7 мая 2021 г., в роковое пятничное утро, компания Colonial Pipeline, обслуживающая важнейший канал поставок топлива в восточные районы США, подверглась атаке программы-вымогателя. Не зная об этом, компания приняла решение остановить работу трубопровода, пытаясь определить, что произошло и насколько серьезен ущерб. Этот шаг привел к серьезным последствиям, превратив кибернетический инцидент в более масштабный кризис в течение нескольких коротких дней. На нескольких тысячах АЗС закончилось топливо, а цены на бензин выросли до самого высокого уровня за последние почти десять лет.
Остановка работы нарушила цепочки поставок топлива, что привело к паническим закупкам и последующему дефициту на заправках во многих штатах. Сообщения о длинных очередях и резком росте цен на бензоколонках проиллюстрировали реальные последствия киберугроз, подчеркнув взаимозависимость физической и цифровой инфраструктур. Это также укрепило доверие населения к автозаправочным станциям.
В ответ на обострение ситуации правительство США предприняло ряд решительных действий.
Чтобы успокоить общественность, 11 мая 2021 г. с трибуны Белого дома к американцам обратились министр национальной безопасности Алехандро Н. Майоркас и министр энергетики Дженнифер Грэнхолм. Зал для пресс-брифингов - это небольшая комната в Западном крыле, в которой собралось около 50 репортеров, а сзади работают телевизионные камеры. Именно здесь собираются представители СМИ, чтобы заставить правительство США отчитываться перед американской общественностью, задавая острые вопросы по наиболее важным на данный момент темам, - это грозная сцена, за которой следит практически весь мир. Оба секретаря рассказали о том, что делается правительством для смягчения последствий атаки ransomware. Они также обратились к американской общественности с призывом "не запасаться бензином впрок, особенно в свете того, что трубопровод должен быть в основном введен в эксплуатацию к концу этой недели и в выходные".
Долгосрочные последствия
Геополитические последствия атаки Colonial Pipeline с целью получения выкупа оказались весьма значительными. После атаки президент Байден напрямую пообщался с президентом России Владимиром Путиным, подчеркнув тем самым серьезность инцидента. Этот кризис также подчеркнул настоятельную необходимость принятия более жестких мер кибербезопасности, особенно в отношении критически важных объектов инфраструктуры, таких как Colonial Pipeline. Он стал ярким напоминанием о том, что киберугрозы не ограничиваются только цифровым миром; они могут быстро распространяться, вызывая широкомасштабные сбои в работе и оказывая влияние на общество. В конечном итоге инцидент с Colonial Pipeline стал переломным моментом.
Этот инцидент и сегодня имеет последствия, пересматривая роль руководителей компаний и лидеров отрасли, и будет определять наше отношение к кибербезопасности еще долгие годы. Он также указывает на некоторые важные вопросы, которые должны задать себе руководители компаний, и показывает, как киберинцидент может быстро перерасти в кризис национальной безопасности, требующий внимания президента США. Только представьте себе, что могло бы произойти, если бы другая, столь же масштабная атака с использованием вымогательского ПО произошла в США в конце февраля - начале марта 2022 года, всего через несколько дней после дальнейшего вторжения российских войск на территорию Украины.
Одним из следствий этого стало то, как руководители компаний стали относиться к своей роли и обязанностям. Генеральный директор компании Colonial Pipeline Джозеф Блаунт заявил членам Конгресса, что выплата выкупа в размере около 4,3 млн. долл. в биткойнах была "самым трудным решением за все 39 лет моей работы в энергетической отрасли". Заплатить хакерам и еще больше разжечь преступный цикл требований выкупа или рискнуть значительными перебоями в работе или даже банкротством - выбор не из легких.
Руководители компаний явно обратили на это внимание. Мало кому понравится дорога из Каноссы в Вашингтон и нахождение в центре внимания Конгресса и СМИ. Какие выводы мы сделали из этого и других ключевых инцидентов последних двух лет? Вот шесть рекомендаций для руководителей компаний:
1. Будьте осторожны в общении с общественностью.
Атака на банки - классический пример того, как реакция общества и групповая психология могут усугубить кризис. Ажиотаж на туалетную бумагу во время пандемии Covid-19 и ажиотаж на автозаправочных станциях после атаки ransomware показывают, что эта проблема не ограничивается финансовыми учреждениями.
Внимательное отношение к тому, как и что вы сообщаете общественности, не означает отказа от общения с ней, напротив, это необходимость. Однако компании должны подходить к этому вопросу вдумчиво. Как показывает инцидент с трубопроводом Colonial Pipeline, это касается и компаний, которым редко приходится общаться с общественностью в рамках повседневной деятельности, но может потребоваться неожиданно, от одного дня к другому.
2. Координация действий с правительством.
Решение компании Colonial Pipeline об отключении своей трубопроводной системы должно было быть принято быстро, но времени для консультаций с государственными экспертами США было недостаточно. Отключение трубопроводной системы означало, что, независимо от того, была ли она заражена, на ее перезапуск потребовалось бы несколько дней, что привело бы к нарушению фактических поставок топлива со всеми вытекающими отсюда последствиями, требующими принятия правительственных мер. Координация действий с правительством является ключевым фактором, позволяющим избежать непреднамеренного усугубления кризиса.
3. Знать, к кому обращаться.
Чтобы быстро принимать взвешенные решения и координировать свои действия с нужными людьми, руководители компаний должны знать, с кем из правительства можно связаться. Обращение в НАТО или к военным, как показывают некоторые анекдоты последних лет, не является правильным решением.
Тем не менее, иногда правительство не облегчает внешним сторонам задачу определения нужного лица или агентства, поэтому правительство обязано внести ясность.
4. Иметь план и выполнять его.
Это, пожалуй, самый важный пункт, поскольку он является средством реализации остальных пунктов. Помимо разработки и наличия плана - в идеале под контролем генерального директора - его необходимо отрабатывать хотя бы раз в год. Регулярные тренировки помогут руководству и персоналу компании наработать "мышечную память", необходимую для эффективного реагирования в условиях реального кризиса.
5. Знать свои сети.
В идеале генеральный директор должен иметь представление о взаимодействии ИТ-сетей и операционных технологий (ОТ) компании на высоком уровне. Если системы защищены воздушной защитой, то нет необходимости отключать OT-сеть, если компрометация ограничивается IT-сетью.
Тем не менее атака на компанию Colonial Pipeline с целью получения выкупа показала, что даже паралич ИТ-сетей может иметь значительные последствия. Если компания больше не может выставлять счета, не знает, кто ее клиенты и как с ними связаться, реальные последствия могут быть не менее разрушительными, чем остановка производства. Каждый читатель, оказавшийся в аэропорту из-за сбоя в работе ИТ-системы авиакомпании, на собственном опыте убедился в том, что такое разрушительное воздействие.
6. Будьте скромны и обращайтесь за помощью к специалистам.
Кибербезопасность - это широкое понятие, охватывающее очень сложный комплекс проблем. Несмотря на наличие общих черт и использование некоторого программного обеспечения в различных отраслях, кибербезопасность трубопроводов значительно отличается от кибербезопасности финансового сектора, больниц, школ или железных дорог. После нескольких лет киберинцидентов в разных отраслях можно сделать один важный вывод: необходимо признать ограниченность знаний каждого, в том числе и экспертов по кибербезопасности. Поэтому руководители компаний должны без колебаний обращаться за помощью к сторонним специалистам для разработки, тестирования или доработки плана или пересмотра существующих процессов и политик.
Помимо этих рекомендаций высокого уровня, существует множество других ресурсов, включая руководства и контрольные списки для руководителей компаний, членов советов директоров и CISO, которые содержат более подробную информацию. Правительство США, в частности Агентство по кибербезопасности и защите инфраструктуры (CISA), также предоставляет ресурсы Stopransomware.gov и Shields Up, которые могут быть использованы компаниями в зависимости от уровня их кибербезопасности.
Бизнес-лидеры как хранители доверия
Помимо укрепления кибербезопасности компании из собственных интересов и во избежание кризиса национальной безопасности, руководители компаний играют более важную роль и могут считаться хранителями доверия к технологиям в целом. В основе кибербезопасности лежит доверие. Ransomware и другие многочисленные кибератаки используют это доверие. Они используют случаи, когда человек переходит по недостоверной ссылке, загружает вложение с неизвестного адреса электронной почты или получает обновление вредоносного ПО.
Этот принцип распространяется и на доверие компании к технологиям, лежащим в основе ее систем, что вновь привлекает внимание к геополитике. Роль китайских компаний в создании сети 5G является центральной темой уже несколько лет. Она положила начало более широкой дискуссии о том, как учитывать риски при инвестировании, покупке и использовании технологий. Обеспокоенность правительства США некоторыми технологиями, исходящими из КНР, хорошо известна. Одновременно в Брюсселе и других европейских столицах идет активная дискуссия о "снятии рисков" под влиянием уроков, извлеченных из вторжения России на Украину и зависимости от нее Европы.
Лидеры бизнеса находятся в центре этих дебатов, поскольку они являются наиболее важными хранителями доверия к технологиям. От того, во что компании решат инвестировать средства и как они соразмерят затраты с другими преимуществами, такими как повышенная безопасность и доверие, будет зависеть устойчивость общества в целом.
Самопроверка для руководителей компаний
В течение многих лет многие предупреждали о растущих киберугрозах, а некоторые давали продуманные советы по укреплению защиты и устойчивости организации. Три вопроса помогут определить, достаточно ли сделано в дополнение к вышеупомянутым рекомендациям:
- Участвовали ли вы в кибернетических учениях?
- Сохранилась ли у вас контактная информация руководителя службы информационной безопасности, кроме рабочего телефона или компьютера? (Помните, что если сети вашей компании подвергнутся атаке ransomware, то ваши рабочие устройства могут оказаться недоступными).
- Знаете ли вы контактное лицо в правительстве на случай инцидента, связанного с кибербезопасностью?
Если хотя бы на один из этих вопросов вы ответили "нет", то, надеюсь, прочтение этой статьи побудит вас к дальнейшим действиям - это поможет лучше защитить вашу организацию и, возможно, предотвратить будущий кризис национальной безопасности.
------------------
Подписывайся на наш Телеграм канал https://t.me/itvibenews