Nye og forverrede cyberrisikoer etter Russlands invasjon av Ukraina gir næring til et nytt presserende behov for å øke motstandskraften
Regjeringer over hele verden er bekymret for økende risiko for cyberangrep mot deres kritiske infrastruktur. Nylig har cybersikkerhetsbyråene i landene som består av 'Five Eyes'-alliansen advart om en mulig økning i slike angrep «som et svar på de enestående økonomiske kostnadene som er pålagt Russland» etter landets invasjon av Ukraina.
Rådgivningen bemerket at "noen cyberkriminalitetsgrupper nylig har lovet offentlig støtte til den russiske regjeringen", med trusselen om at slike cyberoperasjoner kommer "som gjengjeldelse for antatte cyberoffensiver mot den russiske regjeringen eller det russiske folket".
I følge Andy Garth, ESET Government Affairs Lead, er slik aktivitet «et globalt problem med statlige aktører og deres fullmektiger, med noen stater som er villige til å tilby trygge havn der kriminelle grupper kan operere ustraffet».
«Når det gjelder Ukraina-konflikten, engasjerer noen kriminelle grupper seg nå i nettspionasje, angivelig etter ordre fra sine russiske verter. Det er faktisk også klokt å forberede seg på økte hendelser med cybersabotasje og forstyrrelser ettersom cyberangrep legges til gjengjeldelsesverktøykassen og risikoen for spillover øker, sier Garth. Det er også en økt risiko for utilsiktede konsekvenser ettersom årvåkne grupper går inn i kampen på begge sider.
En ny tilnærming til cyberresiliens
Før invasjonen vurderte regjeringer over hele verden allerede cybersikkerhetsstrategier for å motvirke de stadig økende cybertruslene fra statlige aktører og kriminelle grupper. Men de nye risikoene som myndighetene har oppfattet siden februar gir næring til en ny presserende kraft for å bygge cyberresiliens.
I mars 15th, USAs president Joe Biden signert Strengthening American Cybersecurity Act av 2022, som krever at selskaper som arbeider med kritisk infrastruktur rapporterer betydelige nettangrep til Cybersecurity and Infrastructure Security Agency (CISA) innen 72 timer og alt ransomware-betalinger innen én dag. Mer enn bare en offentliggjøringslov, er den nye forordningen ment å endre oppfatningen av et nettangrep fra et privat selskapsforhold til en offentlig trussel. Denne lovgivningen kommer som en del av en trend som følger Kolonialt rørledningsangrep i mai 2021 da president Biden signalisert en ny rolle for cybersikkerhet og ba om en helhetlig tilnærming til cybertrusler.
Sammen med nye fullmakter vil CISA også få økt budsjettet neste år til 2.5 milliarder dollar, som er 486 millioner dollar ekstra fra 2021-nivået. På toppen av dette, Biden's infrastrukturregning bevilger 2 milliarder dollar til cybersikkerhet, hvorav 1 milliard dollar er bevilget til å forbedre cybersikkerheten og motstandskraften til kritisk infrastruktur.
Parallelt har EU fulgt en lignende vei med flere nye direktiver og forskrifter og tilleggsfinansiering spesielt rettet mot å styrke EUs cyberresiliens og rollen til EU-institusjonene, samt legge til rette for større samarbeid mellom medlemslandenes organer. På det operative nivået, som svar på Russlands invasjon, satte EU for første gang ut Cyber Rapid Response Team for å hjelpe Ukraina med å dempe nettrusler.
EU-forslaget NIS2-direktivet har som mål å styrke sikkerhetskravene, adressere sikkerheten til forsyningskjeder og effektivisere rapporteringspliktene. NIS2 utvider også omfanget av kritiske enheter som faller inn under obligatoriske sikkerhetskrav på høyt nivå. Sektorer som helse, FoU, produksjon, romfart eller «digital infrastruktur», inkludert cloud computing-tjenester eller offentlige elektroniske kommunikasjonsnettverk, vil nå kreve sterkere retningslinjer for cyberresiliens. På samme måte foreslår EU-kommisjonen ny lovgivning for å fokusere på finanssektoren med Lov om digital operativ motstandskraft (DORA) og IoT-enheter med Cyber Resilience Act, som presenteres etter sommeren.
Behovet for deling av etterretning og tettere samarbeid i trusseldeteksjon er også det underliggende målet for det foreslåtte EUs felles cyberenhet, som har som mål å beskytte EUs kritiske infrastruktur mot cyberangrep. Mens det eksakt rolle og struktur er fortsatt under avgjørelse, det forventes å ha en operasjonell karakter Det sikres en bedre utveksling av etterretning om cybersikkerhetstrusler mellom medlemslandene, EU-kommisjonen, ENISA, CERT-EU og privat sektor.
Kommisjonen foreslo også nye regler for å styrke CERT-EU, ved å konvertere strukturen til "Cybersecurity Center", med sikte på å styrke sikkerhetsstillingene til EU-institusjonene.
Garth påpeker at denne innsatsen er en "anerkjennelse i regjeringer (og EU-institusjoner) av omfanget av utfordringen med å beskytte nasjonalstatens digitale eiendeler mot voksende og utviklende cybertrusler". Han fremhever behovet for en "hele samfunnets tilnærming og partnerskap med privat sektor i hjertet", "ingen regjering kan håndtere disse truslene alene." siterer Storbritannias nasjonale cyberstrategi 2022 hvor denne typen samarbeid kan sees på områder som utdanning, bygging av motstandskraft, testing og hendelsesrespons.
Men hvilke risikoer står regjeringer overfor?
Myndigheter har en unik egenskap: de lagrer alle data om deres aktivitet så vel som innbyggernes data. Derfor er de et svært ønskelig mål. Denne vanlige trusselen mot stater ledes på FN-nivå til å bli enige om "off limits" områder hvor cyberoperasjoner ikke skal utføres, for eksempel helsevesen. Realiteten har avviket fra dette, med en pågående cyberkonkurranse mellom stormaktene og [ikke-bindende] avtaler kl. UN nivå vesen ignorert.
Disse konkurransene spille i "gråsonen" der stater kan engasjere hverandre under forutsetningen av plausibel fornektelse og et konstant katt-og-mus-spill innen cyberspionasje, inkludert tyveri av informasjon og angrep på kritisk infrastruktur, noen ganger forårsaker virkelige forstyrrelser for hele land. Nylige tilfeller som bruken av Pegasus-spyware illustrerer at avlytting lever i beste velgående selv blant vennlige stater. Som Garth sier, "snoking har eksistert lenge ... som mange etterretningsutøvere sannsynligvis er enige om, kan det gi nyttig intelligens med beskjeden risiko så lenge du ikke blir tatt."
Likeledes målrettet ransomware-angrep er en økende bekymring – ikke bare for å oppnå den største utbetalingen, men for å maksimere verdien av stjålne data om veletablerte kriminelle markedsplass plattformer
Angrep mot forsyningskjeder kan sette ikke bare offentlige etater eller en spesifikk institusjon i fare, men kritiske sektorer av et lands økonomi. Den utbredte virkningen av angrep som den mot Kaseya gjør det vanskeligere for regjeringer å reagere, og skaper virkelig forstyrrende konsekvenser for både bedrifter og innbyggere. Men ettersom noen stater er fornøyd med å risikere vilkårlige forstyrrelser og skader, lanserer andre fokuserte angrep rettet mot spesifikke industrielle enheter og systemer med sikte på å slå ut deler av en nasjons kritiske infrastruktur.
Å få alle til å jobbe sammen er den virkelige utfordringen
Regjeringer har ikke en enkel jobb, vedlikeholde eldre systemer, takle mangel på ferdigheter, bygge cyberbevissthet på arbeidsplassen, administrere et utvidet angrepsareal, integrere nye teknologier og møte sofistikerte angrep. Beredskap tar tid og det er behov for å vedta en null tillit tilnærming, forstå at angrep vil skje og må dempes der de ikke kan unngås.
Dette er vanskelig å bruke den typiske flerlagsinfrastrukturen til offentlige kontorer. Til tross for størrelsen er det ofte lettere å beskytte systemene til sentraliserte myndigheter, men å håndtere det enorme antallet lokale og delegerte kontorer gjør dette til et nesten umulig oppdrag. Til tross for gradvis økende finansiering, er det for få cybersikkerhetseksperter, noe som gjør det mye vanskeligere å forsvare seg mot de utviklende truslene.
Innbyggerne er i økende grad oppmerksomme på nettrusler, ofte på grunn av høy profil og hyppige rapporter i media; For å holde søkelyset på problemet, er finansiering av bevissthetsprogrammer – spesielt de som er rettet mot de mindre teknologikyndige og sårbare – avgjørende for suksess. Likevel fortsetter mennesker som gjør feil å være det viktigste inngangspunktet for nettkriminelle, og det er derfor det nå er viktig å dra nytte av utviklingen innen maskinlæring og kunstig intelligens, vanligvis distribuert i produkter og tjenester som EDR og sanntids trusselintelligens.
Et felles problem krever felles handling
Synergier mellom offentlig og privat sektor kommer som en sårt tiltrengt reaksjon på den økende trusselen fra nettangrep. Ukraina-krisen og tidligere arbeid gjort for å beskytte ukrainsk kritisk infrastruktur er et viktig eksempel på hva som kan være oppnådd.
Parallelt foreslår Garth å involvere organisasjoner som FN, OECD og grupper som G7, G20 dynamisk, slik at "det internasjonale samfunnet kaster søkelyset på statlig cyberaktivitet, roper ut og tar grep der det er nødvendig mot de som ignorerer etablerte normer og sprekker. ned på kriminelle grupper og deres evne til å tjene penger på sine kriminelle bestrebelser … men jobber også sammen for å øke cyberresiliens over hele kloden, inkludert i utviklingsland».
