Vaalilautakunnan ja poliisivoimien tietomurrot korostavat suuria tietoturva-aukkoja Ison-Britannian julkisella sektorilla – miten ratkaisemme ne?
Sisällysluettelo:
Vakavat tietomurrot vaalilautakunnassa ja useissa Yhdistyneen kuningaskunnan poliisivoimissa ovat korostaneet, että julkisen sektorin organisaatiot eivät ole immuuneja kyberrikollisten uhkalle.
Elokuussa vaalilautakunta vahvistettu se oli "monimutkaisen kyberhyökkäyksen" uhri, joka vaaransi 40 miljoonan Britannian kansalaisen henkilökohtaiset tiedot. Rikkomus, joka tapahtui ensimmäisen kerran elokuussa 2021, jäi selvittämättä lokakuuhun 2023 asti, ja hakkerit hakivat vaaliluettelon viitekopioita. Tämä tarkoitti, että heillä oli pääsy miljoonien Yhdistyneen kuningaskunnan äänestäjien nimiin ja osoitteisiin.
Komissio myönsi, että "riittävä suoja ei ollut käytössä tämän kyberhyökkäyksen estämiseksi", ja se on nyt näennäinen että valtion virasto epäonnistui Cyber Essentials -testissä, jonka tarkoituksena oli parantaa organisaatioiden kyberpuolustusta ennen hyökkäystä. Elokuun 2021 hyökkäyksen vakavuuden valossa organisaatio väittää aloittaneensa työn IT-järjestelmiensä "turvallisuuden, kestävyyden ja luotettavuuden parantamiseksi".
Muualla Yhdistyneen kuningaskunnan julkisella sektorilla useat Britannian poliisivoimat ovat viime aikoina kokeneet merkittäviä tietomurtoja. Elokuussa Lontoon Metropolitan Police hälytti kymmenet tuhannet sen henkilöstöä tietoturvaloukkaukseen, jonka aiheutti "luvaton pääsy Met-toimittajan IT-järjestelmään".
Kyseisellä IT-toimittajalla oli tiedoissaan Metin poliisien ja henkilökunnan nimiä, arvoja, valokuvia, tarkastustasoja ja palkkanumeroita. Met sanoi kuitenkin, että hakkerointi ei johtanut henkilötietojen, kuten nimien, osoitteiden ja taloudellisten tietojen, vuotamiseen. Muita Britannian poliisivoimia, jotka ovat kokeneet viimeaikaisia tietomurtoja, ovat Manchesterin poliisi ja Pohjois-Irlannin poliisipalvelu.
Nämä tietomurrot ovat osoittaneet, että henkilötiedot eivät välttämättä ole turvassa valtion virastojen käsissä ja että niiden on tehtävä enemmän parantaakseen kyberturvallisuuskykyään. Mutta mitä kyberturvallisuuskehyksiä ja parhaita käytäntöjä ne voivat ottaa käyttöön varmistaakseen, että nämä tapaukset eivät koskaan toistu?
Kriittisiä opetuksia
Yksi näiden tietomurtojen suurimmista opetuksista on, että jopa erittäin suojatut tietokannat ovat haavoittuvia tietomurroille ja ovat edelleen tuottoisia kohteita kyberrikollisille. Tarkistaa ja rajoittaa käyttöoikeudet suuria määriä henkilötietoja sisältäviin tietokantoihin on erinomainen ensimmäinen askel, mutta se ei ole ainoa asia, jota organisaatioiden tulisi harkita.
Kyberuhkamaailman kehittyessä ennennäkemättömällä nopeudella organisaatioiden on pysyttävä askeleen kyberrikollisten edellä ennakoimalla tietoturva-aukkoja ja hakkerointimenetelmiä, joita ne voivat hyödyntää hyökkäyksissään. Ainoa tapa tehdä tämä on suorittaa säännöllisiä kyberturvallisuusauditointeja ja pysyä ajan tasalla uusimpien kyberturvallisuusuhkien kanssa.
On myös tärkeää ymmärtää, että tietomurrot aiheuttavat muutakin kuin vain taloudellisia menetyksiä. Koska vaalilautakunnalla, poliisivoimilla ja muilla valtion virastoilla on ratkaiseva rooli julkisessa elämässä, niillä ei ole varaa menettää kansalaisten luottamusta. Mutta valitettavasti maineen vahingoittaminen ja yleisön luottamuksen rapautuminen ovat suuria riskejä verkkohyökkäykset vaikuttavat julkisiin instituutioihin. Lisäksi nämä organisaatiot tyypillisesti tuntevat sääntelyelinten täyden voiman, mikä heikentää merkittävästi heidän olennaista julkista työtänsä.
David Sancho, kyberturvallisuusyrityksen Trend Micron vanhempi uhkatutkija, kuvaili vaaliluetteloa ja poliisivoimien tietomurtoja "hyvinä esimerkkeinä tapauksista, joissa organisaatiot eivät ota suojelemiensa tietojen turvallisuutta vakavasti".
Sancho varoitti järjestöjä olemaan laiminlyömättä tietoturvaa, "koska hyökkääjät ovat valmiita hyökkäämään milloin tahansa". Hän sanoi, että koostaan riippumatta jokainen yritys ja organisaatio on "kyberhyökkäyksiä alttiina".
Hän lisäsi: "Kokemukseni mukaan jotkut asettavat turvallisuusmenot alempana sellaisella perustelulla kuin "se ei tapahdu meille, emme ole kyberhyökkääjän ajan arvoisia". Näin ei pitäisi tapahtua, ja kaikkien yritysten tulee olla valmiita tällaisiin yrityksiin.
Kyberturvallisuuden säätiöiden parantaminen
Olipa kyse taloudellisista menetyksistä, mainevaurioista tai sääntelyn seurauksista, monet näistä riskeistä voidaan välttää, kun organisaatiot ottavat tietoverkkorikollisuuden uhan vakavasti. Mutta teot puhuvat enemmän kuin sanat – organisaatioiden ei pitäisi vain luvata parantaa omaa toimintaansa tietoverkkoturvallisuus asento julkisessa lausunnossa vakavan tietomurron jälkeen, mutta ryhtyä konkreettisiin ja laadullisiin toimiin kyberturvallisuuden perustan vahvistamiseksi.
Koska inhimillisillä virheillä on niin merkittävä rooli tietomurroissa, organisaatioiden on tehtävä enemmän kouluttaakseen henkilöstöään kyberturvallisuusriskien havaitsemiseen ja lieventämiseen. Koska kyberriskit jatkuvat, yksittäinen PowerPoint-esitys rastittaa ruutuun, mutta se ei poista sitä. Sekä julkisen että yksityisen sektorin organisaatioiden on otettava säännöllisesti käyttöön henkilöstön koulutusta ja tietoisuutta kampanjoita. Järjestöt, kuten National Business Crime Center tarjoavat ilmainen kyberturvallisuuskoulutus työntekijöille, joten kybertietoisuuden ei tarvitse syödä yritysten budjetteja.
Toinen perustavanlaatuinen mutta olennainen askel organisaation kyberturvallisuuden perustan parantamiseksi on ohjelmistojen ja järjestelmien säännöllinen päivittäminen tietoturva-aukkojen korjaamiseksi. Siirtyminen vanhentuneista käyttöjärjestelmistä, kuten Windows 7 ja 8, estää myös ohjelmistojen tietoturva-aukkoja. Toteutus monitekstinen todentaminen vähentää myös todennäköisyyttä, että pahat tahot pääsevät luvattomasti organisaation IT-järjestelmiin.
Kansainvälisesti tunnustetun toimialakehyksen, kuten National Institute of Standards -instituutin kyberturvallisuuskehyksen tai ISO 27001 -standardin, käyttöönotto parantaa organisaation kyberkestävyyttä. Nämä puitteet auttavat organisaatioita sellaisilla aloilla kuin vahvuuksien hallinta, pääsynvalvonta, haavoittuvuuksien hallinta, tapauksiin reagointi, kolmannen osapuolen tietoturva ja jatkuva parantaminen.
Luke Dash, ISMS.onlinen toimitusjohtaja, sanoi, että tällaiset puitteet auttavat organisaatioita "parantamaan merkittävästi vastustuskykyä hyökkäyksiä vastaan". Electoral Roll ja Police Force -tietomurtojen valossa hän kehottaa hallituksia tekemään kyberturvallisuuskehysten täytäntöönpanosta pakollisia valtion virastoissa – varsinkin jos niillä on arkaluonteisia tietoja – sekä auditointeja ja puitesertifiointia.
Näiden oppien ja viitekehysten integrointi
Kyberturvallisuuden viitekehyksen käyttöönotto ja kyberresilienssin parantaminen ovat täysin uutta monille organisaatioille. Joten mitä he voivat tehdä saavuttaakseen nämä tavoitteet onnistuneesti?
Dash sanoo, että organisaatiot eivät saa nähdä kyberturvallisuutta "jälkikäteen". Avain siihen kyberresistenssi on "omistettu keskittyminen, resurssit ja jatkuva sitoutuminen. Hän jatkoi: ”Järkeän kehyksen käyttöönotto voi auttaa vahvistamaan puolustusta ennen rikkomisen tapahtumista. Yleisö ansaitsee tiedoilleen maailmanluokan turvallisuuden, ja nämä puitteet tarjoavat suunnitelman. Työtä on vielä tekemättä, mutta tie eteenpäin on selvä."
Sanchon mukaan organisaation verkkojen näkyvyyden lisääminen auttaa niitä myös suojaamaan arkaluonteisia tietoja. Hän suositteli: "Saat sen ohjelmistolla, joka analysoi verkon käyttäytymistä ja voi ilmoittaa erilaiset poikkeavuudet yhteiseksi hakkerointiyritykseksi. Tämän paremman näkyvyyden ansiosta puolustaja voi ymmärtää, että he ovat hyökkäyksen kohteena ennen kuin vahinko on tapahtunut."
Toimialasta tai koosta riippumatta kaikkien arkaluontoisia tietoja käsittelevien ja tallentavien organisaatioiden on myös ryhdyttävä ymmärtämään asioita tietosuojalakeja, kuten yleistä tietosuoja-asetusta.
Kevin Modiri, asianajaja Nelsonsissa, sanoi: "Yleinen tietosuojalaki (GDPR) tuli voimaan vuonna 2018, ja se säätelee, kuinka voimme käyttää, käsitellä ja säilyttää henkilötietoja, mukaan lukien kaikki tiedot tunnistettavissa olevasta elävästä henkilöstä. Lainsäädäntö koskee kaikkia organisaatioita, myös tavaroita ja palveluita toimittavia.
Keskeiset ostokset
Vaaliluettelo ja poliisivoimien tietomurrot olivat valitettavia tapauksia, jotka vaikuttivat miljooniin ihmisiin, mutta on selvää, että ne ovat antaneet arvokkaita opetuksia arkaluonteisia tietoja käsitteleville organisaatioille.
Ehkä suurin opetus on, että kaikkien organisaatioiden on arvioitava kyberturvallisuuskykynsä ja ryhdyttävä jatkuviin toimiin arkaluonteisten tietojen turvaamiseksi. Rikkomusten tapahtumisen odottaminen ei ole vaihtoehto, kun pelissä on niin paljon, mukaan lukien taloudelliset menetykset, mainevauriot ja sääntelytoimet.
Tehokkaita toimenpiteitä tietovuotojen estämiseksi ovat kansainvälisten kyberturvallisuuskehysten käyttöönotto ja säännöllinen, johdonmukainen kyberturvallisuuskoulutus kaikille organisaation jäsenille.
