Soos NIS2 nader, hoe kan organisasies lewensgevaarlike kuberaanvalle versag?
INHOUDSOPGAWE:
NIS2 sal oor drie maande in wetgewing in alle EU-lidlande omgesit word. Dit vereis verbeterde basislynsekuriteit, insidentreaksie, voorsieningskettingsekuriteit en nog baie meer om operateurs van noodsaaklike dienste meer kuberbestand te maak. As organisasies twyfel oor hoekom sulke regulasies nodig is, moet jy nie verder kyk as die jongste NHS-losprys-ramp nie.
Gelukkig kan die beste praktyke in die bedryf baie help om NIS 2-nakoming te stroomlyn en die kanse op 'n lewensgevaarlike kubervoorval te verminder.
Gesondheidsorg Onder Vuur
Op die ou end was die losprysware-aanval wat so 'n katastrofiese impak op NHS-pasiënte gehad het, gemik op 'n min bekende gesondheidsorgverskaffer van patologiedienste en het teen die tyd van skryf daarvan veroorsaak dat meer as 800 beplande operasies en 700 buitepasiëntafsprake gekanselleer is en herrangskik, insluitend 'n paar potensieel lewensreddende prosedures. Hierdie syfers hou verband met die twee NHS-trusts wat die meeste geraak word - King's College Hospital NHS Foundation Trust en Guy's and St Thomas' NHS Foundation Trust - en slegs vir 3-9 Junie, so die werklike ontwrigting sal waarskynlik selfs groter wees.
Benewens die kansellasies was die NHS gedwing om te appelleer vir bloedskenkers en vrywilligers in die nasleep van die voorval. Alhoewel die betrokke verskaffer, Synnovis, beplan om sekere IT-funksionaliteit "in die komende weke" te herstel, het dit gewaarsku dat "volledige tegniese herstel" langer sal neem, en ontwrigting is waarskynlik vir "maande".
Ransomware-akteurs teiken gesondheidsorg met toenemende frekwensie, en elke keer as hulle dit doen, is daar 'n potensiaal dat diensontwrigting 'n potensieel lewensgevaarlike impak op pasiënte kan hê. In Alabama in 2021, het die ma van 'n nege maande oue 'n regsgeding aanhangig gemaak teen die hospitaal waar haar dogter gebore is, en beweer dat dit nie bekend gemaak het dat dit destyds 'n losprysaanval gehad het nie. Omdat die kuberaanval kritieke operasionele tegnologie (OT) toestelle ontwrig het, kon dokters volgens die ma nie die kind se toestand behoorlik monitor nie. Ongelukkig is sy met ernstige breinbeserings gelaat en is sy nege maande later oorlede.
'n 25% kans op sterftes
Natuurlik is gesondheidsorg net een van baie kritieke nasionale infrastruktuur (CNI)-sektore waar kuberaanvalle noodlottige gevolge kan hê. Die regering se Nasionale Risikoregister 2023-verslag skat dat 'n ernstige kuberaanval op CNI 'n 5–25% kans het om oor die daaropvolgende twee jaar te gebeur. Dit beweer dat dit tot sterftes van tot 1000 2000 mense en ongevalle van tot XNUMX XNUMX tot gevolg kan hê.
In baie sulke organisasies is dit die gebruik van OT- en IoT-tegnologie wat hulle kan blootstel aan aanvalle met gevaarlike kinetiese effekte. Dit kan gesien word in die waterbehandelingsbedryf, waar a 2016-aanval het gelei in dreigemente wat die vlak van chemikalieë in drinkwater vier keer verander het voordat die aanval gemerk is.
Volgens Anton Shipulin, kuberveiligheidsevangelis by OT-sekuriteitspesialis Nozomi-netwerke, om geteikende lewensgevaarlike kuberaanvalle uit te voer is uitdagend maar haalbaar.
"Dit vereis verskeie voorwaardes vir die bedreigingsakteur, insluitend proseskennis, tyd, geld, personeel en 'n kwesbare teiken," sê hy aan ISMS.online.
“Wanneer lewenskritieke of gevaarlike prosesse egter baie van digitale tegnologie afhanklik is, kan selfs onbedoelde aanvalle of tegnologiese wanfunksies hierdie stelsels in gevaar stel, wat moontlik sterftes of beserings kan veroorsaak. Dit is veral waar in sektore soos gesondheidsorg, industriële robotika en chemikalieë.”
Sean Tufts, besturende vennoot vir kritieke infrastruktuur by Optiv, stem saam dat losprysware steeds die sterkste bedreiging vir CNI is, gegewe die groot aantal groepe in die algemeen en die gemak waarmee baie leemtes in beskerming kan ontgin.
“'n Kraker wat 'n substasie of raffinadery opblaas, is nie onmoontlik nie, maar baie moeilik. Jy sal 'n baie gevorderde inbraakorganisasie nodig hê gekombineer met 'n span wat weet hoe kragsentrales werk,” sê hy aan ISMS.online.
"Die meer waarskynlike scenario is dat 'n lae-vlak hacker 'n kommoditeit lospryspakket op 'n stelsel plaas en 'n fisiese proses stop. As daardie proses 'n vervoerband, oliepomp, elektriese breker of rollercoaster-beheerstelsel is, kan dinge letterlik buite beheer draai. Ons bedryf se huidige leuse is 'kuberveiligheid is veiligheid. Veiligheid is kuberveilig'. Ons wil hê die toerusting naby ons tegnikus se vingers moet onder hul beheer wees.”
Bedreigings afweer en lewens red
Al hierdie faktore verhoog die belang aansienlik vir kuberveiligheidsleiers wat in sulke bedrywe werk. Die vraag word dan, hoe kan hulle kuberveerkragtigheid verbeter tot die punt waar die lewensrisiko voldoende bestuur word?
"CISO's moet dink oor hoe hulle in staat sal wees om nooddiensverskaffing voort te sit in die geval van 'n langdurige netwerkonderbreking en dit in 'n voorvalreaksieplan inkorporeer," adviseer S-RM-assosiaat vir insidentreaksie, James Tytler.
"Hulle moet ook gereelde tafelbladoefeninge uitvoer om seker te maak dat alle relevante partye voor die tyd bewus is van hul rolle en verantwoordelikhede," sê hy aan ISMS.online.
Volgens Optiv's Tufts sal NIS 2 'n nuttige stel sekuriteitspraktyke bied om na te werk.
"NIS2 se fokus op die opstel van 'n kuberveiligheidsbasislyn waarin maatskappye kan groei, is uiters belangrik om begroting vry te stel van besighede met histories lae marges," voer hy aan.
Gegewe die Verenigde Koninkryk se vertrek uit die EU, sal die regulasie egter nie op alle organisasies van toepassing wees nie. Tog is NIS2 nie die enigste speletjie in die stad nie, volgens Nozomi Networks se Shipulin.
"Byna alle kritieke infrastruktuurbedrywe wat kuberfisiese stelsels gebruik, word beheer deur plaaslike regulasies of internasionale standaarde wat die sekuriteit van hierdie stelsels aanspreek," verduidelik hy. "Daarom is die beste benadering om te begin deur die kuberveiligheidsriglyne wat deur die bedryfsreguleerder of sektorspesifieke internasionale verenigings verskaf word, te hersien."
Beste praktykstandaarde soos ISO27001 en IEC 62443 kan ook help. Eersgenoemde sal sekuriteitskwessies in IT-stelsels versag wat deur losprysware-akteurs uitgebuit kan word, en laasgenoemde is veral nuttig aangesien dit spesifiek ontwerp is vir OT-omgewings soos industriële beheerstelsels.
“Hierdie standaard is deur praktisyns gebou, nie reguleerders nie. Die toepaslikheid daarvan is baie hoog en pasgemaak vir ons bedryfsbehoeftes,” sê Optiv's Tufts.
Met die insette so hoog, moet CISO's in CNI-sektore weer op die voorvoet kom.