Når NIS2 nærmer sig, hvordan kan organisationer afbøde livstruende cyberangreb?
Indholdsfortegnelse:
NIS2 vil blive omsat til lov i alle EU-medlemslande om tre måneder. Det kræver forbedret baseline-sikkerhed, hændelsesrespons, forsyningskædesikkerhed og meget mere for at gøre operatører af væsentlige tjenester mere cyber-modstandsdygtige. Hvis organisationer var i tvivl om, hvorfor sådanne regler er nødvendige, skal du ikke lede længere end den seneste NHS ransomware-katastrofe.
Heldigvis kan industriens bedste praksis gå langt til både at strømline NIS 2-overholdelse og reducere chancerne for en livstruende cyberhændelse.
Sundhedsvæsen under ild
I sidste ende var ransomware-angrebet, der havde en så katastrofal indvirkning på NHS-patienter, rettet mod en lidet kendt sundhedsleverandør af patologitjenester, og i skrivende stund havde det medført, at over 800 planlagte operationer og 700 ambulante aftaler blev aflyst og omarrangeret, herunder nogle potentielt livreddende procedurer. Disse tal vedrører de to mest berørte NHS Trusts - King's College Hospital NHS Foundation Trust og Guy's and St Thomas' NHS Foundation Trust - og kun for 3.-9. juni, så den faktiske forstyrrelse vil sandsynligvis være endnu højere.
Ud over aflysningerne var NHS tvunget til at anke for bloddonorer og frivillige i kølvandet på hændelsen. Selvom den pågældende leverandør, Synnovis, planlægger at genoprette noget it-funktionalitet "i de kommende uger", advarede den om, at "fuld teknisk gendannelse" ville tage længere tid, og afbrydelse er sandsynligvis i "måneder".
Ransomware-aktører retter sig mod sundhedsvæsenet med stigende hyppighed, og hver gang de gør det, er der et potentiale for, at serviceafbrydelser kan have en potentielt livstruende indvirkning på patienterne. I Alabama i 2021, anlagde mor til en ni måneder gammel en retssag mod hospitalet, hvor hendes datter blev født, og hævdede, at det ikke afslørede, at det havde været udsat for et ransomware-angreb på det tidspunkt. Fordi cyberangrebet forstyrrede kritiske operationelle teknologier (OT) enheder, var lægerne ikke i stand til at overvåge barnets tilstand ordentligt, ifølge moderen. Desværre stod hun tilbage med alvorlige hjerneskader og døde ni måneder senere.
25 % chance for dødsfald
Naturligvis er sundhedsvæsenet kun en af mange sektorer for kritisk national infrastruktur (CNI), hvor cyberangreb kan have fatale konsekvenser. Regeringens National Risk Register 2023-rapport anslår, at et alvorligt cyberangreb på CNI har en 5-25 % chance for at ske i løbet af de efterfølgende to år. Det hævder at dette kan resultere i dødsfald på op til 1000 mennesker og tab på op til 2000.
I mange sådanne organisationer er det brugen af OT- og IoT-teknologi, der kan udsætte dem for angreb med farlige kinetiske effekter. Dette kan ses i vandbehandlingsindustrien, hvor en 2016 angreb resulterede i trussel aktører ændre niveauet af kemikalier i drikkevand fire gange før angrebet blev markeret.
Ifølge Anton Shipulin, cybersikkerhedsevangelist hos OT-sikkerhedsspecialist Nozomi -netværk, at udføre målrettede livstruende cyberangreb er udfordrende, men gennemførligt.
"Det kræver flere betingelser for trusselsaktøren, herunder procesviden, tid, penge, personale og et sårbart mål," siger han til ISMS.online.
"Men når livskritiske eller farlige processer er stærkt afhængige af digitale teknologier, kan selv umålrettede angreb eller teknologifejl bringe disse systemer i fare, hvilket potentielt kan forårsage dødsfald eller kvæstelser. Dette gælder især i sektorer som sundhedspleje, industriel robotteknologi og kemikalier."
Sean Tufts, managing partner for kritisk infrastruktur hos Optiv, er enig i, at ransomware stadig er den mest potente trussel mod CNI på grund af det store antal grupper og den lethed, hvormed mange kan udnytte huller i beskyttelsen.
"En hacker, der sprænger en transformerstation eller et raffinaderi i luften, er ikke umuligt, men meget hårdt. Du ville have brug for en meget avanceret hackerorganisation kombineret med et team, der ved, hvordan kraftværker fungerer,” siger han til ISMS.online.
"Det mere sandsynlige scenarie er, at en hacker på lavt niveau sætter en ransomware-pakke på et system og stopper en fysisk proces. Hvis denne proces er et transportbånd, oliepumpe, elektrisk afbryder eller rutsjebanestyring, kan tingene bogstaveligt talt spinde ud af kontrol. Vores branches nuværende motto er 'cybersikkerhed er sikkerhed. Sikkerhed er cybersikker«. Vi ønsker, at udstyret i nærheden af vores teknikers fingre skal være under deres kontrol."
Afvisning af trusler og redning af liv
Alle disse faktorer øger indsatsen betydeligt for cybersikkerhedsledere, der opererer i sådanne industrier. Spørgsmålet bliver så, hvordan kan de øge cyberresiliens til det punkt, hvor risikoen for livet er tilstrækkeligt styret?
"CISO'er bør tænke over, hvordan de ville være i stand til at fortsætte beredskabstjenesten i tilfælde af et længerevarende netværksudfald og indarbejde dette i en hændelsesresponsplan," rådgiver S-RM-medarbejder for hændelsesberedskab, James Tytler.
"De bør også udføre regelmæssige bordøvelser for at sikre, at alle relevante parter er klar over deres roller og ansvar på forhånd," siger han til ISMS.online.
Ifølge Optivs Tufts vil NIS 2 give et nyttigt sæt af bedste sikkerhedspraksis at arbejde hen imod.
"NIS2's fokus på at sætte en cybersikkerhedsbaselinje, som virksomheder kan vokse ind i, er af afgørende betydning for at frigøre budgettet fra virksomheder med historisk lav margin," argumenterer han.
Men i betragtning af Storbritanniens afgang fra EU, vil forordningen ikke gælde for alle organisationer. Alligevel er NIS2 ikke det eneste spil i byen, ifølge Nozomi Networks' Shipulin.
"Næsten alle kritiske infrastrukturindustrier, der bruger cyberfysiske systemer, er styret af lokale regler eller internationale standarder, der omhandler sikkerheden af disse systemer," forklarer han. "Derfor er den bedste tilgang at begynde med at gennemgå cybersikkerhedsretningslinjerne fra industriregulatoren eller sektorspecifikke internationale sammenslutninger."
Best practice standarder som ISO27001 og IEC 62443 kan også hjælpe. Førstnævnte vil afbøde sikkerhedsproblemer i it-systemer, der kunne udnyttes af ransomware-aktører, og sidstnævnte er særligt nyttigt, da det er designet specifikt til OT-miljøer såsom industrielle kontrolsystemer.
"Denne standard blev bygget af praktikere, ikke regulatorer. Dens anvendelighed er meget høj og tilpasset vores branchebehov,” siger Optiv's Tufts.
Med indsatsen så høj, må CISO'er i CNI-sektorer komme tilbage på forreste fod.
