Мир за неделю: хакеры идут по цепочкам, страховые компании сокращают премии, а «умные города» должны стать безопаснее

США, Великобритания, Австралия, Канада и Новая Зеландия выпустили совместные рекомендации по кибербезопасности для умных городов

Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Агентство национальной безопасности, Федеральное бюро расследований, Национальный центр кибербезопасности Соединенного Королевства, Австралийский центр кибербезопасности, Канадский центр кибербезопасности и Новозеландский национальный центр кибербезопасности выпустили совместное руководство «Лучшие практики кибербезопасности для умных городов».

«Интеграция государственных услуг в цифровую среду может повысить эффективность и устойчивость инфраструктуры, поддерживающей повседневную жизнь в сообществах. Однако сообщества, рассматривающие возможность превращения в «умные города», должны тщательно оценить и снизить риск кибербезопасности, связанный с этой интеграцией. Это руководство призвано помочь сообществам сориентироваться в сложной и важной работе», — говорится в 13-страничном руководстве.

В рекомендациях представлен обзор рисков для «умных городов», которые включают расширенные и взаимосвязанные поверхности кибератак, риски цепочки поставок информационных и коммуникационных технологий и повышение степени автоматизации инфраструктурных операций. Чтобы защититься от рисков, регуляторы дают рекомендации, которые помогут укрепить кибербезопасность «умных городов»: безопасное планирование и проектирование, упреждающее управление рисками цепочки поставок и операционная устойчивость.

Стратегии безопасного планирования и проектирования предлагают принудительную многофакторную аутентификацию, внедрение архитектуры с принципом нулевого доверия, защиту служб, подключенных к Интернету, и своевременное обновление систем и приложений.

Рекомендации по упреждающему управлению рисками цепочки поставок включают установление четких требований к программному и аппаратному обеспечению, цепочкам поставок Интернета вещей (IoT), а также тщательный анализ соглашений со сторонними провайдерами, прежде всего с сервис-провайдерами и поставщиками облачных услуг.

Стратегии операционной устойчивости, такие как обучение персонала и планы реагирования на инциденты и восстановления, в случае компрометации систем «умного города» помогут подготовить организации к изоляции затронутых систем и эксплуатации инфраструктуры с минимальными нарушениями.

«Сегодняшнее совместное руководство является примером тесного сотрудничества CISA с нашими партнерами в США и по всему миру для предоставления своевременных и полезных рекомендаций по управлению киберрисками», — сказала директор CISA Джен Истерли. — «Изложенные передовые методы кибербезопасности призваны помочь развивающимся подключенным сообществам лучше защитить свою инфраструктуру и конфиденциальные данные».

Представителя США поддержали ее канадские, британские, австралийские и новозеландские коллеги. Они подчеркнули важность технологической интеграции с кибербезопасностью, чтобы сделать повседневную жизнь безопасной и устойчивой для граждан.

«Технологии умного города открывают возможности для инновационных и устойчивых сообществ, но они также расширяют возможности для атак и риски для критически важной инфраструктуры», — отметила Эбигейл Брэдшоу, глава Австралийского центра кибербезопасности. — «Это руководство поможет развитым сообществам безопасно интегрировать новые технологии в существующую инфраструктуру, обеспечивая устойчивость и защиту данных, систем и взаимосвязанной инфраструктуры, которые нужны для повседневной жизни и бизнеса».

Покрытие убытков от последствий ряда крупных кибератак исключают из стандартных страховых полисов

Банк Америки выразил озабоченность тем, что Lloyd's of London исключил покрытие убытков от крупных кибератак, совершенных хакерами при поддержке иностранного государства, из стандартных страховых полисов. Стороны отказались от комментариев.

Страховой рынок стремится защитить себя от системного риска, пишет Financial Times. Среди крупных корпораций растет тревога по поводу угроз со стороны спонсируемых рядом государств кибергрупп, в т. ч. из-за отказов страховщиков покрывать убытки от последствий таких кибератак.

Торговая площадка с многовековой историей Lloyd's, на которой работают сотни страховых компаний и брокеров, играет ведущую роль в киберстраховании и получает примерно пятую часть мировых премий. Однако новое требование Lloyd's, что стандартные полисы при киберстраховании должны исключить выплаты за последствия кибератак, совершенных хакерами при поддержке иностранного государства и наносящих значительный ущерб инфраструктуре организации, столкнулось с негативной реакцией компаний. Решение вызвало опасения финансовых и медицинских групп, а также поставщиков инфраструктуры, что любая крупная атака против них может попасть под исключения и страховое возмещение не будет выплачено. Ранее страховщики уже утверждали, что атака Not Petya в 2017 года, которую разведка США приписывает России, была сродни «военному акту» и поэтому не должна покрываться.

Старший вице-президент по операционным рискам и кибербезопасности Американской ассоциации банкиров Пол Бенда отмечает, что любые изменения в киберзащите вызывают беспокойство у банков, которые и без того попали под «самые строгие нормативные требования».

«Банковская индустрия США очень серьезно относится к кибербезопасности, — сказал Бенда. — «Многоуровневый подход к управлению операционными рисками и страхование киберрисков являются одним из таких уровней. Любые изменения в этих средствах защиты вызывают беспокойство».

В свою очередь Lloyd's заявляет, что требует не «полного исключения, а разделения рисков в быстро развивающейся области страхования». При этом отмечается, что разрабатываются дополнительные политики, которые могли бы покрыть атаки, поддерживаемые государством.

Критики такого подхода считают, что до создания отдельного рынка страхования от последствий кибератак, поддерживаемых государством, еще далеко. Покупателей коммерческих страховок уже сегодня раздражает мысль о том, что им придется платить за дополнительное покрытие с учетом роста цен на стандартные полисы.

Столкновение сторон отражает общую озабоченность по поводу рисков системных кибератак. В декабре представитель Zurich Insurance Group предупредил, что кибератаки могут оказаться «незастрахованными» по мере того, как растут последствия их разрушительного воздействия на жизнь общества.

Атака на цепочку поставок привела к атаке на цепочку поставок

Северокорейские хакеры, в марте атаковавшие компанию 3CX, поставщика ПО и корпоративных услуг связи, продемонстрировали не только передовые хакерские возможности Пхеньяна. Они получили потенциальную точку опоры для доступа к клиентам компании - огромному количеству транснациональных фирм — от гостиничных сетей до поставщиков медицинских услуг, которые используют программное обеспечение 3CX для голосовых и видеозвонков. Об этом говорится в расследовании, на которое ссылается CNN и которое подтверждается экспертами компании Mandiant Consulting.

Расследование выявило безудержные попытки северокорейских хакеров украсть криптовалюту, чтобы помочь финансировать оружейные программы Северной Кореи.

В случае с 3CX, что хакеры проникли в среду производства ПО компании, сначала скомпрометировав программное обеспечение, созданное другой фирмой — платформой для торговли деривативами Trading Technologies. По данным Mandiant, сотрудник 3CX загрузил зараженное ПО Trading Technologies.

«Это первый случай, когда мы нашли конкретные доказательства атаки на цепочку поставок, ведущей к другой атаке на цепочку поставок», — заявил Чарльз Кармакал, технический директор Mandiant Consulting.

Однако, пока последствия взлома неясны. Любой из клиентов 3CX, загрузивший взломанное ПО, подвержен компрометации. Но, по данным компании по кибербезопасности CrowdStrike, северокорейские хакеры, вероятно, выбрали меньшее число жертв для последующей атаки.

По данным компании «Лаборатории Касперского», хакеры использовали доступ 3CX для атак на криптовалютные компании в конце марта. Они пытались внедрить вредоносный код на нескольких компьютерах, но их усилия были заблокированы, сообщил CNN представитель «ЛК» Георгий Кучерин.

30 марта Ник Галеа, генеральный директор 3CX, преуменьшил масштабы инцидента, полагая, что хакеры скомпрометировали лишь некоторых клиентов компании. Однако уже 20 апреля он сказал, что не знает, точного числа пострадавших. 3CX проинструктировала клиентов как обновить и проверить программное обеспечение.

Trading Technologies пока не смогла подтвердить или опровергнуть выводы Mandiant. Компании только недавно стало известно о проблеме.

Официальные лица США присоединяются к расследованию, чтобы определить, сколько американских организаций может быть затронуто в результате атаки на цепочку поставок.