Toiminnan alasajo on viimeinen asia, mitä mikään yritys haluaa, mutta se on erittäin todellinen riski kiristysohjelmahyökkäyksen aikana. Yhdysvaltalainen maksuyhdyskäytävän tarjoaja BridgePay oppi tämän kantapään kautta.
Kate O'Flaherty
Helmikuussa yhdysvaltalainen maksuyhdyskäytävän tarjoaja BridgePay kiristysohjelmahyökkäyksen kohteeksi joutunut joka katkaisi keskeiset järjestelmät ja aiheutti laajan sähkökatkon.
Tapahtumalla oli aaltoileva vaikutus, joka häiritsi monien BridgePayn asiakkaiden toimintaa viikkojen ajan. Ravintolat ja vähittäiskauppiaat pakotettiin kertoa asiakkaille, etteivät he enää voi hyväksyä korttimaksuja, samalla kun Palm Bayn kaupungin, Floridan, verkkolaskutusportaali potkaistiin pois käytöstä.
The BridgePay Katkos oli opetus resilienssin tärkeydestä, erityisesti kriittiset sektorit, kuten rahoitus”Hyökkäys oli toiminnan pysäyttäminen”, sanoo Oliver Newbury, Halcyonin strategiajohtaja. ”Se kertoo, että joko selviytymiskykyä ei ollut suunniteltu tätä tilannetta varten tai sitä ei ollut harjoitettu asianmukaisesti.”
Oppikirjan kiristysohjelmat
Se tapahtuu aikana, jolloin kiristyshaittaohjelmien sietokyky on asialistalla, ja Ison-Britannian maksukielto varten kriittistä kansallista infrastruktuuria ja julkisen sektorin organisaatiot horisontissa. Verizonin tietomurtojen tutkinta Raportin mukaan yritykset havaitsivat kiristysohjelmia 44 prosentissa kaikista kyberhyökkäyksistä.
Samaan aikaan 19 prosenttia vastaajista IO'S Tietoturvan tila raportissa sanottiin, että he olivat kokeneet kiristysohjelmahyökkäyksen viimeisten 12 kuukauden aikana.
Vaikka merkittävä osa organisaatioista on kokenut hyökkäyksiä, joihin usein liittyy tietojen salausta ja kiristystä, kustannukset nousevat dramaattisesti, kun reagointi ja toipuminen tehdään suunnitellun sijaan tilapäisesti.
BridgePayn tapauksessa itse tapaus oli ”tekstilaatikkohyökkäys”, sanoo Harry Mason, IT-palveluita tarjoavan Mason Infotechin asiakaspalvelupäällikkö. ”Käyttäjän identiteetti vaarantui, hyökkääjä katkaisi palvelut käytöstä ja vaati lunnaita tietojen palauttamiseksi. Tämän seurauksena alusta oli poissa käytöstä kolme viikkoa ennen kuin se oli taas täysin toiminnassa.”
Vaikka asiakaskorttitiedot pysyivät turvassa, tapauksen kustannukset kasaantuivat nopeasti. ”Paljon aikaa ja rahaa käytettiin rikosteknisten, palautus- ja tietoturva-asiantuntijoiden palkkaamiseen, joita tarvittiin toiminnan palauttamiseksi”, Mason huomauttaa.
BridgePayhin kohdistuneen kaltaiset kiristyshaittaohjelmahyökkäykset onnistuvat ja aiheuttavat häiriöitä valvonnan puutteiden vuoksi, sanoo Rob O'Connor, Insightin EMEA-alueen tietoturvajohtaja. ”Näihin kuuluvat epäselvä vastuuvelvollisuus, testaamattomat palautumissuunnitelmat, heikko toimittajien riskienhallinta ja kyberturvallisuuden riittämätön tarkastelu.”
Järjestelmäriski
Monissa organisaatioissa kyberturvallisuuden, liiketoiminnan jatkuvuuden ja vaatimustenmukaisuuden toimintojen väliset aukot aiheuttavat systeemistä altistumista. Halcyonin Newburyn mukaan ongelma pahenee, kun nämä toiminnot sijaitsevat rinnakkain sen sijaan, että ne olisivat täysin integroituja.
Ongelmat ilmenevät usein "tiimien välisillä rajamailla", kertoo Stewart Parkin, Assured Data Protectionin globaali teknologiajohtaja. IO”Turvallisuus haluaa eristää ja suojata. Jatkuvuus haluaa palauttaa järjestelmät toimintaan nopeasti. Vaatimustenmukaisuus haluaa tarkkaa raportointia ja sääntelyviranomaisten ilmoituksia. Jos näitä keskusteluja ei ole käyty ennen tapahtumaa, ne törmäävät tapahtuman aikana.”
Newbury on samaa mieltä siitä, että yhteyskatkos tulee ilmeiseksi vasta kiristyshaittaohjelman iskeytyessä. ”Päätösoikeudet hämärtyvät, prioriteetit törmäävät ja eskalointireitit pysähtyvät. Seurauksena on, että seisokkiajat pitkittyvät, ei siksi, etteikö teknologiaa voitaisi palauttaa, vaan siksi, ettei organisaatio ollut valmistautunut reagoimaan.”
BridgePayn tapauksessa, jossa kiristysohjelmat kirjaimellisesti veivät yrityksen ja sen asiakkaat pois verkosta, näkyy, miksi maksujärjestelmien käyttökatkoksia pidetään nyt systeemiriskinä, jolla on sääntelyyn ja maineeseen liittyviä vaikutuksia.
BridgePay-tapauksella oli niin suuri vaikutus, koska "vain kourallinen keskeisiä toimijoita" tukee nyt "merkittävää osaa" maailmanlaajuisista digitaalisista maksuista, sanoo Luke Fardell, Tokio Marine Kilnin kybervakuutusten johtava kyberanalyytikko.
Tämä tarkoittaa, että yksittäinen häiriö ”voi levitä useille sektoreille ja toimialoille samanaikaisesti” ja mahdollisesti vaikuttaa vähittäiskauppiaisiin, yleishyödyllisiin palveluihin, julkisiin palveluihin sekä pieniin ja keskisuuriin yrityksiin (pk-yrityksiin), Fardell selittää.
Sääntelyviranomaisten pyrkiessä välttämään tämän tasoista häiriötä kriittisillä toimialoilla, lainsäädäntö määrää yhä useammin toimenpiteitä, jotka ylittävät pelkän hyökkäysten estämisen. ”Joku voi käyttää erinomaisia palomuureja ja silti joutua offline-tilaan”, huomauttaa Assured Data Protectionin Parkin. ”He haluavat nyt nähdä todisteita siitä, että järjestelmä voidaan palauttaa asianmukaisesti ja määritellyissä aikatauluissa.”
EU:n digitaalisen operatiivisen sietokyvyn asetus (DORA-sääntely on keskeinen esimerkki. Asetus edellyttää, että yritysten, kuten pankkien ja vakuutusyhtiöiden, on osoitettava pystyvänsä palautumaan normaaliin liiketoimintatilaan tietyssä aikataulussa.
”Keskeinen osa tätä on säännöllisten stressitestien tekeminen, jotka pitävät ne tietyissä ’toimintaan paluun’ ja ’palautumispisteen tavoitteessa’”, Mason Infotechin Mason selittää.
Strukturoitu, hallitukselle näkyvä kriisinsietokyvyn hallinta.
BridgePay-tapaus ja sen ketjureaktio osoittavat kiristyshaittaohjelmien aiheuttamien seisokkien todelliset kustannukset. Saman kohtalon välttämiseksi rahoitusinfrastruktuuriympäristöjen on nyt luotava jäsennelty ja hallitukselle näkyvä kriisinsietokyvyn hallinta.
Yksinkertaisesti sanottuna tämä edellyttää, että hallitus ymmärtää tarkalleen, mitkä palvelut ovat tärkeimpiä ja kuinka kauan heillä on varaa niiden kaatumiseen, Assured Data Protectionin Parkinin mukaan. ”Se tarkoittaa, että riippuvuudet kartoitetaan asianmukaisesti, palautumista testataan säännöllisesti ja toimittajien on noudatettava selkeitä vikasietoisuusstandardeja. Päätöksentekoa on harjoiteltava, ei improvisoitava.”
Optimaalisten tulosten saavuttamiseksi koulutus on ratkaisevan tärkeää ja sen on katettava ”koko liiketoiminnan laajuus”, sanoo Mason Infotechin Mason. Johtotason tulisi tietää, mitä heiltä odotetaan ja miten toimia sen mukaisesti, hän lisää ja lisää, että ”kaikkien on ymmärrettävä toimitusketjun riskit” ja ”kiinnitettävä erityistä huomiota ensimmäisen tason riippuvuuksiin ja vikasietosuunnitelmaan siltä varalta, että ne kaatuvat”.
Samaan aikaan puitteet, kuten ISO 27001 voi auttaa yrityksiä tunnistamaan, arvioimaan ja puuttumaan mahdollisiin uhkiin varmistaen arkaluonteisten tietojen vankan suojauksen ja kansainvälisten standardien noudattamisen.
Säännöllinen raportointi ja riskien arviointi on avainasemassa sen varmistamisessa, että yritys on valmis palaamaan verkkoon, jos se "joutuu huomenna kiristysohjelmahyökkäyksen kohteeksi". "Tämä näyttää siltä, että laittaisimme RTO ja RPO aikataulujen laatiminen ja niiden säännöllinen testaaminen sen varmistamiseksi, että ne ovat saavutettavissa. Hyökkäyksen sattuessa on oltava myös käytössä järjestelmä tapahtumien raportointia varten.”
BridgePay-tapauksesta voi oppia useita asioita, mutta pohjimmiltaan se muistuttaa siitä, että kiristyshaittaohjelmat eivät enää koske vain salattuja tiedostoja, sanoo Halcyonin Newbury. ”Maksuympäristöissä se on suora testi siitä, ovatko hallinta ja palautuminen riittävän vahvoja pitämään yrityksen pystyssä, kun ennaltaehkäisy epäonnistuu.”
Laajenna tietosi
Blogi: Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä finanssialalla
Podcast: Tietojenkalastelu ongelmatilanteissa, jakso #09 – Mitä ei kannata tehdä katastrofin aikana
Blogi: Maksaa lunnaat vai ei? Hallituksen näkökulmat kyberrikollisuuden torjuntaan maksamalla
