Nya och förvärrade cyberrisker efter Rysslands invasion av Ukraina underblåser en ny angelägenhet för att öka motståndskraften
Regeringar runt om i världen är oroade över ökande risker för cyberattacker mot deras kritiska infrastruktur. Nyligen har cybersäkerhetsbyråerna i de länder som ingår i "Five Eyes"-alliansen varnade för en möjlig ökning av sådana attacker "som ett svar på de oöverträffade ekonomiska kostnader som ålagts Ryssland" efter landets invasion av Ukraina.
Rådgivningen noterade att "vissa cyberbrottsgrupper nyligen offentligt lovat stöd för den ryska regeringen", med hot om att sådana cyberoperationer kommer "som vedergällning för uppfattade cyberoffensiver mot den ryska regeringen eller det ryska folket".
Enligt Andy Garth, ESET Government Affairs Lead, är sådan verksamhet "ett globalt problem med statliga aktörer och deras ombud, med vissa stater som är villiga att tillhandahålla säkra tillflyktsorter där kriminella grupper kan verka ostraffat".
"I fallet med Ukraina-konflikten ägnar sig nu vissa kriminella grupper åt cyberspionage, enligt uppgift på uppdrag av sina ryska värdar. Det är faktiskt också klokt att förbereda sig på ökade incidenter av cybersabotage och störningar när cyberattacker läggs till i repressaliens verktygslådan och risken för spridning ökar”, säger Garth. Det finns också en ökad risk för oavsiktliga konsekvenser när vigilantegrupper går in i striden på båda sidor.
Ett nytt förhållningssätt till cyberresiliens
Före invasionen övervägde regeringar över hela världen redan cybersäkerhetsstrategier för att motverka de ständigt eskalerande cyberthoten från statliga aktörer och kriminella grupper. Men de nya riskerna som regeringar har uppfattat sedan februari underblåser en ny angelägenhet för att bygga cyberresiliens.
I mars 15th, USA:s president Joe Biden signerad Strengthening American Cybersecurity Act från 2022, som kräver att företag som arbetar med kritisk infrastruktur rapporterar betydande cyberattacker till Byrån för cybersäkerhet och infrastruktur (CISA) inom 72 timmar och allt ransomware-betalningar inom en dag. Mer än bara en avslöjandelag är den nya förordningen avsedd att ändra uppfattningen om en cyberattack från ett privat företagsärende till ett offentligt hot. Denna lagstiftning kommer som en del av en trend som följer Colonial Pipeline attack i maj 2021 när president Biden signalerade en ny roll för cybersäkerhet och bad om en helhetssyn på cyberhot.
Tillsammans med nya befogenheter kommer CISA också att få sin budget nästa år ökad till 2.5 miljarder dollar, vilket är 486 miljoner dollar extra från 2021 års nivå. Ovanpå detta, Biden's infrastrukturräkning avsätter 2 miljarder USD till cybersäkerhet, varav 1 miljard USD tilldelas för att förbättra cybersäkerheten och motståndskraften hos kritisk infrastruktur.
Parallellt har Europeiska unionen följt en liknande väg med flera nya direktiv och förordningar och ytterligare finansiering som särskilt syftar till att stärka EU:s cyberresiliens och EU-institutionernas roll, samt underlätta ett större samarbete mellan medlemsländernas organ. På den operativa nivån, som svar på Rysslands invasion, satte EU för första gången in Cyber Rapid Response Team att hjälpa Ukraina med att mildra cyberhot.
EU-föreslagna NIS2-direktivet syftar till att stärka säkerhetskraven, ta itu med säkerheten i leveranskedjor och effektivisera rapporteringsskyldigheterna. NIS2 breddar också avsevärt omfattningen av kritiska enheter som faller under obligatoriska säkerhetskrav på hög nivå. Sektorer som hälsa, FoU, tillverkning, rymd eller "digital infrastruktur" inklusive molntjänster eller offentliga elektroniska kommunikationsnätverk kommer nu att kräva starkare cyberresilienspolitik. På samma sätt föreslår EU-kommissionen ny lagstiftning för att fokusera på finanssektorn med Digital Operational Resilience Act (DORA) och IoT-enheter med Cyber Resilience Act, som presenteras efter sommaren.
Behovet av att dela underrättelser och närmare samarbete vid upptäckt av hot är också det underliggande målet för det föreslagna EU:s gemensamma cyberenhet, som syftar till att skydda EU:s kritiska infrastruktur mot cyberattacker. Medan dess exakt roll och struktur är fortfarande under beslut, det förväntas ha en operativ karaktär den där säkerställas ett bättre utbyte av underrättelser om cybersäkerhetshot mellan medlemsstaterna, Europeiska kommissionen, ENISA, CERT-EU och den privata sektorn.
Kommissionen föreslog också nya regler för att stärka CERT-EU, genom att omvandla strukturen till "Cybersäkerhetscentret", i syfte att stärka EU-institutionernas säkerhetsställning.
Garth påpekar att dessa ansträngningar är ett "erkännande inom regeringar (och EU-institutioner) av omfattningen av utmaningen att skydda nationalstaternas digitala tillgångar mot växande och utvecklande cyberhot". Han lyfter fram behovet av ett "hela samhällets synsätt och partnerskap med den privata sektorn i sitt hjärta", "ingen regering kan hantera dessa hot ensam." med hänvisning till Storbritanniens nationella cyberstrategi 2022 där den här typen av samarbete kan ses inom områden som utbildning, uppbyggnad av motståndskraft, testning och incidenthantering.
Men vilka risker står regeringar inför?
Regeringar har en unik egenskap: de lagrar alla uppgifter om deras verksamhet såväl som deras medborgares uppgifter. Därför är de ett mycket önskvärt mål. Detta gemensamma hot mot stater föranleds på FN-nivå att komma överens om "off limits" områden där cyberoperationer inte bör bedrivas, såsom sjukvårdssystem. Verkligheten har avvikit från detta, med en pågående cybertävling mellan stormakterna och [icke-bindande] överenskommelser kl. UN nivå vara ignoreras.
Dessa tävlingar spela i "gråzonen" där stater kan engagera varandra under förutsättningen av rimlig förnekelse och ett konstant katt-och-råtta-spel inom området för cyberspionage, inklusive stjäla av information och attacker mot kritisk infrastruktur, vilket ibland orsakar störningar i den verkliga världen. hela länder. Senaste fall som användningen av Pegasus spionprogram illustrerar att avlyssning lever och mår bra även bland vänliga stater. Som Garth säger, "snooping har funnits länge... som många underrättelseutövare sannolikt håller med om, kan det ge användbar intelligens med blygsam risk så länge du inte åker fast."
Likaså riktad ransomware-attacker är ett växande problem – inte bara för att få den största utbetalningen, utan för att maximera värdet av stulna data om väletablerade brottslingar marknadsplats plattformar
Attacker mot försörjningskedjor kan äventyra inte bara statliga myndigheter eller en specifik institution, utan även kritiska sektorer av ett lands ekonomi. Den utbredda effekten av attacker som den mot Kaseya göra det svårare för regeringar att reagera, vilket skapar verkligt störande konsekvenser för både företag och medborgare. Men eftersom vissa stater nöjer sig med att riskera urskillningslösa störningar och skador, lanserar andra fokuserade attacker riktade mot specifika industriella enheter och system i syfte att slå ut delar av en nations kritiska infrastruktur.
Att få alla att arbeta tillsammans är den verkliga utmaningen
Regeringar har inte ett lätt jobb, att underhålla äldre system, ta itu med kompetensbrist, bygga cybermedvetenhet på arbetsplatsen, hantera en expanderande attackyta, integrera ny teknik och möta sofistikerade attacker. Beredskap tar tid och det finns behov av att anta en noll tillit, att förstå att attacker kommer att hända och måste mildras där de inte kan undvikas.
Detta är svårt att tillämpa den typiskt flerskiktiga infrastrukturen hos statliga kontor. Trots deras storlek är det ofta lättare att skydda centraliserade myndigheters system, men att hantera det enorma antalet lokala och decentraliserade kontor gör detta till ett nästan omöjligt uppdrag. Trots gradvis ökande finansiering finns det för få cybersäkerhetsexperter, vilket gör det mycket svårare att försvara sig mot de framväxande hoten.
Medborgarna blir allt mer medvetna om cyberhot, ofta på grund av hög profil och frekventa rapporter i media; För att hålla rampljuset på problemet är finansiering av program för medvetenhet – särskilt de som är inriktade på de mindre tekniskt kunniga och sårbara – avgörande för framgång. Trots det fortsätter människor som gör misstag att vara den viktigaste ingången för cyberkriminella, varför det nu är viktigt att dra nytta av utvecklingen inom maskininlärning och artificiell intelligens, vanligtvis utplacerad i produkter och tjänster som EDR och hotintelligens i realtid.
Ett vanligt problem kräver gemensamma åtgärder
Synergier mellan den offentliga och privata sektorn kommer som en välbehövlig reaktion på det växande hotet från cyberattacker. Ukrainakrisen och tidigare arbete som gjorts för att skydda ukrainsk kritisk infrastruktur är ett viktigt exempel på vad som kan vara uppnås.
Parallellt föreslår Garth att involvera organisationer som FN, OECD och grupper som G7, G20 dynamiskt, så att "det internationella samfundet kastar strålkastarljuset på statlig cyberaktivitet, ropar ut och vidtar åtgärder där det är nödvändigt mot de som ignorerar etablerade normer och spricker. ned på kriminella grupper och deras förmåga att tjäna pengar på sina kriminella strävanden … men arbetar också tillsammans för att förbättra cyberresiliens över hela världen, inklusive i utvecklingsländer”.
