В США крайне разрушительные атаки, нацеленные на Microsoft, UnitedHealth Group и ее дочернюю компанию Change Healthcare, привлекли внимание к компаниям и их методам обеспечения кибербезопасности не только клиентов, СМИ и инвесторов, но и федеральных агентств и регулирующих органов. На момент написания этой статьи Change Healthcare все еще пытается разобраться с огромным количеством накопившихся страховых случаев, и это затронуло как сотни тысяч поставщиков услуг, так и пациентов. По некоторой иронии судьбы, сама Microsoft сообщает, что примерно 87% организаций Великобритании уязвимы для кибератак. В Европе государственные структуры и НПО отслеживают широко распространенные попытки фишинга, совершаемые, вероятно, российской преступной группировкой, которая принуждает сотрудников переходить по ссылкам и загружать вредоносное ПО. На Ближнем Востоке, в Африке и Азии киберпреступники, использующие программы-вымогатели, нацелены на организации, которые, по их мнению, потенциально менее развиты в области контроля кибербезопасности и стали значительно более уязвимыми, поскольку определенные регионы и страны Ближнего Востока и Северной Африки до сих пор не расставили надлежащих приоритетов и не инвестировали средства в кибербезопасность.
Киберриски никуда не денутся. Работа, несмотря на эту динамику, зависит от того, как правительства, НПО и организации частного сектора отслеживают новые разработки, информируют себя и участников о киберрисках и, что наиболее важно, подходят к концепции устойчивости. В киберсфере искусственный интеллект и программы-вымогатели доминируют в заголовках газет, но в этих историях есть тонкие нюансы, которые, вероятно, указывают на появление новых угроз.
Ниже приводится краткое изложение вопросов повестки дня в области кибербезопасности для руководителей, которые мы отслеживаем на 2024 год, и соображений, которые следует учитывать глобальному бизнесу при решении проблем киберрисков, используя разведданные, обучение и готовность.
Что мы отслеживаем?
1. Искусственный интеллект для причинения вреда: Генеративный искусственный интеллект, такой как ChatGPT, стал подарком для киберпреступников, и они открыто использовали технологию для причинения вреда.
В то время как стартапы и крупные глобальные организации по всему миру отмечают трансформационные преимущества внедрения искусственного интеллекта, а участники рынка искусственного интеллекта запускают новые продукты и услуги с пользой для дела, субъекты угроз аналогичным образом извлекают выгоду из достижений в области искусственного интеллекта для причинения вреда. Инструменты искусственного интеллекта, такие как ChatGPT, сократили время вывода вредоносного кода на рынок до нескольких секунд, включая создание аналогичных разрушительных инструментов, таких как глубокие подделки или фишинговые вредоносные программы, предназначенные для нанесения финансового или репутационного ущерба. Практически при наличии всех средств массовой информации, доступных в Интернете, преступники используют инструменты искусственного интеллекта и код, многие из которых продаются по дешевке в темной Сети, для создания кажущихся подлинными аудио и видео в целях социальной инженерии жертв. К сожалению, достижения в области искусственного интеллекта и машинного обучения имеют темную сторону – разрыв в способности отличать настоящее от подделки быстро сокращается.
Наделенные искусственным интеллектом и ободренные шпионажем, кражей IP-адресов, значительным криминальным финансированием и анонимным щитом темной паутины, субъекты национальных государств, такие как Россия, Китай, Северная Корея и Иран, смогли быстро организовываться, наращивать потенциал, проводить кибератаки и исчезать только для того, чтобы вновь появиться и реорганизоваться, часто избегая обнаружения правоохранительными органами. Несмотря на то, что такие агентства, как ФБР, Интерпол и ACSC (Австралийский центр кибербезопасности), добились успехов в более активном обнаружении, реагировании и расследовании, сложность ландшафта киберугроз, к сожалению, позволила плохим парням оставаться на шаг впереди. Чтобы подчеркнуть этот момент, в начале 2023 года директор ФБР Кристофер Рэй предупредил, что китайские субъекты киберугроз превосходят числом следователей ФБР в пятьдесят раз – даже если бы он сосредоточил все свое внимание агентов ФБР исключительно на Китае. В то же время лидеры в области кибербезопасности также используют искусственный интеллект как часть своей киберстратегии (навсегда!), а возможности искусственного интеллекта позволяют менеджерам по безопасности выявлять аномалии и бороться с масштабными угрозами.
2. Дезинформация и отвлечение внимания: геополитика, выборы и основные глобальные события 2024 года открывают значительные криминальные возможности для плохих парней.
Обеспокоенность по поводу распространения дезинформации заняла центральное место в исторический год глобальных выборов, когда в выборах примут участие по меньшей мере 64 страны. В ЕС Европейская комиссия намерена принять новое регулирование уже в апреле, чтобы способствовать честности выборов в соответствии с Законом о цифровых услугах (DSA). Комиссия планирует наложить штрафы на платформы социальных сетей, такие как X и Meta, за неспособность адекватно модерировать дезинформацию, генерируемую искусственным интеллектом. Ожидается, что в рамках предлагаемого регулирования платформы организуют специальные команды для работы с агентствами по кибербезопасности в 27 государствах-членах ЕС по мониторингу проблемного контента.
В феврале этого года США создали межпартийную целевую группу для оценки потенциала регулирования искусственного интеллекта, но поскольку до президентских выборов в США осталось всего семь месяцев, неясно, будет ли введено соответствующее регулирование, отражающее усилия DSA ЕС. По всему миру правительства Австралии, Канады и стран Ближнего Востока и Азии сталкиваются с аналогичными проблемами, а именно с тем, как привлечь платформы социальных сетей к ответственности. Участники киберугроз тем временем пожинают плоды, в то время как регулирование преследует технологические достижения. Организации как государственного, так и частного секторов сосредоточены на подготовке к потенциальным административным изменениям в своих соответствующих географических регионах и оценке воздействия на внутреннюю и глобальную торговлю, экономическую политику, национальную безопасность, энергетическую и климатическую политику и международные отношения в условиях двух бушующих войн. Помимо выборов, крупные мировые спортивные мероприятия и Олимпийские игры в Париже в 2024 году создают дополнительные возможности для участников угроз извлечь выгоду из того, что может показаться отвлекающим фактором, – делая ставку на поиск уязвимостей, поскольку предприятия и другие организации пытаются расставить приоритеты и сбалансировать весь спектр деятельности.
3. Программы-вымогатели, но “как услуга” (RaaS): глобальное регулирование и растущая решимость корпораций противодействовать платежам с программами-вымогателями заставят участников угрозы изменить стратегию.
Спросите большинство генеральных директоров и руководителей C-suite, что не дает им спать по ночам, и они, скорее всего, выразят глубокую озабоченность по поводу потенциальной атаки программ-вымогателей, если они еще не сталкивались с таковой. Достижения в области искусственного интеллекта, стимулирующего возможности участников угроз, только усиливают эту озабоченность, но развивающееся регулирование может начать оказывать сдерживающее воздействие на то, как далеко киберпреступники могут зайти в требовании выкупа, не говоря уже о том, что многие мировые руководители упираются в пятки и, в принципе, не будут платить.
За последние несколько лет все больше компаний сталкивались со значительными сбоями в работе и вымогательствами со стороны злоумышленников, и компании чувствовали, что у них нет другого выбора, кроме как платить выкуп, чтобы минимизировать воздействие на бизнес. В результате эти злоумышленники поняли, что они на что-то напали, и превратили атаки программ-вымогателей в коммерческую операцию. Преступные группировки иностранных противников создали колл-центры с англоговорящей службой поддержки и упростили процесс выплаты выкупа, чтобы быстро перевести выручку в банк и перейти к следующей жертве. В то же время возникли синдикаты программ-вымогателей, создавшие сеть разработчиков кода и злоумышленников (думаю, производителей и каналов распространения) для расширения глобального бизнеса.
Ситуация может меняться
В октябре прошлого года возглавляемая США Инициатива по борьбе с вымогателями, организация из 50 стран-членов, обязалась подписать международное соглашение о том, чтобы не выплачивать требования о выкупе. Кроме того, предприятия глобального частного сектора все чаще публично заявляют, что не будут платить выкуп – даже в ситуациях с высоким давлением и резонансными кибератаками. Также в октябре, после дестабилизирующей в финансовом и оперативном отношении атаки на MGM Resorts International, генеральный директор Билл Хорнбакл назвал атаку “корпоративным терроризмом”, отметив, что они решили не платить выкуп в рамках восстановления после инцидента и что они, скорее, сосредоточились на инвестировании в инфраструктуру, людей и процессы. В других странах правоохранительные органы мира добились успехов в борьбе с киберпреступниками. В январе ФБР объявило, что они закрыли китайскую преступную группировку Volt Typhoon, а в феврале совместно с Британским агентством по борьбе с преступностью и украинскими правоохранительными органами закрыли одну из самых известных и успешных российских сетей RaaS, Lockbit, известную преследованиями таких организаций, как Boeing и Министерство обороны Великобритании. А 25 марта правительства США и Великобритании объявили, что ввели санкции и выдвинули обвинения против предполагаемых китайских хакеров в шпионаже и целевых кибератаках на критически важную инфраструктуру.
Проблема с выплатой выкупа заключается в том, что это устраняет краткосрочную проблему, одновременно сигнализируя субъектам угрозы, что у компании есть ресурсы для оплаты, и компании это чувствуют. В исследовании 2024 года, проведенном Cybereason, было показано, что 84% компаний, столкнувшихся с программами-вымогателями, заплатили выкуп, однако 78% компаний были взломаны снова, и 63% из них попросили заплатить больше во второй раз.
Учитывая глобальную солидарность против выплаты выкупа, успехи правоохранительных органов и четкое осознание организациями того, что платежи подпитывают дальнейшие атаки, ситуация может повернуться против крупномасштабных и прибыльных начинаний RaaS. Ожидается, что субъекты угроз изменят тактику и стратегии, перейдя от текущей модели обслуживания к новым способам нацеливания на организации и, вероятно, с помощью искусственного интеллекта. Как отмечалось ранее, руководствуясь анонимностью, у плохих парней есть способы исчезать, перезагружаться, переоснащать и появляться вновь неудачными, творческими способами. Например, Sophos сообщила в декабре, что преступные группировки становятся все более подкованными в средствах массовой информации и разработали новые стратегии взаимодействия с журналистами, предоставления часто задаваемых вопросов и даже интервью, и все это во имя оказания давления на жертв, одновременно создавая шумиху, внимание и интригу вокруг себя как хакеров и своих операций.
4. Инсайдерский риск: сознательно или нет, сотрудники продолжают оставаться основным источником рисков кибербезопасности.
К настоящему времени большинство менеджеров, осуществляющих надзор за сотрудниками, и более широкие команды слышали термины “невольный” или “злонамеренный инсайдер” – соответственно, сотрудники, которые создают риск кибербезопасности либо по ошибке / из-за человеческого фактора, либо те, кто целенаправленно наносит вред, прерывая операции, совершая кражу или пытаясь нанести репутационный ущерб. Невнимательность, лень и рассеянность являются обычными причинами для этих невольных сотрудников, но такие события, как корпоративные увольнения, финансовая мотивация или недовольство, как правило, являются стимулом для злонамеренной инсайдерской деятельности. В то время как эксперты указывают на удаленную или гибридную работу как причину увеличения риска инсайдерской информации после пандемии, компании, производящие продукты для кибербезопасности, быстро создали новые службы обнаружения для решения проблем распределенной рабочей силы, и многие корпоративные ИТ-команды внедрили эти услуги, чтобы обеспечить в основном постоянную удаленную работу или гибридную рабочую среду.
Тем не менее, инсайдерский риск сохраняется.
Снова столкнитесь с проблемами, связанными с искусственным интеллектом. Code42, компания-разработчик программного обеспечения для управления инсайдерскими рисками, опубликовала свой отчет о раскрытии данных за 2024 год, уделив в этом году особое внимание утечке данных, приписываемой ИИ. В отчете приводятся следующие ключевые статистические данные:
- 85% руководителей в области кибербезопасности обеспокоены тем, что конфиденциальные данные их компаний становятся все более уязвимыми для новых технологий искусственного интеллекта;
- 86% руководителей в области кибербезопасности обеспокоены тем, что сотрудники могут размещать конфиденциальные данные в GenAI, которые будут обнаружены конкурентами.
Молодое поколение сегодняшних сотрудников называют “цифровыми аборигенами”, а размытая грань между работой и личными устройствами для сотрудников, которые всегда включены и подключены, создает дополнительные проблемы в обеспечении безопасности данных компании. Несмотря на их относительную подкованность в цифровых технологиях, опрос, проведенный “Делойтом” в 2023 году для подключенных потребителей, показал, что поколение Z в три раза чаще становится жертвой попыток фишинга или мошенничества, чем бэби-бумеры. Хотя эта статистика может не совсем соответствовать норме, для обеспечения работы нескольких поколений сотрудников с широко разнообразными рабочими привычками и практиками кибербезопасности требуются уровни и гибкость.
5. Уязвимость исполнительного директора и совета директоров: Руководители и директоры C-suite являются потенциальными объектами кибератак, главным образом из-за их доступа к высокочувствительным данным и предполагаемой способности или ресурсов заплатить выкуп.
Неудачным побочным продуктом повышенного профиля, заметности и авторитета является повышенный риск. Киберпреступники хорошо осведомлены о том факте, что руководители C-suite и советы директоров имеют доступ к самой конфиденциальной и частной информации, связанной с фирмами, которыми они управляют, что потенциально ставит этих людей в центр программ-вымогателей и тактики вымогательства. В 2021-2023 годах мы стали свидетелями серии инцидентов, когда злоумышленники “блокировали и крали” данные с целью получения выкупа, а затем угрожали ”опубликовать”, если выкуп не будет выплачен.
Хотя руководители высшего звена компаний находятся под контролем своих ИТ-отделов по информационной безопасности и, предположительно, в такой же, если не более, безопасности, чем остальные сотрудники, они, вероятно, также работают из домашнего офиса (если не нескольких) и получают доступ к важной корпоративной информации либо удаленно, либо приносят ее домой с собой на корпоративном устройстве в личную домашнюю сеть. Совет директоров находится в аналогичной ситуации, но часто не испытывает такой строгости к информационным технологиям, как сотрудники фирм, которые они обслуживают. Не все компании создали защищенные сайты для доступа к данным директоров, что делает этих людей потенциально уязвимыми для вторжений. Плохим парням может показаться еще более привлекательным нацеливаться на директоров советов директоров, учитывая, что многие работают в нескольких советах директоров, создавая таким образом объединенную точку доступа для преследования нескольких организаций. Хуже того, известно, что субъекты угроз перемещаются к членам семьи в качестве еще одного средства вторжения, покупая личную информацию у брокеров данных в темной Сети, включая скомпрометированные логины учетных записей в социальных сетях и другую конфиденциальную информацию, которая может быть использована для взлома или обмана руководителей и / или членов семьи с целью загрузки вредоносного ПО или другого вредоносного кода, компрометации личных домашних сетей и учетных записей электронной почты.
Компания BlackCloak по кибербезопасности и защите данных, предоставляющая услуги руководителям компаний и клиентам UHNW, провела в 2022 году оценку скомпрометированных данных участников и сообщила, что из 1000 ее сотрудников, многие из которых являются руководителями компаний из списка Fortune 1000,:
- Личная информация 99% руководителей компаний была доступна более чем на трех десятках веб-сайтов онлайн-брокеров данных, многие из которых перечислены более чем на 100 сайтах;
- 70% профилей руководителей, найденных на веб-сайтах data broker, содержали личную информацию из социальных сетей и фотографии с таких сайтов, как LinkedIn и Facebook;
- 40% онлайн-брокеров данных имели IP-адрес домашней сети руководителя.
Надеемся, что после публикации аналитических материалов BlackCloak в 2022 году корпорации, руководители и советы директоров повысили уровень своей осведомленности и приняли усовершенствованные меры кибербезопасности для устранения этих уязвимостей. Реальность такова, что назначения в правление и на уровне C-suite происходят каждый день, а угрозы и тактики, нацеленные на высокопоставленных лиц, постоянно развиваются. Это означает, что постоянная бдительность, разведка и целенаправленное обучение рискам кибербезопасности должны стать частью должностных инструкций для этих должностей.
6. Обременительные нормативные требования: Правительства и регулирующие агентства мира устанавливают строгие требования к отчетности для предприятий и усиливают внимание к подотчетности руководства и советов директоров в области кибербезопасности.
Краткое путешествие по миру от США до Европы, Ближнего Востока и Австралии показывает, насколько серьезной стала киберугроза, и подчеркивает растущую важность регулирования в области управления рисками кибербезопасности.
18 декабря 2023 года Комиссия по ценным бумагам и биржам США (SEC) начала требовать от публичных компаний раскрывать информацию о том, как они управляют киберрисками (включая то, как они оценивают угрозы и их потенциальное воздействие) в своих 10-Ks, а также требовать от компаний сообщать SEC о любых кибератаках, которые могут оказать существенное влияние на деятельность компании, в течение четырех рабочих дней. В новой системе отчетности также уделяется больше внимания раскрытию информации о надзоре совета директоров, связанной с киберрисками, и важности антикризисного планирования и коммуникаций в случае кибератак.
В Европе новый регламент по кибербезопасности, выпущенный 7 января 2024 года, определяет меры по созданию внутренней системы управления рисками кибербезопасности, руководства и контроля для каждой организации Союза и создает новый Межведомственный совет по кибербезопасности (IICB) для мониторинга и поддержки его внедрения организациями Союза. 14 марта этого года Европейским парламентом был одобрен Закон о киберустойчивости, в котором излагаются правовые рамки, описывающие требования кибербезопасности к аппаратным и программным продуктам с цифровыми элементами, размещаемым на рынке Европейского Союза.
На Ближнем Востоке Саудовская Аравия издала ряд нормативных актов, таких как Закон о защите персональных данных 2023 года, а ОАЭ и Иордания недавно приняли постановление, предусматривающее строгие наказания и тюремное заключение за любую преступную деятельность, связанную с кибератаками. В Австралии новый протокол управления рисками, подписанный министром О’Нилом в феврале 2023 года, возложит на членов правления ответственность за неспособность должным образом обезопасить активы, охватывая компании из критически важных секторов инфраструктуры.
Регулирование кибербезопасности и последнее внедрение правил правительствами по всему миру являются прямым ответом на недавние и громкие киберинциденты, которые привели не только к значительным сбоям и финансовым потерям, но и выявили потенциальные уязвимости в безопасности их соответствующих стран.
Рекомендации для руководителей
Киберразведка в поддержку устойчивости
Руководители завалены данными и показателями компании, отчетами аналитиков и экспертов, новостями и социальными сетями, освещающими киберриски. Оставаться в курсе всего этого может быть чрезвычайно сложно. Документировать и отслеживать каждую потенциальную угрозу, которая может оказать определенное влияние на бизнес-операции, сотрудников, участников и бренд, – важная и, откровенно говоря, бесплодная попытка. Вместо этого руководители и директоры C-suite должны обсудить и оценить краткий список критически важных активов компании, которые создают или разрушают бизнес, и обеспечить полное понимание допустимости риска нарушения работы этих активов и соответствующих стратегий смягчения последствий для их защиты.
Учитывая спектр угроз, выделенных в этом кратком обзоре, цифровая разведка и мониторинг угроз, ориентированные на упреждающее выявление потенциального риска для этих критически важных активов, помогают сузить анализ и сосредоточить внимание руководителей на надзоре за рисками. Расходы и инициативы C-suite в области кибербезопасности должны быть сосредоточены на создании и достижении устойчивости, а не просто на мерах защиты.
Готовность и тестирование
Момент кризиса кибербезопасности – не время разрабатывать план антикризисного управления. Ландшафт угроз, вероятно, кардинально изменился с тех пор, как в последний раз руководящая команда имела дело с серьезными сбоями в работе организации, и в связи с новыми проблемами, связанными с искусственным интеллектом и киберрисками, дезинформацией, эволюционирующей тактикой участников угроз и новым регулированием, сейчас самое время отказаться от старых планов, если они существуют, или разработать и внедрить соответствующую стратегию антикризисного управления. Важно отметить, что антикризисное управление и кризисные коммуникации – это две разные вещи: первое определяет “кризис” для организации, а также средства, с помощью которых и когда исполнительное руководство объединяется для реагирования на кризис, а второе определяет коммуникационные протоколы для управления кризисом. После того, как у исполнительной команды будут созданы основы антикризисного управления и кризисных коммуникаций, необходимо протестировать эти планы с помощью настольных упражнений или упражнений по моделированию кризисов, чтобы развить мышечную память и убедиться, что команды не работают над этим впервые во время живого мероприятия.
Обучение
Люди (как видно из краткого комментария, связанного с инсайдерским риском, а также высокопоставленные руководители и директоры) находятся в центре надежной корпоративной кибербезопасности – и рисков. Образование, осведомленность и постоянное корпоративное обучение передовым практикам для лучшего выявления подозрительной активности и снижения уязвимости будут иметь решающее значение для защиты сотрудников, их семей и организации в целом. Регулярный анализ воздействия цифровых технологий на руководителей в сочетании с удалением конфиденциальной онлайн-информации и простыми изменениями в онлайн-практиках будут иметь большое значение для снижения рисков, с которыми потенциально сталкиваются ключевые руководители.