09.01.2024 | Запрет на выплаты вымогателям: как отказ от выкупа усилит атаки на критическую инфраструктуру |
Общий запрет на уплату выкупа вымогателям, который стал объектом обсуждения на этой неделе, кажется хорошей идеей. Ликвидировав вымогательство как источник преступного дохода, количество атак, безусловно, сократится. Нужны исключения из правилК сожалению, запрет не сработает ни сейчас, ни в обозримом будущем, по ряду причин. Более того, запрет неизбежно приведет к увеличению числа атак на объекты критической инфраструктуры, такие как больницы, электросети, системы водоснабжения и т.д., что, конечно, не очень хорошо. Запрет на выплаты должен будет включать исключение для инцидентов, когда неуплата выкупа представляет серьезный риск для жизни, здоровья людей или угрозу террористической атаки. Другими словами, должно быть исключение для объектов критической инфраструктуры. Такие исключения есть в новых правилах Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) о раскрытии информации о киберинцидентах. Комиссия разрешает отсрочку сообщения об атаке, если ее раскрытие «представляет существенный риск для национальной безопасности или общественной безопасности». Исключение для объектов критической инфраструктуры имеет смысл. Никто не будет обвинять больницу или выступать за то, чтобы позволить пациентам умереть вместо того, чтобы заплатить выкуп. Похожий аргумент можно привести в отношении газо- и электроснабжающих компаний: они не могут игнорировать потребность в отоплении жилых помещений зимой. Но это также означает, что злоумышленники просто переключатся на эти сектора, где отказ выполнить требования вымогателей может быть вопросом жизни и смерти. Повышенное внимание к медучреждениямМы уже видим, что преступники все чаще сосредотачиваются на больницах и медицинских учреждениях. В 2023 году хакерские группировки взломали 141 больницу только в США (46 медицинских систем), и в 32 из 46 случаев были украдены данные пациентов, включая защищенную медицинскую информацию. Атаки вызвали перебои в работе, продолжавшиеся неделями, перенаправление скорых и задержки в оказании медицинской помощи пациентам. Хотя все это должно стать сигналом тревоги для любой организации критической инфраструктуры, предотвращение дальнейшего хаоса с программами-вымогателями требует решения, которое больше связано с готовностью к чрезвычайным ситуациям, чем просто с запретом выплат преступникам. Возможность международного регулированияЕсть также проблема правоприменения. Такой запрет должен быть универсальным, иначе группы вымогателей просто сосредоточатся на жертвах в других географических регионах, где выплаты не запрещены. Такой уровень сотрудничества между правительствами крайне маловероятен, а если он и произойдет, препятствия координированного правоприменения и финансирования немедленно разрушат сотрудничество. Предположительно, любой вид международного законодательства должен приниматься ООН, что не всегда гарантирует глобальный мандат с реальными полномочиями. Более того, решение ООН может превратиться в попытку переписать международное право странами, которые уже предоставляют убежище вымогателям и используют незаконные доходы для финансирования государственного терроризма и программ по созданию оружия. Наглядный пример – обсуждаемый договор ООН о киберпреступности. Глобальный подход к борьбе с киберпреступностью необходим, и в теории это хорошая идея. Основная цель договора – разработать мировые стандарты, касающиеся проблемы транснациональных интернет-преступлений. Однако эксперты боятся, что договор может дать правительствам слишком большие полномочия по слежке в интернете и стать орудием репрессий. Слабая киберзащита как стимул для вымогателейЕще одно препятствие – отсутствие зрелости систем безопасности в разных секторах. Это особенно тревожно, учитывая, что два известных своим недофинансированием и нехваткой персонала в области информационной безопасности сектора – местные органы власти и школы – все чаще становятся мишенью для вымогателей. Некоторые из жертв программ-вымогателей в 2023 году в упомянутых секторах включают города Окленд в штате Калифорния, который объявил чрезвычайное положение, а также Даллас в штате Техас, IT-системы которого были парализованы в результате кибератаки. По подсчетам компании Emsisoft, в 2023 году жертвами группировок вымогателей стали не менее 108 школьных округов и 72 ВУЗа по сравнению с 45 и 44 соответственно в 2022 году. И около 95 государственных органов испытали на себе атаки программ-вымогателей в 2023 году по сравнению с 106 в 2022 году. При этом 55 из 106 учреждений использовали одного и того же поставщика IT-услуг. Государственные и местные органы власти, а также школы собирают огромное количество конфиденциальной информации, которая может быть финансово выгодна преступникам, а у этих организаций нет ресурсов, чтобы защищаться от программ-вымогателей. Просто сделать для них незаконной выплату выкупа кажется особенно жестоким, если им не будет оказана необходимая профессиональная и финансовая поддержка для укрепления сетей в первую очередь. Гранты смогут помочьСтоит отметить, что в этом направлении есть почти $375 млн. грантов, доступных для государственных, местных и территориальных органов власти по всем США для решения проблем кибербезопасности. Кроме того, специальная программа Федеральной комиссии по связи США (Federal Communications Commission, FCC) направлена на предоставление до $200 млн. школам и библиотекам в сельских и малообеспеченных районах и сбор информации о «кибербезопасности и услугах межсетевого экрана» для защиты этих учреждений от кибератак. Может ли существовать закон на данный момент?Тем не менее, запрет на уплату выкупа вымогателям становится более приемлемым, чем даже пару лет назад, и нынешний международный саммит Инициативы по борьбе с программами-вымогателями (Counter Ransomware Initiative, CRI ), прошедший в Белом Доме, является одним из таких признаков. На мероприятии США убедили все 50 стран-участниц подписать коллективное заявление, в соответствии с которым они согласились не выплачивать выкуп вымогателям. Страны также обязались лучше отслеживать криптовалютные платежи киберпреступникам и улучшить возможности обмена информацией. CRI была запущена в 2021 году с 31 участником и с тех пор расширилась до 47 членов. Внимание к проблеме выросло после того, как правительство Коста-Рики отказалось выплатить $10 миллионов выкупа группировке в апреле 2022 года после кибератаки, которая парализовала деятельность страны. Хотя обещание не платить распространяется только на национальные правительства, а не на частные компании, оно не могло получить необходимую поддержку даже год назад. Как не стать жертвой вымогателей?Обеспечьте безопасность ваших сетей уже сейчас. Не будьте легкой добычей. Реализуйте все те базовые меры кибергигиены, о которых ИБ-специалисты говорят уже много лет: используйте надежные пароли и шифрование данных, внедрите политику Zero Trust, сегментацию сети и многофакторную аутентификацию, устанавливайте обновления ПО и регулярно делайте резервные копии. |
Проверить безопасность сайта