Питання кібербезпеки в умовах воєнного часу

Джерело: The Page

З початку війни Україна стала ціллю чисельних кібератак, які охопили державні установи, приватні організації та громадян. Ті підприємства, які є частиною критичної інфраструктури, зокрема енергетичні, телекомунікаційні, медіа та фінансові компанії, також мають бути у режимі підвищеної готовності, оскільки саме ці галузі часто вважаються пріоритетними цілями у період війни. Бізнес має бути готові протидіяти цим викликам – компанії повинні оцінити свою готовність до кіберінцидентів і свою здатність відновити діяльність. Разом з глобальними експертами KPMG ми підготували рекомендації, що можуть допомогти оцінити рівень готовності кібербезпеки компанії.

Для початку необхідно провести огляд наявних планів реагування, щоб краще зрозуміти ризики поточних сценаріїв загроз, які з великою ймовірністю можуть відбутися, враховуючи такі фактори, як профіль компанії, її географію тощо.

Що можна зробити:

• Переглянути ландшафт потенційних загроз для вашого бізнесу, налагодити зв’язок з організаціями, які надають інформацію щодо загроз кібербезпеки (Threat Intelligence) аби краще зрозуміти бізнес ризики та заходи, яких необхідно вжити;
• Врахувати можливість призупинення діяльності в регіонах, де вже відбуваються бойові дії або велика імовірність того, що це може відбутися найближчим часом, і те, як мінімізувати ці ризики для бізнесу Наприклад, що роботи в разі недоступності важливих функцій, частково або повністю ІТ-інфраструктури, телефонного зв’язку тощо;
• За необхідності забезпечити евакуацію або переїзд працівників та їх сімей, офісу, систем; перевести компанію в гібридний/віддалений формат роботи (якщо це не було зроблено під час пандемії), забезпечити роботу кризового штабу для забезпечення безпеки людей та безперервності/відновлення роботи компанії ;
• Переглянути плани реагування на інциденти та плани неперервності, поставити собі наступні запитання: Як часто проводиться тестування планів? Чи спрацюють тестові сценарії під час поточних загроз? Оновити плани реагування на інциденти безпеки та створити конкретні плани реагування у відповідності до основних сценаріїв;
• Переконатися, що договори з постачальниками послуг з реагування та стримування атак є актуальними;
• Переглянути всі нормативні вимоги щодо необхідності звітування про інциденти кібербезпеки;
• Розглянути можливість проактивного налагодження зв'язків з правоохоронними та державними органами, які мають бути залучені у разі масштабного інциденту кібербезпеки;
• Подумати про проведення симуляцій реагування на кібератаки, якщо такі вправи не виконувались протягом останніх шести місяців.

Є сенс переглянути ключові набори контролів кібербезпеки, які можуть допомогти знизити ймовірність успішності атак, зокрема тих, які допомагають захиститися від загроз від держави-агресора або організованих угруповань, які активізували свою діяльність під час війни.

Що можна зробити:

• Надати пріоритет задачам з встановлення виправлень (патчів) усіх критичних вразливостей у системах – особливо для тих, які зараз активно використовуються зловмисниками. Агентство з кібербезпеки та безпеки інфраструктури США (CISA) веде базу даних таких вразливостей, а деякі центри кібербезпеки надають поради щодо того, на які з них слід звернути першочергову увагу;
• Переглянути контролі доступу до ключових систем, зосереджуючи увагу на багатофакторній аутентифікації, видаленні облікових записів, що не використовуються або термін дії яких закінчився, а також необхідності ізоляції систем, що мають високий ризик;
• Переконатися, що захист від шкідливого ПЗ встановлений, ліцензії актуальні і програми регулярно оновлюються;
• Виконати зовнішнє сканування вразливостей для систем, що мають доступ до інтернету, і усунути найбільш важливі недоліки;
• Переконатися, що для критичних систем налаштовані процеси резервного копіювання і регулярно створюються офлайн копії важливих бізнес-даних.

Окрім превентивного захисту ефективний моніторинг безпеки є також важливим з огляду на своєчасне виявлення та реагування на вторгнення. Середній час між початковою компрометацією і запуском деструктивного шкідливого ПЗ тепер вимірюється днями, а не тижнями або місяцями, як було раніше.

Що можна зробити:

• Зрозуміти поточні можливості з моніторингу кібербезпеки у мережевій інфраструктурі організації, щоб переконатися в існуванні можливостей з виявлення та запобігання інцидентів кібербезпеки та охопленні ними бізнес послуг, систем та даних;
• Якщо в компанії є команда з полювання на загрози, доручити їм пошук індикаторів компрометації (IOC), заснованих на тактиках, техніках та процедурах (TTP’s), пов’язаних з групами, що асоціюються з державою-агресором або її партнерами, або організованими злочинними групами, які залучені до війни на кіберфронті;
• Подумати про залучення зовнішніх вендорів, що надають послуги керованого виявлення та реагування, з метою розширення ваших можливостей та отримання кваліфікованої підтримки у разі потреби.

Підприємствам слід планувати можливу зупинку своєї діяльності в регіонах бойових дій та у деяких випадках організовувати тимчасову кадрову підтримку для забезпечення функціонування своїх критичних сервісів, допоки їхні співробітники не зможуть повернутися до офісу або в країну. Окрім підтримки співробітників та їхніх сімей, організації також мають знати про ризики організованих злочинних груп. Ці групи намагаються скористатися кризою на свою користь, створюючи підроблені вебсайти, які нібито пропонують допомогу чи корисну інформацію, або приймають пожертвування. Є велика ймовірність фішингових кампаній, орієнтованих на тематику війни в Україні і спрямованих на високопоставлених осіб, які відкрито висловлюють свою позицію стосовно війни.

Що можна зробити:

• Пересвідчитись, що співробітники мають доступ до надійних та перевірених джерел інформації щодо поточної ситуації і є обізнаними щодо ризиків фішингу і шахрайських веб сайтів з тематики війни в Україні;
• Надавати поради з кібербезпеки для співробітників, що знаходяться в місцях потенційного ризику або працюють на високих позиціях;
• Надавати психологічну підтримку співробітникам та їх сім’ям, включаючи проведення тренінгів або семінарів щодо дій в непередбачуваних або кризових ситуаціях;
• Подумати про термінову додаткову підтримку в управлінні звичайними функціями безпеки, аналізу збільшеного обсягу сповіщень безпеки та реалізації термінових покращень щодо безпеки.

На початку пандемії COVID-19, коли підприємства припиняли свою роботу, а співробітників відправили додому, організації швидко зрозуміли, наскільки залежними вони стали від складної екосистеми третіх сторін, що надають критичні системи, послуги та дані. Воєнний стан в Україні знову підкреслює важливість розуміння безпеки та стійкості усіх партнерів у важливих напрямках ланцюгів поставок.

Що можна зробити:

• Ідентифікувати залежності від вендорів і партнерів,  та створити резервний план, якщо раптом за певних умов вони будуть виключені з ланцюгів постачання;
• Для критичних постачальників (щонайменше) налаштувати посилений моніторинг вхідного мережевого трафіку, оскільки кіберзлочинність може стати більш витонченою та складною через дії численних хакерських груп, у яких розв’язані руки в поточній ситуації;
• Для критичних постачальників (щонайменше), перевірити наявність та актуальність планів реагування на інциденти та планів забезпечення стійкості;
• Зрозуміти вплив на вашу організацію потенційних інцидентів у ваших ланцюгах поставок, щоб визначити, де саме зосередити посилений моніторинг та підвищити готовність до реагування.

Воєнний стан в Україні викликає занепокоєння компаній також через нові виклики у забезпеченні безперебійної роботи критичних сервісів та систем, які можуть бути пошкоджені або виведені з ладу внаслідок бойових дій. Перенесення ІТ-інфраструктури в хмару або створення сайтів аварійного відновлення у глобальних хмарних ЦОД дозволить гарантувати необхідний рівень доступності.

Що можна зробити:

• Проаналізувати наявну ІТ-архітектуру на предмет можливості та доцільності міграції в хмару, враховуючи технічні (можливість/складність перенесення в хмару), фінансові, регуляторні та питання безпеки;
• Обрати провайдера хмарних сервісів, враховуючи наявні компетенції ІТ-спеціалістів;
• Визначити черговість та критичність перенесення тих чи інших елементів ІТ-архітектури в хмару;
• Розглянути та обрати наявні на ринку хмарні сервіси, зокрема для забезпечення віддаленої роботи (проведення відеодзвінків, офісне програмне забезпечення тощо);
• Організувати збереження резервних копій інформації в хмарі;
• Організувати сайти аварійного відновлення в публічній хмарі в Європі або США.

Поточна ситуація залишається непередбачуваною – компаніям та організаціям важливо постійно аналізувати, як ситуація може розвиватися далі, та які сценарії можуть виникнути. Для кожного сценарію у компанії має бути аналіз, як той чи інший сценарій вплине на організацію з огляду на людей, бізнес, ланцюги поставок і технології. При цьому деякі розглянуті рекомендації можна впровадити вже зараз, щоб підготуватися до таких випадків, підвищити стійкість, зменшити вплив і скоротити тривалість інцидентів, якщо вони відбудуться.