NIS2:n lähestyessä kuinka organisaatiot voivat lieventää henkeä uhkaavia kyberhyökkäyksiä?
Sisällysluettelo:
NIS2 saatetaan osaksi lainsäädäntöä kaikissa EU:n jäsenvaltioissa kolmen kuukauden kuluessa. Se velvoittaa tehostamaan perusturvallisuutta, hätätilanteiden reagointia, toimitusketjun turvallisuutta ja paljon muuta, jotta keskeisten palvelujen operaattoreista tulee entistä kybersietokykyisempiä. Jos organisaatiot epäilivät, miksi tällaiset määräykset ovat välttämättömiä, älä etsi pidemmälle kuin NHS:n viimeisintä kiristysohjelmakatastrofia.
Onneksi alan parhaat käytännöt voivat auttaa sekä virtaviivaistamaan NIS 2 -yhteensopivuutta että vähentämään hengenvaarallisen kybertapahtuman mahdollisuuksia.
Terveydenhuolto tulessa
Lopulta NHS-potilaisiin katastrofaalisesti vaikuttanut ransomware-hyökkäys kohdistui vähän tunnettuun patologiapalvelujen terveydenhuollon toimittajaan ja tätä kirjoitettaessa se oli aiheuttanut yli 800 suunniteltua leikkausta ja 700 avohoidon vastaanottoa. uudelleen, mukaan lukien jotkin mahdollisesti hengenpelastustoimenpiteet. Nämä luvut liittyvät kahteen eniten kärsineeseen NHS Trustiin – King's College Hospitalin NHS Foundation Trustiin ja Guy'sin ja St Thomasin NHS Foundation Trustiin – ja vain 3.–9. kesäkuuta, joten todellinen häiriö on todennäköisesti vielä suurempi.
Peruutusten lisäksi NHS oli pakko valittaa verenluovuttajille ja vapaaehtoisille tapahtuman jälkeen. Vaikka kyseinen toimittaja Synnovis aikoo palauttaa osan IT-toiminnallisuuksista "tulevien viikkojen aikana", se varoitti, että "täydellinen tekninen palauttaminen" kestää kauemmin ja häiriöt ovat todennäköisesti "kuukausia".
Ransomware-toimijat kohdistavat terveydenhuoltoon yhä useammin, ja joka kerta kun he tekevät niin, palveluhäiriöillä voi olla mahdollisesti hengenvaarallisia vaikutuksia potilaisiin. Alabamassa vuonna 2021, yhdeksän kuukauden ikäisen lapsen äiti nosti kanteen sairaalaa vastaan, jossa hänen tyttärensä syntyi, väittäen, että se ei paljastanut, että se oli tuolloin joutunut kiristysohjelmahyökkäykseen. Koska kyberhyökkäys häiritsi kriittisten toimintateknologian (OT) laitteita, lääkärit eivät äidin mukaan pystyneet tarkkailemaan lapsen tilaa kunnolla. Valitettavasti hän sai vakavia aivovammoja ja menehtyi yhdeksän kuukautta myöhemmin.
25 % kuolemantapausten mahdollisuus
Terveydenhuolto on tietysti vain yksi monista kriittisen kansallisen infrastruktuurin (CNI) aloista, joilla kyberhyökkäyksillä voi olla kohtalokkaita seurauksia. Hallituksen National Risk Register 2023 -raportti arvioi, että vakavan CNI:n kyberhyökkäyksen todennäköisyys on 5–25 % kahden seuraavan vuoden aikana. Se väittää että tämä voi johtaa jopa 1000 ihmisen kuolemaan ja jopa 2000 kuolemaan.
Monissa tällaisissa organisaatioissa OT- ja IoT-tekniikan käyttö voi altistaa ne hyökkäyksille, joilla on vaarallisia kineettisiä vaikutuksia. Tämä näkyy vedenkäsittelyteollisuudessa, jossa a Vuoden 2016 hyökkäys johti uhkatoimijoissa, jotka muuttivat juomaveden kemikaalien tasoa neljä kertaa ennen hyökkäyksen ilmoittamista.
Anton Shipulinin, OT:n tietoturvaasiantuntijan kyberturvallisuusevankelistan mukaan Nozomi Networks, kohdistettujen henkeä uhkaavien kyberhyökkäysten tekeminen on haastavaa, mutta mahdollista.
"Se vaatii uhkatoimijalta useita ehtoja, mukaan lukien prosessitietoa, aikaa, rahaa, henkilöstöä ja haavoittuvan kohteen", hän kertoo ISMS.onlinelle.
"Kuitenkin kun elämän kannalta kriittiset tai vaaralliset prosessit ovat voimakkaasti riippuvaisia digitaaliteknologiasta, jopa kohdentamattomat hyökkäykset tai tekniikan toimintahäiriöt voivat vaarantaa nämä järjestelmät, mikä voi johtaa kuolemaan tai loukkaantumiseen. Tämä pätee erityisesti sellaisilla aloilla kuin terveydenhuolto, teollisuusrobotiikka ja kemikaalit.
Sean Tufts, Optivin kriittisen infrastruktuurin johtaja, on samaa mieltä siitä, että kiristysohjelmat ovat edelleen voimakkain uhka CNI:lle, kun otetaan huomioon ryhmien valtava määrä ja kuinka helposti monet voivat hyödyntää suojan aukkoja.
"Hakkeri räjäyttää sähköaseman tai jalostamon ei ole mahdotonta, mutta erittäin vaikeaa. Tarvitset erittäin edistyneen hakkerointiorganisaation yhdistettynä tiimiin, joka tietää, miten voimalaitokset toimivat”, hän kertoo ISMS.onlinelle.
"Todennäköisempi skenaario on se, että matalan tason hakkeri laittaa järjestelmään hyödykkeen kiristysohjelmapaketin ja pysäyttää fyysisen prosessin. Jos tämä prosessi on kuljetinhihna, öljypumppu, sähkökatkaisin tai vuoristoradan ohjausjärjestelmä, asiat voivat kirjaimellisesti pyöriä käsistä. Toimialamme nykyinen motto on "kyberturvallisuus on turvallisuutta". Turvallisuus on kyberturvallista. Haluamme, että teknikkomme sormien lähellä olevat laitteet ovat heidän hallinnassaan."
Uhkien torjuminen ja ihmishenkien pelastaminen
Kaikki nämä tekijät nostavat panoksia huomattavasti näillä aloilla toimiville kyberturvallisuuden johtajille. Sitten herää kysymys, kuinka ne voivat parantaa kyberresilienssiä siihen pisteeseen, että hengenvaaraa hallitaan riittävästi?
"CISO:n tulisi miettiä, kuinka he voisivat jatkaa hätäpalveluiden tarjoamista pitkittyneen verkkokatkoksen sattuessa, ja sisällyttää tämä tapaussuunnitelmaan", neuvoo S-RM:n häiriötilanteiden hallintaa vastaava James Tytler.
"Heidän tulisi myös suorittaa säännöllisiä pöytäharjoituksia varmistaakseen, että kaikki asiaankuuluvat osapuolet ovat tietoisia rooleistaan ja vastuistaan etukäteen", hän kertoo ISMS.online-sivustolle.
Optiv's Tuftsin mukaan NIS 2 tarjoaa hyödyllisen joukon parhaita turvakäytäntöjä, joita voidaan kehittää.
"NIS2:n keskittyminen kyberturvallisuuden perustason asettamiseen, johon yritykset voivat kasvaa, on erittäin tärkeää vapauttaakseen budjetin historiallisen alhaisen marginaalin yrityksiltä", hän väittää.
Koska Yhdistynyt kuningaskunta eroaa EU:sta, asetus ei kuitenkaan koske kaikkia organisaatioita. Nozomi Networksin Shipulinin mukaan NIS2 ei kuitenkaan ole kaupungin ainoa peli.
"Lähes kaikkia kyberfyysisiä järjestelmiä hyödyntäviä kriittisiä infrastruktuurialoja säätelevät paikalliset säännökset tai kansainväliset standardit, jotka koskevat näiden järjestelmien turvallisuutta", hän selittää. "Siksi paras tapa on aloittaa tarkastelemalla alan sääntelyviranomaisen tai alakohtaisten kansainvälisten järjestöjen antamia kyberturvallisuusohjeita."
Parhaat käytännöt, kuten ISO27001 ja IEC 62443 voivat myös auttaa. Edellinen lieventää tietoturvaongelmia IT-järjestelmissä, joita lunnasohjelmatoimijat voivat hyödyntää, ja jälkimmäinen on erityisen hyödyllinen, koska se on suunniteltu erityisesti OT-ympäristöihin, kuten teollisuuden ohjausjärjestelmiin.
"Tämän standardin ovat laatineet ammattilaiset, eivät sääntelijät. Sen sovellettavuus on erittäin korkea ja mukautettu toimialamme tarpeisiin”, Optivin Tufts sanoo.
Kun panokset ovat niin korkeat, CNI-alojen CISO:n on päästävä takaisin etujalkaan.
