Правительства по всему миру обеспокоены растущими рисками кибератак на их критически важную инфраструктуру. Недавно агентства по кибербезопасности стран, входящих в альянс «Пять глаз», предупредили о возможном росте таких атак «в ответ на беспрецедентные экономические издержки, наложенные на Россию» после вторжения страны в Украину.
В консультативном заключении отмечалось, что «некоторые группы киберпреступников недавно публично заявили о своей поддержке российского правительства», и существует угроза таких киберопераций «в отместку за предполагаемые кибернаступления против российского правительства или российского народа».
По словам Энди Гарта, руководителя отдела по связям с правительством ESET, такая деятельность — это «глобальная проблема с участием государственных акторов и их прокси, причем некоторые государства готовы предоставлять убежища, в которых преступные группы могут действовать безнаказанно».
«В случае конфликта на Украине некоторые преступные группы теперь занимаются кибершпионажем, предположительно по указанию своих российских кураторов. Действительно, разумно готовиться к увеличению числа случаев киберсаботажа и сбоев, поскольку кибератаки добавляются в арсенал ответных мер, а риск побочного ущерба возрастает», — говорит Гарт. Также возрастает риск непреднамеренных последствий, поскольку в конфликт вступают группы вигилантов с обеих сторон.
Новый подход к киберустойчивости
Еще до вторжения правительства по всему миру рассматривали стратегии кибербезопасности для противодействия постоянно растущим киберугрозам со стороны государственных акторов и преступных групп. Но новые риски, воспринимаемые правительствами с февраля, подстегивают срочность в построении киберустойчивости.
15 марта президент США Джо Байден подписал Закон об усилении американской кибербезопасности 2022 года, который обязывает компании, занимающиеся критически важной инфраструктурой, сообщать о существенных кибератаках в Агентство по кибербезопасности и безопасности инфраструктуры (CISA) в течение 72 часов, а обо всех выплатах за программы-вымогатели — в течение одного дня. Этот новый закон, помимо простого раскрытия информации, призван изменить восприятие кибератаки с проблемы частной компании на общественную угрозу. Это законодательство является частью тенденции, последовавшей за атакой на Colonial Pipeline в мае 2021 года, когда президент Байден сигнализировал о новой роли кибербезопасности и призвал к комплексному подходу к киберугрозам.
Вместе с новыми полномочиями бюджет CISA на следующий год будет увеличен до 2,5 миллиардов долларов, что на 486 миллионов долларов больше, чем в 2021 году. Кроме того, законопроект Байдена об инфраструктуре выделяет 2 миллиарда долларов на кибербезопасность, из которых 1 миллиард долларов предназначен для повышения кибербезопасности и устойчивости критически важной инфраструктуры.
Параллельно Европейский Союз пошел по похожему пути, приняв несколько новых директив и правил, а также дополнительное финансирование, направленное, в частности, на повышение киберустойчивости ЕС и роли институтов ЕС, а также на содействие более тесному сотрудничеству между органами государств-членов. На оперативном уровне, в ответ на вторжение России, ЕС впервые развернул Группу быстрого реагирования в киберпространстве для оказания помощи Украине в смягчении киберугроз.
Предлагаемая ЕС директива NIS2 направлена на усиление требований безопасности, решение проблем безопасности цепочек поставок и оптимизацию обязательств по отчетности. NIS2 также значительно расширяет сферу действия критически важных объектов, подпадающих под обязательные высокие требования безопасности. Такие сектора, как здравоохранение, исследования и разработки, производство, космос или «цифровая инфраструктура», включая услуги облачных вычислений или общедоступные сети электронных коммуникаций, теперь потребуют более строгой политики киберустойчивости. Аналогично, Европейская комиссия предлагает новое законодательство, ориентированное на финансовый сектор, — Закон о цифровой операционной устойчивости (DORA), и на устройства IoT — Закон о киберустойчивости, который будет представлен после лета.
Необходимость обмена информацией и более тесного сотрудничества в области обнаружения угроз также является основополагающей целью предлагаемого Объединенного киберподразделения ЕС, которое призвано защитить критически важную инфраструктуру ЕС от кибератак. Хотя его точная роль и структура еще определяются, ожидается, что оно будет иметь оперативный характер, обеспечивая лучший обмен информацией об угрозах кибербезопасности между государствами-членами, Европейской комиссией, ENISA, CERT-EU и частным сектором.
Комиссия также предложила новые правила для усиления CERT-EU, преобразовав структуру в «Центр кибербезопасности» с целью усиления мер безопасности институтов ЕС.
Гарт отмечает, что эти усилия являются «признанием правительствами (и институтами ЕС) масштаба проблемы защиты цифровых активов государства от растущих и развивающихся киберугроз». Он подчеркивает необходимость «подхода всего общества и партнерства с частным сектором в основе», «ни одно правительство не может справиться с этими угрозами в одиночку», ссылаясь на Национальную стратегию кибербезопасности Великобритании 2022 года, где такой вид сотрудничества можно увидеть в таких областях, как образование, повышение устойчивости, тестирование и реагирование на инциденты.
Но с какими рисками сталкиваются правительства?
У правительств есть уникальная особенность: они хранят все данные, касающиеся их деятельности, а также данные своих граждан. Поэтому они являются наиболее желанной целью. Эта общая угроза государствам привела к тому, что на уровне Организации Объединенных Наций были согласованы «запретные» области, где кибероперации не должны проводиться, например, системы здравоохранения. Реальность разошлась с этим, поскольку продолжается киберсоревнование между крупными державами, а [необязательные] соглашения на уровне ООН
игнорируются.
Эти соревнования разворачиваются в «серой зоне», где государства могут противостоять друг другу под прикрытием правдоподобного отрицания и постоянной игры в кошки-мышки в сфере кибершпионажа, включая кражу информации и атаки на критически важную инфраструктуру, иногда вызывая реальные сбои для целых стран. Недавние случаи, такие как использование шпионского ПО Pegasus, иллюстрируют, что подслушивание все еще живо даже между дружественными государствами. Как говорит Гарт: «прослушка существует давно… как, вероятно, согласятся многие специалисты по разведке, она может предоставить полезную разведывательную информацию с умеренным риском, если вас не поймают».
ЧИТАЙТЕ ТАКЖЕ: Киберготовность перед лицом эскалации «серой зоны» конфликта
Аналогично, целевые атаки программ-вымогателей вызывают растущую озабоченность — не только для получения самой крупной выплаты, но и для максимизации стоимости украденных данных на хорошо зарекомендовавших себя преступных торговых площадках.
Атаки на цепочки поставок могут поставить под угрозу не только государственные учреждения или конкретное учреждение, но и критически важные сектора экономики страны. Широкое влияние атак, таких как атака на Kaseya, затрудняет реакцию правительств, создавая действительно разрушительные последствия как для бизнеса, так и для граждан. Но поскольку некоторые государства готовы рисковать неизбирательными сбоями и ущербом, другие проводят целенаправленные атаки на конкретные промышленные объекты и системы с целью вывести из строя части критически важной инфраструктуры страны.
Заставить всех работать вместе — вот настоящая проблема
У правительств нет легкой задачи: поддержание устаревших систем, борьба с нехваткой кадров, повышение осведомленности о киберугрозах на рабочем месте, управление расширяющейся поверхностью атаки, интеграция новых технологий и противостояние сложным атакам. Подготовка требует времени, и необходимо принять подход нулевого доверия, понимая, что атаки будут происходить, и их необходимо смягчать там, где их невозможно избежать.
Это сложно применить к типично многоуровневой инфраструктуре правительственных учреждений. Несмотря на их размер, системы централизованных органов власти часто легче защитить, но работа с огромным количеством местных и децентрализованных отделений превращает это почти в невыполнимую миссию. Несмотря на постепенное увеличение финансирования, специалистов по кибербезопасности слишком мало, что значительно затрудняет защиту от развивающихся угроз.
Граждане все больше осведомлены о киберугрозах, часто благодаря громким и частым сообщениям в СМИ; поддержание внимания к проблеме, финансирование программ повышения осведомленности — особенно тех, которые нацелены на менее технически подкованных и уязвимых — имеет решающее значение для успеха. Тем не менее, ошибки людей по-прежнему остаются основным входным пунктом для киберпреступников, поэтому использование разработок в области машинного обучения и искусственного интеллекта теперь необходимо, обычно оно реализуется в продуктах и услугах, таких как EDR и аналитика угроз в реальном времени.
Общая проблема требует совместных действий
Синергия между государственным и частным секторами является столь необходимой реакцией на растущую угрозу, представляемую кибератаками. Кризис на Украине и предыдущая работа по защите критически важной инфраструктуры Украины — важный пример того, чего можно достичь.
Параллельно Гарт предлагает активно привлекать такие организации, как ООН, ОЭСР и группы, такие как G7, G20, чтобы «международное сообщество привлекло внимание к государственной киберактивности, осуждая и принимая меры, где это необходимо, против тех, кто игнорирует установленные нормы, и пресекая деятельность преступных групп и их способность монетизировать свои преступные действия… но также работая вместе над повышением киберустойчивости во всем мире, в том числе в развивающихся странах».