Cyberbezpieczeństwo: globalny problem, który wymaga globalnej odpowiedzi

Rządy na całym świecie są zaniepokojone rosnącym ryzykiem cyberataków na ich infrastrukturę krytyczną. Ostatnio agencje ds. bezpieczeństwa cybernetycznego krajów wchodzących w skład sojuszu „Five Eyes” ostrzegł przed możliwym wzrostem takich ataków „w odpowiedzi na bezprecedensowe koszty gospodarcze nałożone na Rosję” po inwazji tego kraju na Ukrainę. 

W poradniku zauważono, że „niektóre grupy cyberprzestępcze niedawno publicznie zadeklarowały wsparcie dla rosyjskiego rządu”, z groźbą takich cyberoperacji „w odwecie za postrzegane cyberofensywy przeciwko rosyjskiemu rządowi lub narodowi rosyjskiemu”. 

Według Andy'ego Gartha, kierownika ds. spraw rządowych ESET, taka działalność jest „globalnym problemem z podmiotami państwowymi i ich pełnomocnikami, a niektóre państwa chcą zapewnić bezpieczne schronienie, w którym grupy przestępcze mogą działać bezkarnie”.  

„W przypadku konfliktu na Ukrainie niektóre grupy przestępcze angażują się obecnie w cyberszpiegostwo rzekomo na polecenie swoich rosyjskich gospodarzy. Rzeczywiście rozsądnie jest przygotować się na zwiększoną liczbę przypadków cybersabotażu i zakłóceń w miarę dodawania cyberataków do zestawu narzędzi odwetowych i zwiększania się ryzyka ich rozprzestrzeniania się” – mówi Garth. Istnieje również zwiększone ryzyko niezamierzonych konsekwencji, gdy grupy strażników włączą się do walki po obu stronach. 

Nowe podejście do cyberodporności 

Przed inwazją rządy na całym świecie rozważały już strategie cyberbezpieczeństwa, aby przeciwdziałać stale narastającym zagrożeniom cybernetycznym ze strony podmiotów państwowych i grup przestępczych. Jednak nowe zagrożenia dostrzegane przez rządy od lutego sprawiają, że pilna jest potrzeba budowania odporności cybernetycznej. 

W marcu 15th, prezydent USA Joe Biden podpisana Ustawa o wzmocnieniu amerykańskiego cyberbezpieczeństwa z 2022 r., nakładająca na firmy zajmujące się infrastrukturą krytyczną obowiązek zgłaszania znaczących cyberataków do Agencja ds. Bezpieczeństwa cybernetycznego i bezpieczeństwa infrastruktury (CISA) w ciągu 72 godzin i wszystko płatności ransomware w ciągu jednego dnia. Nowe rozporządzenie to nie tylko ustawa o ujawnianiu informacji, ale ma na celu zmianę postrzegania cyberataku z prywatnej sprawy firmowej na zagrożenie publiczne. To prawodawstwo wpisuje się w pewien trend, podążając za Atak na rurociąg kolonialny w maju 2021 r., kiedy prezydent Biden sygnalizowane nową rolę dla cyberbezpieczeństwa i poprosił o podejście całego rządu do cyberzagrożeń. 

Wraz z nowymi uprawnieniami CISA ma również zwiększyć swój budżet w przyszłym roku do 2.5 miliarda dolarów, co jest dodatkowe 486 milionów dolarów z poziomu 2021. Co więcej, Bidena rachunek za infrastrukturę przeznacza 2 mld USD na cyberbezpieczeństwo, z czego 1 mld USD przeznacza się na poprawę cyberbezpieczeństwa i odporności infrastruktury krytycznej. 

Równolegle Unia Europejska poszła podobną drogą, wprowadzając kilka nowych dyrektyw i rozporządzeń oraz dodatkowe środki finansowe mające na celu zwłaszcza zwiększenie cyberodporności UE i roli instytucji UE, a także ułatwienie ściślejszej współpracy między organami państw członkowskich. Na poziomie operacyjnym, w odpowiedzi na inwazję Rosji, UE po raz pierwszy rozmieściła Zespół Cyber ​​Szybkiego Reagowania pomoc Ukrainie w łagodzeniu cyberzagrożeń. 

Proponowane przez UE Dyrektywa NIS2 ma na celu wzmocnienie wymogów bezpieczeństwa, zajęcie się bezpieczeństwem łańcuchów dostaw i usprawnienie obowiązków sprawozdawczych. NIS2 znacznie poszerza także zakres podmiotów krytycznych objętych obowiązkowymi wymogami wysokiego poziomu bezpieczeństwa. Sektory takie jak zdrowie, badania i rozwój, produkcja, przestrzeń kosmiczna lub „infrastruktura cyfrowa”, w tym usługi przetwarzania w chmurze lub publiczne sieci komunikacji elektronicznej, będą teraz wymagały silniejszych polityk w zakresie odporności cybernetycznej. Podobnie Komisja Europejska proponuje nowe przepisy skupiające się na sektorze finansowym Ustawa o cyfrowej odporności operacyjnej (DORA) i Urządzenia IoT z ustawą Cyber ​​Resilience, które zostaną zaprezentowane po wakacjach. 

Potrzeba dzielenia się danymi wywiadowczymi i ściślejsza współpraca w wykrywaniu zagrożeń jest również podstawowym celem proponowanego Wspólna Jednostka Cybernetyczna UE, którego celem jest ochrona infrastruktury krytycznej UE przed cyberatakami. Chociaż jego dokładna rola i struktura są nadal ustalane, to Oczekuje się mają charakter operacyjny, że zapewnićs lepszą wymianę danych wywiadowczych na temat zagrożeń cyberbezpieczeństwa między państwami członkowskimi, Komisją Europejską, ENISA, CERT-UE i sektorem prywatnym.  

Komisja zaproponowała również nowe regulacje mające na celu wzmocnienie CERT-UE, przekształcając strukturę w „Centrum Cyberbezpieczeństwa” w celu wzmocnienia pozycji instytucji UE w zakresie bezpieczeństwa. 

Garth wskazuje, że wysiłki te stanowią „uznanie w rządach (i instytucjach UE) skali wyzwania, jakim jest ochrona zasobów cyfrowych państw narodowych przed rosnącymi i ewoluującymi cyberzagrożeniami”. Podkreśla potrzebę „podejścia ogólnospołecznego i partnerstwa z sektorem prywatnym w centrum uwagi”, „żaden rząd nie jest w stanie samodzielnie stawić czoła tym zagrożeniom”. powołując się na Narodowa strategia cybernetyczna Wielkiej Brytanii 2022 gdzie tego rodzaju współpracę można zaobserwować w obszarach takich jak edukacja, budowanie odporności, testowanie i reagowanie na incydenty. 

Ale jakie zagrożenia stoją przed rządami? 

Rządy mają wyjątkową cechę: przechowują wszystkie dane dotyczące ich działalności, a także dane swoich obywateli. Dlatego są najbardziej pożądanym celem. To powszechne zagrożenie dla państw prowadzi się na szczeblu Organizacji Narodów Zjednoczonych do uzgodnienia obszarów „poza zasięgiem”, w których nie należy przeprowadzać cyberoperacji, takich jak systemy opieki zdrowotnej. Rzeczywistość odbiega od tej rzeczywistości, w związku z trwającym cyberkonkursem między głównymi mocarstwami i [niewiążącymi] porozumieniami na szczeblu UN poziom istoty ignorowane. 

Te konkursy bawić się w „szarej strefie” gdzie państwa mogą angażować się nawzajem pod założeniem prawdopodobnej możliwości zaprzeczenia i ciągłej gry w kotka i myszkę w sferze cyberszpiegostwa, w tym kradzieży informacji i ataków na infrastrukturę krytyczną, co czasami powoduje zakłócenia w świecie rzeczywistym całe kraje. Niedawne przypadki, takie jak użycie oprogramowania szpiegującego Pegasus, pokazują, że podsłuchiwanie ma się dobrze nawet wśród zaprzyjaźnionych państw. Jak mówi Garth, „szpiegostwo istnieje już od dłuższego czasu… jak wielu praktyków wywiadu prawdopodobnie się zgodzi, może dostarczać użytecznej inteligencji z umiarkowanym ryzykiem, o ile nie zostaniesz złapany”. 

Podobnie ukierunkowane ataki ransomware są coraz większym problemem – nie tylko po to, by uzyskać jak największą wypłatę, ale by zmaksymalizować wartość skradzionych danych o ugruntowanym przestępcy rynek Platformy 

Ataki przeciwko łańcuchom dostaw może zagrażać nie tylko agencjom rządowym czy konkretnej instytucji, ale także krytycznym sektorom gospodarki kraju. Powszechny wpływ ataków, takich jak ten przeciwko Kaseya utrudnić rządom reagowanie, powodując naprawdę destrukcyjne konsekwencje zarówno dla przedsiębiorstw, jak i obywateli. Ale ponieważ niektóre stany są zadowolone z ryzyka masowych zakłóceń i szkód, inne przeprowadzają ukierunkowane ataki na określone jednostki przemysłowe i systemy w celu zniszczenia części krajowej infrastruktury krytycznej. 

Prawdziwym wyzwaniem jest zachęcenie wszystkich do wspólnej pracy 

Rządy nie mają łatwego zadania: utrzymywanie starszych systemów, radzenie sobie z niedoborami umiejętności, budowanie świadomości cybernetycznej w miejscu pracy, zarządzanie rosnącym obszarem ataku, integrowanie nowych technologii i stawianie czoła wyrafinowanym atakom. Gotowość wymaga czasu i należy przyjąć: podejście zerowego zaufania, rozumiejąc, że ataki będą miały miejsce i należy je łagodzić tam, gdzie nie można ich uniknąć.  

Trudno to zastosować w typowo wielowarstwowej infrastrukturze urzędów. Pomimo ich rozmiarów często łatwiej jest chronić systemy scentralizowanych władz, ale radzenie sobie z ogromną liczbą lokalnych i zdecentralizowanych urzędów sprawia, że ​​jest to misja prawie niemożliwa. Pomimo stopniowego zwiększania funduszy, jest zbyt mało specjalistów ds. cyberbezpieczeństwa, co znacznie utrudnia obronę przed ewoluującymi zagrożeniami. 

Obywatele są coraz bardziej świadomi zagrożeń cybernetycznych, często ze względu na duże zainteresowanie i częste doniesienia w mediach; skupianie uwagi na problemie i finansowanie programów uświadamiających – szczególnie tych skierowanych do osób mniej obeznanych z technologią i osób bezbronnych – ma kluczowe znaczenie dla powodzenia. Mimo to popełniający błędy ludzie w dalszym ciągu stanowią główny punkt wejścia dla cyberprzestępców, dlatego obecnie niezbędne jest wykorzystywanie osiągnięć w zakresie uczenia maszynowego i sztucznej inteligencji, zwykle wdrażanych w produktach i usługach takich jak EDR i analiza zagrożeń w czasie rzeczywistym. 

Wspólny problem wymaga wspólnego działania 

Synergie między sektorem publicznym i prywatnym są bardzo potrzebną reakcją na rosnące zagrożenie ze strony cyberataków. Kryzys na Ukrainie i wcześniejsze prace wykonane w celu ochrony ukraińskiej infrastruktury krytycznej są ważnym przykładem tego, co może być osiągnięty.  

Równolegle Garth sugeruje dynamiczne angażowanie organizacji takich jak ONZ, OECD i grupy takie jak G7, G20, aby „społeczność międzynarodowa zwróciła uwagę na cyberaktywność państw, wzywając i podejmując w razie potrzeby działania przeciwko tym, którzy ignorują ustalone normy i łamią atakuje grupy przestępcze i ich zdolność do zarabiania na swojej działalności przestępczej… ale także współpracuje w celu zwiększenia odporności cybernetycznej na całym świecie, w tym w krajach rozwijających się”.