Operasionele afskakeling is die laaste ding wat enige besigheid wil hê, maar dit is 'n baie werklike risiko tydens 'n ransomware-aanval. Dit is 'n les wat die Amerikaanse betalingsportaalverskaffer BridgePay op die harde manier geleer het.
Deur Kate O'Flaherty
In Februarie was die Amerikaanse betalingsportaalverskaffer BridgePay getref deur 'n ransomware-aanval wat sleutelstelsels vanlyn gesit het, wat 'n wydverspreide onderbreking veroorsaak het.
Die voorval het 'n rimpeleffek gehad en baie van BridgePay se kliënte vir weke ontwrig. Restaurante en kleinhandelaars is gedwing om kliënte te vertel dat hulle nie meer kaartbetalings kon aanvaar nie, terwyl die Stad Palm Bay, Florida se aanlyn faktuurbetalingsportaal vanlyn geskop is.
Die BridgePay Onderbreking was 'n les in die belangrikheid van veerkragtigheid, veral in kritieke sektore soos finansies“Die aanval was 'n operasionele stilstand,” sê Oliver Newbury, hoofstrategiebeampte by Halcyon. “Dit sê vir jou dat veerkragtigheid óf nie vir hierdie scenario ontwerp is nie, óf nie behoorlik uitgeoefen is nie.”
Handboek-losware
Dit kom op 'n tydstip wanneer ransomware-veerkragtigheid op die agenda is, met 'n Britse verbod op betalings vir kritieke nasionale infrastruktuur en openbaresektororganisasies aan die horison. Verizon se ondersoeke na data-oortredings Die verslag het bevind dat besighede ransomware in 44% van alle kuberaanvalle opgespoor het.
Intussen het 19% van die respondente IO'N Toestand van inligtingsekuriteit Die verslag het gesê dat hulle die afgelope 12 maande 'n ransomware-voorval ervaar het.
Waar 'n beduidende deel van organisasies aanvalle ervaar het, dikwels met data-enkripsie en afpersing, eskaleer die koste dramaties wanneer reaksie en herstel ad hoc eerder as beplan is.
In BridgePay se geval was die voorval self “’n teksboks-ransomware-aanval”, sê Harry Mason, hoof van kliëntedienste by die IT-bestuurde diensverskaffer Mason Infotech. “’n Gebruikersidentiteit is gekompromitteer, dienste is deur die aanvaller afgeskakel, en ’n losprys is geëis vir herstel. Dit het daartoe gelei dat die platform vir drie weke af was voordat dit weer ten volle operasioneel was.”
Tog, terwyl kliëntkaartbesonderhede veilig gebly het, het die koste van die voorval vinnig opgehoop. “Baie tyd en geld is bestee aan die gebruik van die forensiese, herwinnings- en sekuriteitspesialisspanne wat nodig was om weer aanlyn te kom,” wys Mason daarop.
Losprysware-aanvalle soos die een wat BridgePay getref het, slaag en veroorsaak ontwrigting as gevolg van gapings in toesig, sê Rob O'Connor, EMEA CISO by Insight. “Dit sluit in onduidelike aanspreeklikheid, onderbeproefde herstelplanne, swak verskaffersrisikobestuur en onvoldoende ondersoek na kuberveerkragtigheid.”
Sistemiese risiko
In baie organisasies skep gapings tussen kuberveiligheid, sakekontinuïteit en voldoeningsfunksies sistemiese blootstelling. Die probleem groei wanneer hierdie funksies langs mekaar sit, eerder as om ten volle geïntegreer te wees, volgens Halcyon se Newbury.
Probleme verskyn dikwels “aan die kante tussen spanne”, sê Stewart Parkin, globale CTO by Assured Data Protection. IO“Sekuriteit wil isoleer en beheer. Kontinuïteit wil stelsels vinnig herstel. Nakoming wil akkurate verslagdoening en kennisgewings van reguleerders hê. As daardie gesprekke nie voor 'n voorval plaasgevind het nie, sal hulle tydens een bots.”
Dit is eers wanneer ransomware toeslaan dat die ontkoppeling duidelik word, stem Newbury saam. “Besluitnemingsregte vervaag, prioriteite bots en eskalasieroetes stagneer. Die gevolg is dat stilstandtyd aanhou, nie omdat die tegnologie nie herstel kan word nie, maar omdat die organisasie nie in lyn was om te reageer nie.”
In die geval van BridgePay, waar ransomware letterlik die besigheid en sy kliënte vanlyn geneem het, wys dit waarom stilstandtyd in betaalstelsels nou as 'n sistemiese risiko beskou word, met regulatoriese en reputasie-implikasies.
Die BridgePay-voorval het so 'n groot impak gehad omdat "slegs 'n handjievol sleutelspelers" nou "'n beduidende deel" van globale digitale betalings ondersteun, sê Luke Fardell, hoofkuberontleder in kuberonderskrywing by Tokio Marine Kiln.
Dit beteken dat 'n enkele ontwrigting "oor verskeie sektore en nywerhede gelyktydig kan stroom", wat moontlik kleinhandelaars, nutsdienste, openbare dienste en klein en mediumgrootte ondernemings (KMO's) kan beïnvloed, verduidelik Fardell.
Aangesien reguleerders hierdie vlak van ontwrigting in kritieke nywerhede probeer vermy, vereis wetgewing toenemend maatreëls wat verder strek as om bloot aanvalle te voorkom. “Iemand kan uitstekende brandmure hê en steeds vanlyn wees,” wys Parkin van Assured Data Protection uit. “Wat hulle nou wil sien, is bewys dat jy behoorlik en binne vasgestelde tydsraamwerke kan herstel.”
Die EU se Wet op Digitale Operasionele Veerkragtigheid (DORA)-regulasie is 'n belangrike voorbeeld. Die regulasie vereis dat besighede, soos banke en versekeringsmaatskappye, moet demonstreer dat hulle binne 'n vasgestelde tydsbestek na 'n toestand van besigheid soos gewoonlik kan herstel.
“’n Sleutelkomponent hiervan is om gereelde strestoetse te ondergaan wat hulle tot spesifieke 'terugkeer na werking'- en 'herstelpuntdoelwit'-teikens bind,” verduidelik Mason van Mason Infotech.
Gestruktureerde, Raad-sigbare Veerkragtigheidsbestuur.
Die BridgePay-insident en die gevolge daarvan toon die werklike koste van stilstandtyd as gevolg van losprysware-aanvalle. Om 'n soortgelyke lot te vermy, moet finansiële infrastruktuuromgewings nou gestruktureerde, direksie-sigbare veerkragtigheidsbestuur skep.
Eenvoudig gestel, dit vereis dat die direksie presies verstaan watter dienste die belangrikste is en hoe lank hulle dit kan bekostig om af te wees, volgens Assured Data Protection se Parkin. “Dit beteken dat afhanklikhede behoorlik gekarteer word, herstel gereeld getoets word, en verskaffers aan duidelike veerkragtigheidstandaarde gehou word. Besluitneming moet geoefen word, nie geïmproviseer word nie.”
Vir optimale resultate is opleiding van kardinale belang, wat “die volle breedte van die besigheid” insluit, sê Mason Infotech se Mason. Die topbestuur moet weet wat van hulle verwag word en hoe om dit op te tree, sê hy, en voeg by dat “almal voorsieningskettingrisiko's moet verstaan”, met “besondere aandag aan vlak 1-afhanklikhede en die oorskakelingsplan in die geval dat hulle afgaan”.
Terselfdertyd, raamwerke soos ISO 27001 kan firmas help om potensiële bedreigings te identifiseer, te assesseer en aan te spreek, en sodoende robuuste beskerming van sensitiewe data en nakoming van internasionale standaarde te verseker.
Gereelde rapportering en assessering van risiko's is die sleutel om te verseker dat 'n besigheid gereed is om weer aanlyn te kom as hulle "môre aan 'n losprysware-aanval onderwerp word", voeg Mason by. "Dit lyk asof dit RTO en RPO tydlyne in plek en toets dit gereeld om te kyk of dit haalbaar is. In die geval van 'n aanval moet daar ook 'n stelsel in plek wees vir die rapportering van voorvalle.”
Daar is verskeie lesse om uit die BridgePay-voorval te leer, maar uiteindelik is dit 'n herinnering dat ransomware nie meer net oor geïnkripteerde lêers gaan nie, sê Newbury van Halcyon. “In betalingsomgewings is dit 'n direkte toets of bestuur en herstel sterk genoeg is om die besigheid aan die gang te hou wanneer voorkoming misluk.”
Brei jou kennis uit
Podcast: Phishing vir Moeilikheid Episode #09 – Wat om nie te doen in 'n ramp nie
Blog: Betaal die losprys of nie? Regeringsoorwegings oor hoe om 'n uitweg uit kubermisdaad te vind
