатки в управлении и реагировании на инциденты, которые сделали уязвимой ирландскую HSE? Если да, то сейчас самое время задать вопросы и обратиться за помощью, и любой из авторов этой статьи готов оказать поддержку.
Читайте также: