Основные угрозы для бизнеса остаются прежними — теми, которые мы наблюдали в течение последнего десятилетия, и если ваш бизнес не готов ко встрече с ними, то вы можете столкнуться с юридическим риском.
В конце октября 2021 года Агентство Европейского Союза по кибербезопасности (ENISA) опубликовало отчет о ландшафте угроз. Теперь, в своем девятом издании, этот отчет следует считать основным исходным материалом для ИТ-специалистов, которые серьезно относятся к борьбе с киберугрозами и снижению киберрисков.
Это верно независимо от того, имеете ли вы опыт технических или корпоративных рисков. Это тема, которой легко можно посвятить целую книгу, но давайте вместо этого сосредоточимся на трех вопросах, поднятых в отчете. Не стоит их игнорировать на свой страх и риск.
Угрозы, связанные с электронной почтой (обманывающие людей)
В отчете проводится различие между угрозами, связанными с электронной почтой, которые используют слабости человеческой психики и наших повседневных привычек, и техническими уязвимостями в информационных системах. Справедливо сказать, что в 2021 году знакомство с программами повышения осведомленности и обучения возросло, поскольку сомнительные методы обучения фишингу попали в заголовки газет по обе стороны Атлантики.
В Великобритании компания West Midlands Trains столкнулась с серьезной негативной реакцией общественности из-за того, что заманила своих сотрудников в ловушку электронным письмом, содержащим приманку, которая обещала бонус сотрудникам за их лояльность и приверженность во время COVID-19 . Измените местонахождение на США, а бизнес, связанный с издательством Tribune Publishing Company , и вы сможете легко угадать заголовок в New York Times .
Однако на этом разрушительные заголовки не заканчиваются. Из других новостей, связанных с образованием и обучением, ProofPoint наконец согласилась передать Facebook ряд спорных веб-доменов . Учебная платформа ProofPoints по борьбе с фишингом ThreatSim использовала facbook-login.com, facbook-login.net, а также другие похожие домены, связанные с Instagram. Решение о переносе доменов обратно в Facebook было разумным, учитывая все признаки нарушения прав на товарные знаки, но возникает вопрос: если учебный курс не может использовать двойников из-за нарушения прав на товарный знак, то какой цели служат такие курсы?
Ответ на этот вопрос вполне может содержаться в выводах, которыми поделились профессора Анджела Сассе и Мелани Фолькаммер. Их работа может сэкономить фирмам значительные ресурсы, как время, так и деньги. Они пришли к выводу, что, хотя обучение фишингу имело ограниченную эффективность, преимущества испарились в течение нескольких дней.
Это особенно интересно в свете того факта, что это понимание отражено в последнем отчете ENISA:
«Несмотря на многочисленные информационные и образовательные кампании против этих типов атак, угроза сохраняется в значительной степени».
Другими словами, обучение фишингу не приносит материальной выгоды бизнесу, поскольку обеспечивает долгосрочные защитные меры.
Главные угрозы: изменились только названия
Второй вопрос, который бросился мне в глаза при чтении отчета, заключался в том, что хотя названия киберугроз менялись с годами, основные проблемы оставались прежними.
Чтобы проверить это предположение, я просмотрел отчеты за 2012 год. В отчете за 2020 год ENISA определила девять основных угроз, две из которых — программы- вымогатели и вредоносное ПО. С 2019 по 2015 год программы-вымогатели и вредоносное ПО снова считались основными угрозами. Так что никаких изменений не произошло.
В 2014 году двумя основными угрозами были программы-вымогатели и вредоносный код. Если читать глубже, то под вредоносным кодом подразумевались трояны и черви, или то, что мы сегодня называем вредоносным ПО. 2013? Отличия были, но опять же незначительные. ENISA предупредила о программах-вымогателях и включила термины «мошенническое ПО», «ложное ПО» и «вредоносный код: черви и трояны».
В предыдущем, 2012 году слово «программа-вымогатель» еще не входило в лексикон киберугроз; его просто называли мошенническим или пугающим ПО. Вредоносное ПО было просто червями и троянами.
Проще говоря, история с 2012 года остается прежней. Только названия изменились.
Это должно успокоить компании: несмотря на широко распространенные сообщения о новых угрозах или атаках нулевого дня, основные угрозы для бизнеса остаются теми же, что и большую часть последнего десятилетия.
Более того, и это, пожалуй, самое главное, ключевые тенденции, выявленные в отчете, определяют компрометацию через фишинговые электронные письма и взлом протоколов удаленного рабочего стола (RDP) как два наиболее распространенных вектора заражения программами-вымогателями.
Это не должно быть шоком. Профессор государственного управления Оксфордского университета Киаран Мартин, бывший исполнительный директор-основатель Национального центра кибербезопасности Великобритании и его первый генеральный директор, часто цитируется:
«проблемы, с которыми мы сталкиваемся, носят хронический, а не катастрофический характер».
Уроки для изучения
Так почему же важно установить, что угрозы не новы, а остаются прежними? Есть как минимум две причины. Во-первых, директора обязаны проявлять разумную осмотрительность, умение и усердие.
Это юридическое обязательство можно найти в Законе о компаниях как в Великобритании, так и в Ирландии, а также во всем мире общего права, содержащемся во внутреннем законодательстве Канады, Австралии и Новой Зеландии. Это обязательство существует в США, но еще не кодифицировано.
В странах с гражданским законодательством действуют аналогичные требования. Немцы переняли эту обязанность проявлять осторожность в AKTG, своде законов, регулирующих деятельность компаний, зарегистрированных на фондовой бирже. В нем говорится: «При управлении делами компании члены правления должны проявлять должную осмотрительность благоразумного управляющего, добросовестно выполняющего свои обязанности».
Вопрос, который должны задать компании, их совет директоров, акционеры и другие заинтересованные стороны: выполняют ли директора свои обязательства перед компанией, если они не устраняют наиболее серьезные известные угрозы для своего бизнеса?
Угрозы, о которых, давайте проясним, бизнес год за годом предупреждают доверенные независимые эксперты. Угрозы, которые более чем разумно идентифицируемы; эти угрозы *легко* идентифицировать.
Это подводит меня ко второй причине, почему важно установить, что угрозы не новы, а остаются неизменными из года в год. В случае кибератаки, когда бизнес-операции нарушены, репутация компании пострадала из-за утечек или цена акций пострадала от новостей, надежная защита, доступная для фирм и их директоров, заключается в том, что угроза не может быть идентифицирована разумно.
Суды не ожидают, что директора будут заглядывать за угол, но они ожидают, что они будут читать написанное «на стене». Это становится тем более актуальным, когда об этом пишут с 2012 года. Итак, когда угроза обоснованно идентифицируема, следующий вопрос, который должны задать фирмы, заключается в том, можно ли избежать этой угрозы, возможно, путем передачи или управления риском?
До недавнего времени киберстрахование обеспечивало своего рода подстраховку. Однако страховой сектор оправляется от убытков и реагирует на взрыв атак программ-вымогателей, требуя от клиентов соблюдения минимальных стандартов кибербезопасности для устранения известных киберугроз. Этот шаг — то, как страховые компании исторически управляли другими рисками.
По сути, чтобы ограничить убытки, страховые компании требуют от застрахованных клиентов предпринимать разумные шаги, чтобы защитить себя и обеспечить цифровую устойчивость. Полезно то, что они специально призывают к определенным мерам. В дальнейшем страхователям потребуется внедрить стандарты, включающие такие меры, как многофакторная аутентификация (MFA) , шифрование , DMARC и защита конечных точек.
Страховые компании, работающие в сфере киберстрахования, теперь отказываются от компаний, чья кибербезопасность настолько слаба, что имеет все признаки легкой мишени. Итак, если вы не можете передать риск страховой компании, как еще вы можете бороться с этими известными угрозами? Один из ответов — убедиться, что у вас есть разумные ответы на те же вопросы, которые будут задавать суды:
Хорошо ли известна и понятна ли угроза?
Известно ли и понятно ли решение?
Является ли он разумным, пропорциональным и доступным (это будет зависеть от типа бизнеса, которым вы управляете)?
Наконец, стал бы разумный директор реализовывать это?
Если вы ответите «да» на все вопросы и не предпримете никаких действий, это означает, что ваш бизнес ограничил доступные ему средства защиты. Не только перед лицом кибератаки, но и после нее, которая может включать проблемы с соблюдением требований, нормативные штрафы и групповые иски.
В конце концов, проще говоря, если угрозу можно разумно предвидеть и избежать, управление ею ложится на менеджеров фирмы. Это плавно подводит нас к третьему вопросу: что может сделать бизнес?
Конкретные действия по смягчению последствий
Этот третий и последний вопрос касается угроз, связанных с электронной почтой, и утверждения ENISA о том, что связанное с этим обучение не оказало существенного влияния.
Тем не менее, содержащиеся в рекомендациях в разделе 6.2 на странице 58, авторы также написали: «Обеспечивать регулярное обучение пользователей тому, как выявлять подозрительные ссылки и вложения и как сообщать о них». Это кажется необычным, если сделать вывод о том, что, несмотря на обучение, угроза сохраняется в значительной степени.
Утешительно, однако, что рекомендации включают в себя решения, которые, как известно, работают, в том числе рекомендацию установить «элементы управления безопасностью на шлюзе электронной почты, чтобы уменьшить частоту или вероятность попадания приманок в почтовые ящики ваших сотрудников» и внедрить стандарты по сокращению количества спама, особенно DMARC. Обнадеживает, поскольку в 2022 году протоколу DMARC исполнится десять лет!
Перевод статьи «How cyber security history repeats itself»