Heathrow-kuberinsident: Lesse in veerkragtigheid en insidentrespons

Terwyl reguleerders veerkragtigheid in sakebedrywighede vereis, wat kan ander leer uit die kuberaanval op 'n verskaffer wat Heathrow en sy eweknieë in Europa beïnvloed het?

In September het 'n cyberattack op sagtewareverskaffer Collins Aerospace het gelei tot lang vertragings by 'n aantal Europese lughawens, insluitend Londen Heathrow. Die aanval beïnvloed Collins se Muse-passasierverwerkingsagteware, wat deur lugdienste gebruik word om aanlyn inboek- en bagasiestelsels by lughawens te hanteer.

Destyds het baie van die opskrifte op ontwrigting en passasiersfrustrasie gefokus, maar miskien is die interessanter storie dat Heathrow se bedrywighede nie tot stilstand gekom het nie. Die lughawe het aangehou funksioneer, alhoewel in 'n verswakte modus, danksy noodprosedures wat in plek was voordat die voorval plaasgevind het.

Dit kom op 'n tydstip wanneer die risiko van kuberaanvalle styg. Daar was 'n toename van 600% in losprysware-aanvalle in die lugvaartsektor in een jaar, volgens Thales.

Met inagneming van syfers soos hierdie, berei regerings en reguleerders voor vir 'n toekoms waar die voorkoming van kubervoorvalle nie moontlik is nie. Dit is baie belangriker dat organisasies bedrywighede aan die gang kan hou wanneer dit wel plaasvind.

Terwyl reguleerders veerkragtigheid in sakebedrywighede vereis, wat kan ander leer uit die kuberaanval wat Heathrow en sy eweknieë in Europa geraak het?

Die lyn tussen ontwrigting en ramp

Die lughawe se reaksie het dit gehelp om aan die gang te bly selfs toe dit aangeval is. Tot sy eer was Heathrow se fokus daarop om noodsaaklike bedrywighede aan die gang te hou, selfs al het sy kernfunksies verlangsaam en sigbare ontwrigting veroorsaak, sê Becky White, senior prokureur in Harper James se databeskerming- en privaatheidspan.

“Die prioriteit was om veilige reis te handhaaf, eerder as om 'n gladde passasierservaring te bewaar,” sê sy vir IO. “Deur oor te skakel na voorafbeplande handmatige prosesse en kritieke stelsels te skei van dié wat geraak word, kon hulle die skok absorbeer, eerder as om daaronder in te stort.”

’n Ramp sou ’n algehele stilstand van lugverkeer en passasierverwerking beteken het, terwyl ontwrigting toue, vertragings en tydelike oplossings beteken het. Heathrow het “duidelik belê in noodprosedures wat nie op perfekte toestande staatgemaak het nie”, wys White daarop. “Toe stelsels gefaal het, het personeel geweet hoe ‘goed genoeg om oop te bly’ lyk, en hulle het daarop opgetree.”

Leerervarings vir Ander Sektore

Ander behoort kennis te neem, veral dié wat in kritieke sektore werk waar stilstand nie 'n opsie is nie. Benewens lugvaart, vir nywerhede soos gesondheidsorg, energie, finansies – of kleinhandel wat sy eie gesien het. vlaag van aanvalle – die Heathrow-voorbeeld wys hoe veerkragtigheid die verskil kan maak.

Dit gaan daaroor om te verseker dat kritieke data vinnig herwin kan word, stelsels veilig herstel kan word, en bedrywighede kan voortgaan – selfs wanneer die primêre omgewing vanlyn is, sê Anthony Cusimano, direkteur by Object First. “Hierdie sektore maak sterk staat op ononderbroke toegang tot data en operasionele stelsels, en selfs kort onderbrekings kan watervalgevolge hê.”

Kritieke nywerhede word toenemend beoordeel op hul vermoë om in "gedegradeerde modus" te funksioneer eerder as om ontwrigting heeltemal te vermy, sê White. "Heathrow het gedemonstreer dat sakekontinuïteit nie perfek hoef te wees nie. Dit gaan oor vooruitsig, repetisie en die vermoë om te prioritiseer wat moet voortgaan."

Die Verborge Vraag

As ons uit Heathrow se benadering leer, behoort elke direksie te wonder hoe lank hulle in werking kan bly as hul kernstelsels vanlyn gaan, sê Sean Tilley, senior verkoopsdirekteur EMEA by 11:11 Systems.

Tog wys hy na 'n "ongemaklike waarheid": Baie organisasies het hierdie scenario nie ten volle gestres getoets nie en sakekontinuïteitsoefeninge is dikwels "teoreties of afgesonderd".

Die meeste organisasies neem stilweg aan dat hulle “vir ’n rukkie” sonder ’n kernstelsel kan klaarkom, maar baie min het getoets hoe lank dit eintlik is, sê White. “Die eerlike vraag is nie of herstel moontlik is nie, maar hoe lank die besigheid sonder sy sleutelplatforms kan funksioneer – en wat die koste vir kliënte, veiligheid of nakoming sou wees.”

Met dit in ag genome, moet organisasies die Heathrow-insident as "'n gevallestudie vir veerkragtigheidbeplanning" beskou, sê Ken Prole, uitvoerende direkteur van sagteware-ingenieurswese by Black Duck. Hy wys daarop dat ontwrigting nie net van kuberaanvalle kom nie: Dit kan ook voortspruit uit onverwagte gebeurtenisse soos die CrowdStrike-voorval wat stelsels wêreldwyd in 2024 afgeskaf het.

Met die impak van stilstand soos hierdie in gedagte, beklemtoon hy vrae wat gevra moet word. Prole sê byvoorbeeld: “Het jy al die kritieke afhanklikhede in jou bedrywighede geïdentifiseer en 'n deeglike bedreigingsmodel uitgevoer? Het jy 'n gedokumenteerde handleiding wat die stappe uiteensit wat geneem moet word wanneer een of meer afhanklikhede in die gedrang kom?”

Inkomende Regulasie

Die behoefte aan operasionele veerkragtigheid tydens aanvalle is 'n sleutelonderdeel van verskeie regulasies. In die VK en die EU word raamwerke soos die netwerk- en inligtingstelsels (NIS2)-richtlijn, Wet op Digitale Operasionele Veerkragtigheid (DORA) en die Verenigde Koninkryk Wetsontwerp op kuberveiligheid en veerkragtigheid prioritiseer operasionele kontinuïteit na 'n voorval.

“Nakoming sal toenemend vereis dat organisasies veerkragtigheid moet demonstreer deur middel van metrieke, oudits en bewys van getoetste herstelvermoëns,” sê Tilley.

Intussen het ISO / IEC 27001 stel 'n basislyn vir inligtingsekuriteitsbestuurstelsels, insluitend gedokumenteerde voorvalreaksieplanne (A.5.29), oorwegings vir besigheidskontinuïteit (A.5.30) en gereelde toetsing van planne.

Standaarde soos hierdie beklemtoon scenario-gebaseerde toetsing onder realistiese toestande, sodat organisasies hul planne kan valideer, gapings kan identifiseer en vertroue kan bou in hul vermoë om effektief te reageer, volgens Prole.

Nog 'n nuttige hulpbron is NIST Kubersekuriteitsraamwerk (CSF), wat vyf kernfunksies insluit om te "identifiseer, te beskerm, op te spoor, te reageer en te herstel".

In die Verenigde Koninkryk spesifiek, die Nasionale Sentrum vir Kuberveiligheid se Kuberassesseringsraamwerk (CAF) is 'n instrument vir noodsaaklike dienste en kritieke nasionale infrastruktuur.

Verantwoordelikheid op Raadsvlak

Veerkragtigheid is nou 'n voldoeningsvereiste, en met goeie rede. Voorkoming bly noodsaaklik, maar die groter toets is hoe organisasies aanhou wanneer die ergste gebeur. Heathrow is 'n werklike herinnering dat veerkragtigheid – wanneer dit getoets, geoefen en ingebed word – net soveel 'n voldoeningsvereiste as 'n sekuriteitsmaatreël is.

Dit is belangrik om op direksievlak te oorweeg, waar die verantwoordelikheid vir veerkragtigheid sowel as sekuriteit nou lê, wys White daarop. Sy dink firmas moet “definieer watter vlak van stilstand verdraagsaam is”, hul operasionele afhanklikhede verstaan ​​en “belegging in realistiese kontinuïteitsbeplanning verseker”.

Terselfdertyd is gereelde hersienings nodig om aan te pas by veranderinge in tegnologie, regulasie en voorsieningskettings, sê White. “Veerkragtigheid moet saam met finansiële en regsrisiko op direksievlak wees, met duidelike rapporteringslyne en aanspreeklikheid. Die verwagting van reguleerders en belanghebbendes is dat firmas gereedheid kan demonstreer, nie net voorneme nie. As die direksie die plan slegs tydens 'n werklike voorval teëkom, het die organisasie reeds beheer oor die narratief verloor.”