Cyberbezpieczeństwo sektora publicznego: analiza zagrożeń w 2022 roku
Według przewidywań analityków z FortiGuard Labs firmy Fortinet rok 2022 będzie dla instytucji sektora publicznego trudny i wymagający pod względem zapewnienia ochrony przed cyberatakami. Aby rzucić nieco światła na tę kwestię, Derek Manky, szef działu Security Insights i Global Threat Alliances w FortiGuard Labs, oraz Jim Richberg, CISO w Fortinet Public Sector, przedstawili swój punkt widzenia na zagrożenia, przed którymi stanie sektor publiczny, a także sposoby obrony przed nimi.
Jakie prognozy dotyczące zagrożeń w sektorze publicznym przedstawia FortiGuard Labs?
Derek Manky: W sektorze publicznym obserwujemy rosnącą liczbę ataków typu APT (Advanced Persistent Threats), a więc zaawansowanych, wyrafinowanych, uporczywych i precyzyjnie ukierunkowanych zagrożeń. Zaczynamy też dostrzegać znacznie więcej inwestycji ze strony cyberprzestępców w fazę rozpoznawczą ataku i jego uzbrojenie. Jest to dosłownie inwestycja, ponieważ od lat czerpią oni ogromne zyski z oprogramowania ransomware. Nazywamy tę konwergencję cyberprzestępstw „zaawansowanymi uporczywymi cyberprzestępstwami” czyli APC (Advanced Persistent Cybercrimes).
Jedną z rzeczy, która w 2022 roku szczególnie może niepokoi podmioty z sektora publicznego, jest bardzo agresywny, złośliwy kod w narzędziach używanych przez cyberprzestępców. Ich przykładem jest ransomware, ale widzieliśmy również szkodliwe oprogramowanie typu wiper, znane też pod nazwą „killware”, które cechuje się wyjątkową destruktywnością. Mam przeczucie, że – biorąc pod uwagę innowacyjność cyberprzestępców – będą oni łączyć funkcje tych narzędzi. Gdy dodadzą killware do swojej strategii, będą mogli niszczyć systemy, a następnie żądać wysokiego okupu w zamian za oszczędzenie pozostałych. W przeszłości widzieliśmy, że taka metoda postępowania dotyczyła zwłaszcza systemów IT, a teraz jest rozszerzana również na systemy OT oraz należące do sektora publicznego.
Jim Richberg: Cyberprzestępcom zawsze opłacało się korzystanie z istniejących eksploitów, o których wiadomo, że działają, nawet jeśli mają 10 lat. Obecnie duże podmioty i rządy, które na bieżąco zabezpieczają systemy za pomocą łatek bezpieczeństwa, będą musiały szczególnie uważać na nowo odkryte podatności. W niektórych przypadkach mogą nawet być zmuszone do stosowania mechanizmu wirtualnego łatania, aby zapewnić ich ochronę.
Derek Manky: Kolejnym obszarem, na który należy zwrócić uwagę, jest infrastruktura. Szczególnie dotyczy to systemów IT i OT, które w przeszłości były odizolowane od siebie, a teraz są połączone. W efekcie są podatne na ataki, na które wcześniej nie były narażone. Na przykład nowoczesne zdalne terminale (RTU) na platformach wydobywczych ropy i gazu stają się połączone dzięki łączom szerokopasmowym i 5G. Obecnie wprowadzana jest również szerokopasmowa łączność satelitarna.
Jim Richberg: Myślę, że nastąpi zmiana sposobu myślenia rządów. Przedstawiciele podmiotów z sektora publicznego, często mówią: „nie jestem producentem, nie mam systemów OT”. Ale faktem jest, że korzystają z połączonych ze sobą inteligentnych budynków, zielonej infrastruktury, kamer wideo do ochrony lub czujników powietrza. Oznacza to obecność w ich sieciach połączonych systemów OT oraz urządzeń z kategorii IoT, bez względu na to, czy zdają sobie z tego sprawę, czy nie. Rządy powinny więc zrozumieć, że muszą bronić się przed zagrożeniami wymierzonymi w systemy OT.
Derek Manky: Dokładnie. A w OT dominującą platformą jest Linux, który jest teraz na celowniku przestępców. Z tego powodu zwiększają się możliwości ataku. Na przykład bazujący na systemie Linux Mirai był najaktywniejszym botnetem, jaki obserwowaliśmy w 2021 roku. A to tylko wierzchołek góry lodowej. Myślę, że podobnych przykładów będzie o wiele więcej.
Jak te zagrożenia odnoszą się do tego, co jest najważniejsze dla rządów?
Jim Richberg: Wdrożenie odpowiednich standardów będzie zależało od poziomu zrozumienia przez rząd środowiska technik operacyjnych i konsekwencji związanych z naruszeniem ich bezpieczeństwa. Myślę, że wyzwania dotyczące cyberbezpieczeństwa staną się dla sektora publicznego coraz trudniejsze. Kiedy mówimy o zagrożeniach skierowanych przeciwko niemu, trzeba pamiętać, że nie jest on jednolity. Rządy centralne zazwyczaj dysponują największymi zasobami finansowymi i wiedzą specjalistyczną, ale nawet one mają problemy z radzeniem sobie z luką kompetencyjną i technologiami. Natomiast jeśli spojrzeć poniżej poziomu krajowego, to widać, że jednostki samorządu lokalnego lub przedsiębiorstwa użyteczności publicznej mają mniej zasobów, aby skutecznie zajmować się cyberbezpieczeństwem. A są tymi szczeblami administracji, z którymi większość ludzi ma styczność w codziennym życiu.
Jakie trendy dotyczące zagrożeń dostrzegacie w mniejszych placówkach sektora publicznego?
Derek Manky: Cyfrowa przestępczość to złożony ekosystem, a model ransom-as-a-service jest jego częścią. Obecnie cyberprzestępcy płacą partnerom prowizje za przeprowadzanie ataków. W związku z tym ich operacje będą bardziej zróżnicowane. Jeśli weźmiemy pod uwagę wszystkie działania, które wchodzą w zakres aktywności cyberprzestępców, takie jak pranie brudnych pieniędzy, to ich sieci partnerskie będą się rozszerzać. Będzie to kolejnym problemem dla sektora publicznego.
Jeśli natomiast chodzi o wywiad i badania nad zagrożeniami, znalezienie odpowiedzialnych za nie ludzi jest celem ostatecznym, ale nie jedynym. Gromadzenie danych na temat przyczyn ataków i atakowanych podmiotów pomoże zespołom ds. bezpieczeństwa zakłócać cyberprzestępcze kampanie. Śledzenie hakerów oraz stosowanych przez nich taktyk ułatwia stworzenie planu określającego co należy zrobić w przypadku zaistnienia kolejnego ataku. Pomocne jest również ustalenie trasy przemieszczania się środków, wliczając w to portfele kryptowalutowe i przepływy walut.