Кібератаки стають все більшою загрозою для критичних секторів, таких як енергетика та охорона здоров’я. Нещодавні попередження від CISA, NSA та ФБР вказують на вразливості, які використовуються в активностях, пов’язаних з Китаєм.
У сучасному світі важко уникнути постійного обговорення кіберзагроз, особливо коли вони вражають критичну інфраструктуру, зокрема, енергетику, сферу охорони здоров’я та транспорт. Ці атаки не лише збільшуються кількісно, але й стають дедалі складнішими, чітко вказуючи на необхідність посилення нашого захисту.
Наприклад, у лютому Агентство з кібербезпеки та захисту інфраструктури (CISA), Національне агентство безпеки (NSA) та ФБР разом із партнерами опублікували серйозне попередження. Вони звернули увагу ключових секторів інфраструктури на потенційні кіберзагрози, підкресливши вразливості, які вже використовувалися атакуючими, що пов’язані з Китайською Народною Республікою.
І це не лише проблема США. Кібератака на ядерний об’єкт у Великій Британії нещодавно продемонструвала, наскільки важливим є захист об’єктів інфраструктури. Проте, попри численні попередження, все ще існують суттєві прогалини у законодавстві та міжнародному співробітництві у сфері кібербезпеки.
Нагальна потреба в глобальному кібердоговорі
Сьогоднішній кібербезпека критичної інфраструктури в роздробленому стані: це мозаїка регуляцій і стандартів, які часто не враховують складність сучасних загроз. Хоча у 2015 році ООН ухвалила добровільні норми, їхній вплив залишається обмеженим.
За даними Міжнародного енергетичного агентства, кількість інцидентів, пов’язаних з інфраструктурою, зросла вдвічі з 2020 по 2022 рік, що підкреслює недостатність поточної реакції.
Щоб вирішити цю нагальну проблему, міжнародна спільнота має розглянути можливість створення глобального кібердоговору, спрямованого на посилення захисту критичної інфраструктури.
Такий договір міг би базуватися на існуючих рамках, запроваджуючи обов’язкові заходи для підвищення стандартів кібербезпеки. Наразі середовище регуляцій у сфері кібербезпеки включає суміш федеральних законів, галузевих стандартів і галузевих рекомендацій, але жоден із цих регламентів не забезпечує комплексного підходу для всіх секторів критичної інфраструктури.
Основні прогалини в поточних рамках:
- Health Insurance Portability and Accountability Act (HIPAA): Цей федеральний закон відіграє ключову роль у захисті медичної інформації, зобов’язуючи постачальників медичних послуг і їхніх партнерів впроваджувати заходи безпеки для захисту даних пацієнтів. Незважаючи на свою важливість, дія HIPAA обмежується лише сектором охорони здоров’я і не поширюється на інші сфери критичної інфраструктури.
- Cybersecurity Maturity Model Certification (CMMC): Розроблена для підрядників, що співпрацюють із Міністерством оборони США (DoD), CMMC забезпечує дотримання певних стандартів кібербезпеки. Однак її застосування обмежується підрядниками, пов’язаними з оборонним сектором, залишаючи інші галузі без аналогічного захисту.
- Payment Card Industry DataSecurity Standard (PCI DSS): Цей галузевий стандарт, широко впроваджений у різних країнах, встановлює вимоги до безпеки для організацій, що працюють із даними кредитних карток. Водночас PCI DSS не охоплює сектори критичної інфраструктури поза фінансовими операціями.
- Communications Assistance for Law Enforcement Act (CALEA): Під контролем Федеральної комісії зі зв’язку (FCC), CALEA зобов’язує телекомунікаційні компанії забезпечувати можливість законного перехоплення комунікацій. Однак акцент CALEA на правоохоронній діяльності не враховує ширших питань кібербезпеки.
- North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP): Рекомендації NERC CIP мають важливе значення для захисту електромережі від кіберзагроз. Проте вони орієнтовані лише на окремі галузі і не поширюються на інші сектори критичної інфраструктури, такі як транспорт чи виробництво.
Попри існуючі нормативні рамки, не існує єдиного, комплексного підходу до кібербезпеки у всіх секторах критичної інфраструктури. Такий фрагментарний регуляторний підхід створює прогалини, які можуть бути використані кіберзловмисниками.
Потреба у Єдиній Системі Кібербезпеки
Інтегрований регуляторний підхід є не лише важливим, але й нагально необхідним. Централізовані правила могли б встановити мінімальний стандарт для безпекових практик, стимулюючи організації до розробки та вдосконалення своїх стратегій кіберзахисту.
Це дозволило б усунути поширені вразливості та сприяти інноваціям у сфері безпеки. Наприклад, модель нульової довіри (Zero Trust), яка забезпечує контроль взаємодії між людьми, даними та системами для зниження ризиків, з’явилася у відповідь на потребу в більш ефективній безпеці в умовах безконтурних мереж.
Централізовані правила також могли б стандартизувати безпекові практики у ланцюгах постачання, зменшуючи вразливості, які виникають у процесі взаємопов’язаних бізнес-операцій. Забезпечення дотримання однакових протоколів безпеки всіма учасниками сприятиме ефективнішому управлінню ризиками та їхній мінімізації. Такий підхід не лише посилить безпеку, але й зміцнить довіру серед зацікавлених сторін, зокрема споживачів та партнерів по ланцюгу постачання.
Конвергенція IT і OT систем: Інтеграція IT і OT розширила поверхню атак у критичній інфраструктурі. Такі системи, як промислові системи управління (ICS) та системи SCADA, стали вразливими до кіберзагроз, які раніше були характерні лише для IT-мереж. Це підкреслює потребу в інтегрованих рішеннях кібербезпеки для обох середовищ.
Постійна загроза підвищеної складності (APT): APT є складними, часто спонсорованими державою атаками, спрямованими на об’єкти високої цінності протягом тривалого часу. Протидія потребує розвинених засобів виявлення і реагування, а також безперервного моніторингу й отримання розвідданих про загрози. Регуляції, які вимагають таких можливостей, можуть допомогти організаціям краще захищатися від цих атак.
Інтернет речей (IoT) і застарілі системи: Поширення IoT пристроїв створює додаткові виклики для безпеки, оскільки багато з них розроблено з мінімальними засобами захисту. До того ж критична інфраструктура часто покладається на застарілі системи, які не враховують сучасні кіберзагрози. Оновлені стандарти регуляцій необхідні для усунення цих вразливостей.
Джерело: https://thecyberexpress.com/