Фото: Free-Photos / Pixabay
С начала войны Украина стала целью многочисленных кибератак, охвативших государственные учреждения, частные организации и граждан. Те предприятия, которые являются частью критической инфраструктуры, в частности энергетические, телекоммуникационные, медиа и финансовые компании, также должны находиться в режиме повышенной готовности, поскольку именно эти отрасли часто считаются приоритетными целями в период войны. Бизнес должен быть готов противодействовать этим вызовам – компании должны оценить свою готовность к киберинцидентам и способность возобновить деятельность. Вместе с глобальными экспертами KPMG мы подготовили рекомендации, способные оценить уровень готовности кибербезопасности компании.
Для начала необходимо провести обзор имеющихся планов реагирования, чтобы лучше понять риски текущих сценариев угроз, которые с большой вероятностью могут произойти, учитывая такие факторы как профиль компании, ее географию и т.д.
Что можно сделать:
— Просмотреть ландшафт потенциальных угроз для вашего бизнеса, наладить связь с организациями, которые предоставляют информацию об угрозах кибербезопасности (Threat Intelligence), чтобы лучше понять бизнес риски и меры, которые необходимо принять;
— Учесть возможность приостановки деятельности в регионах, где уже происходят боевые действия или велика вероятность того, что это может произойти в ближайшее время, и то, как минимизировать эти риски для бизнеса. Например, что делать при недоступности важных функций, частично или полностью ИТ-инфраструктуры, телефонной связи и т.п.;
— При необходимости обеспечить эвакуацию или переезд работников и их семей, офиса, систем; перевести компанию в гибридный/удаленный формат работы (если это не было сделано во время пандемии), обеспечить работу кризисного штаба для обеспечения безопасности людей и непрерывности/восстановления работы компании;
— Просмотреть планы реагирования на инциденты и планы непрерывности, задать себе следующие вопросы: Как часто проводится тестирование планов? Сработают ли тестовые сценарии при текущих угрозах? Обновить планы реагирования на инциденты безопасности и создать конкретные планы реагирования в соответствии с основными сценариями;
— Убедиться, что договоры с поставщиками услуг по реагированию и сдерживанию атак актуальны;
— Просмотреть все нормативные требования относительно необходимости отчета об инцидентах кибербезопасности;
— Рассмотреть возможность проактивного налаживания связей с правоохранительными и государственными органами, которые должны быть привлечены при масштабном инциденте кибербезопасности;
— Подумать о проведении симуляций реагирования на кибератаки, если упражнения не выполнялись в течение последних шести месяцев.
Киберзащита
Есть смысл пересмотреть ключевые наборы контролей кибербезопасности, которые могут помочь снизить вероятность успешности атак, в том числе тех, которые помогают защититься от угроз от государства-агрессора или организованных группировок, активизировавших свою деятельность во время войны.
Что можно сделать:
— Установить приоритет задачам установления исправлений (патчей) всех критических уязвимостей в системах – особенно для тех, которые сейчас активно используются злоумышленниками. Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) ведет базу данных таких уязвимостей, а некоторые центры кибербезопасности дают советы относительно того, на какие из них следует обратить первостепенное внимание;
— Просмотреть контроли доступа к ключевым системам, сосредотачивая внимание на многофакторной аутентификации, удалении неиспользуемых учетных записей или срок действия которых истек, а также необходимости изоляции систем, имеющих высокий риск;
— Убедиться, что защита от вредоносного ПО установлена, лицензии актуальны и программы регулярно обновляются;
- Выполнить внешнее сканирование уязвимостей для систем, имеющих доступ к интернету, и устранить наиболее важные недостатки;
— Убедиться, что для критических систем настроены процессы резервного копирования и регулярно создаются офлайн-копии важных бизнес-данных.
Мониторинг кибербезопасности
Помимо превентивной защиты эффективный мониторинг безопасности также важен с учетом своевременного выявления и реагирования на вторжение. Среднее время между начальной компрометацией и запуском деструктивного вредоносного ПО теперь измеряется днями, а не неделями или месяцами, как было раньше.
Что можно сделать:
— Понять текущие возможности мониторинга кибербезопасности в сетевой инфраструктуре организации, чтобы убедиться в существовании возможностей по выявлению и предотвращению инцидентов кибербезопасности и охвату ими бизнес услуг, систем и данных;
— Если у компании есть команда по охоте на угрозы, поручить им поиск индикаторов компрометации (IOC), основанных на тактиках, техниках и процедурах (TTP's), связанных с группами, ассоциируемыми с государством-агрессором или его партнерами, или организованными преступными группами, вовлеченными в войну на киберфронте;
— Подумать о привлечении внешних вендоров, предоставляющих услуги управляемого обнаружения и реагирования, с целью расширения ваших возможностей и получения квалифицированной поддержки в случае необходимости.
Люди
Предприятиям следует планировать возможную остановку своей деятельности в регионах боевых действий и в некоторых случаях организовывать временную кадровую поддержку для обеспечения функционирования своих критических сервисов, пока их сотрудники не смогут вернуться в офис или страну. Кроме поддержки сотрудников и их семей, организации должны знать о рисках организованных преступных групп. Эти группы пытаются воспользоваться кризисом в свою пользу, создавая поддельные вебсайты, которые предлагают помощь или полезную информацию, или принимают пожертвования. Есть большая вероятность фишинговых кампаний, ориентированных на тематику войны в Украине и направленных на высокопоставленных лиц, открыто выражающих свою позицию по отношению к войне.
Что можно сделать:
— Убедиться, что сотрудники имеют доступ к надежным и проверенным источникам информации о текущей ситуации и осведомлены о рисках фишинга и мошеннических веб-сайтов по тематике войны в Украине;
- Давать советы по кибербезопасности для сотрудников, находящихся в местах потенциального риска или работающих на высоких позициях;
— Оказывать психологическую поддержку сотрудникам и их семьям, включая проведение тренингов или семинаров по действиям в непредвиденных или кризисных ситуациях;
Риски партнеров, вендоров и цепей поставок
В начале пандемии COVID-19, когда предприятия останавливали свою работу, а сотрудников отправили домой, организации быстро поняли, насколько зависимы они стали от сложной экосистемы третьих сторон, предоставляющих критические системы, услуги и данные. Военное положение в Украине снова подчеркивает важность понимания безопасности и устойчивости всех партнеров по важным направлениям цепей поставок.
Что можно сделать
— Идентифицировать зависимости от вендоров и партнеров и создать резервный план, если вдруг при определенных условиях они будут исключены из цепей снабжения;
— Для критических поставщиков (по меньшей мере) настроить усиленный мониторинг входящего сетевого трафика, поскольку киберпреступность может стать более изощренной и сложной из-за многочисленных хакерских групп, у которых развязаны руки в текущей ситуации;
— Для критических поставщиков (по меньшей мере) проверить наличие и актуальность планов реагирования на инциденты и планы обеспечения устойчивости;
— Понять влияние на вашу организацию потенциальных инцидентов в ваших цепях поставок, чтобы определить, где именно сосредоточить усиленный мониторинг и повысить готовность к реагированию.
Миграция в облако
Военное положение в Украине вызывает беспокойство компаний также из-за новых вызовов в обеспечении бесперебойной работы критических сервисов и систем, которые могут быть повреждены или выведены из строя в результате боевых действий. Перенос ИТ-инфраструктуры в облако или создание сайтов аварийного обновления в глобальных облачных ЦОД позволит гарантировать необходимый уровень доступности.
Что можно сделать:
- Проанализировать существующую ИТ-архитектуру на предмет возможности и целесообразности миграции в облако, учитывая технические (возможность/сложность переноса в облако), финансовые, регуляторные и вопросы безопасности;
— Выбрать провайдера облачных сервисов, учитывая имеющиеся компетенции ИТ-специалистов;
- Определить очередность и критичность переноса тех или иных элементов ИТ-архитектуры в облако;
— Рассмотреть и выбрать имеющиеся на рынке облачные сервисы, в частности, для обеспечения удаленной работы (проведение видеозвонков, офисное программное обеспечение и т.п.);
- Организовать сохранение резервных копий информации в облаке;
— Организовать сайты аварийного обновления в публичном облаке в Европе или США.
Текущая ситуация остается непредсказуемой – компаниям и организациям важно постоянно анализировать, как ситуация может развиваться дальше и какие сценарии могут возникнуть. Для каждого сценария у компании должен быть анализ, каким образом тот или иной сценарий повлияет на организацию с учетом человеческого фактора, бизнес, цепи поставок и технологии. При этом некоторые рассмотренные рекомендации можно внедрить уже сейчас, чтобы подготовиться к таким случаям, повысить устойчивость, снизить влияние и сократить продолжительность инцидентов, если они произойдут.
Редакция не несет ответственности за содержание материала и может не разделять мнение его автора