Критичні інфраструктури (KRITIS) у контексті кібератак: чи всі захисні заходи відповідають новому Закону про безпеку ІТ 2.0? Закон про безпеку ІТ 2.0 вніс значні корективи для операторів критичної інфраструктури.
Виробники та комунальні підприємства у сферах енергетики, водопостачання, фінансів та охорони здоров’я, а також промислові компанії все частіше стають об’єктами зловмисників. Результат: виробничі втрати на мільйони і вузькі місця постачання, включно з небезпекою для життя людей. Нещодавні приклади включають атаки на найбільший трубопровід у Сполучених Штатах, орган охорони здоров’я Ірландії та інцидент на хорватській підстанції, який поставив Європу на межу знеструмлення.
Атаки KRITIS вимагають дій
Кібератаки на муніципальні адміністрації Німеччини, такі як Анхальт-Біттерфельд, Шверін і Віттен, також підкреслили вразливість німецької влади, де значна частина ІТ-систем вийшла з ладу або була вимкнена в екстреному випадку. Наскільки швидко може зупинитися виробництво продуктів харчування, стало зрозуміло завдяки кібератаці на третій за величиною австрійський молочний завод, під час якої постраждали всі сфери компанії, від виробництва до логістики та комунікацій.
Крім того, напад на станцію очищення підземних вод Олдсмар у Флориді продемонстрував потенційно небезпечні для життя наслідки скомпрометованої критичної інфраструктури. Зловмисники успішно проникли в комп’ютерну систему, яка керувала очисною станцією, і дистанційно маніпулювали комп’ютером, щоб змінити хімічний баланс водопостачання, що могло завдати серйозної шкоди людині.
Кібервійна: коли партнер по переговорах відсутній
На тлі цієї зростаючої кількості атак оператори критичної інфраструктури та компанії, які мають особливе економічне значення, повинні боротися не лише зі спробами шантажу, а й з темою кібервійни. Тому що якщо кіберзлочинці вимагають лише викуп, організації можуть принаймні запровадити відповідні вказівки щодо дій заздалегідь, якщо, наприклад, станеться успішна атака програм-вимагачів.
Однак, якщо кібератака є суто політично вмотивованою, а організація була обрана ворожою національною державою лише як випадкова жертва для показу прикладу, немає партнера для переговорів, і збиток може не лише мати величезний вплив на бізнес-спроможність, але й також набувають масштабів для суспільства в цілому.
Гібридна війна з цифровими атаками
Ця нова гібридна війна очевидна в українсько-російському конфлікті, в якому цифрові атаки передували військовим і можуть продовжуватися в майбутньому. Уже в 2015 році Росії вдалося масштабною кібератакою паралізувати частину української енергомережі, залишивши взимку без світла чверть мільйона українців. За місяць до початку війни у січні 2022 року Microsoft виявила деструктивне шкідливе програмне забезпечення wiper у десятках критичних систем українських державних установ і організацій. За словами українського уряду, є чіткі ознаки того, що за цими атаками стоїть Росія. Крім того, не можна виключити, що подібні інциденти можуть поширитися далеко за межі національних кордонів України. Органи безпеки Німеччини вже закликали операторів критичної інфраструктури озброїтися проти можливих кібератак.
Таким чином, у сфері KRITIS дуже важливо впровадити послідовну інтегровану концепцію безпеки як для ІТ-, так і для OT-інфраструктури як наскрізного рішення не лише через грошово-мотивовані атаки, але й щодо національної безпеки, що включає продукти , процеси та кваліфіковані фахівці з безпеки в усіх сферах.
Нова правова база для критичної інфраструктури
Законодавець відреагував на нові цифрові виклики. У результаті оператори критичної інфраструктури та компанії, що представляють особливий суспільний інтерес, стикаються з серйозними проблемами не лише через збільшення кількості кіберзагроз, але й через оновлення правової бази на німецькому та європейському рівнях.
Згідно з німецьким Законом BSI, організації є операторами критичної інфраструктури, якщо вони належать до одного із семи секторів енергетики, охорони здоров’я, інформаційних технологій і телекомунікацій, транспорту та дорожнього руху, водопостачання, фінансів і страхування та харчування, надають важливі послуги та, в роблячи це, дотримуйтесь порогів перевищення BSI -KRITIS.
Додаткові законодавчі вимоги до операторів KRITIS у 2022 році
У Німеччині другий закон про підвищення безпеки систем інформаційних технологій — коротко: Закон про безпеку ІТ 2021 — набув чинності в травні 2.0 року як доповнення до Закону BSI. Це розширило групу критичної інфраструктури, включивши до неї сектор утилізації побутових відходів. Крім того, інші компанії в так званому «особливому суспільному інтересі», такі як виробники озброєнь або компанії, які мають особливо велике економічне значення, також повинні будуть впроваджувати певні заходи ІТ-безпеки в майбутньому.
Закон про безпеку ІТ 2.0 вніс значні зміни для компаній, а в деяких випадках також для операторів критичної інфраструктури:
Оператори критичної інфраструктури повинні впровадити системи виявлення атак не пізніше 1 травня 2023 року.
Крім того, оператори повинні повідомляти Федеральне міністерство внутрішніх справ про заплановане початкове використання критичних компонентів, наприклад, якщо виробник контролюється третьою країною або суперечить цілям політики безпеки Федерального уряду Німеччини, ЄС або НАТО.
Компанії, що становлять особливий суспільний інтерес, зобов’язані регулярно подавати самодекларацію. Вони повинні пояснити, які сертифікації у сфері ІТ-безпеки були проведені за останні два роки та як їхні ІТ-системи були захищені.
Крім того, Європейська комісія представила пропозицію щодо реформування Європейської директиви NIS (NIS-2) і «Директиви щодо стійкості критичних об’єктів» для покращення цифрової та фізичної стійкості критичних об’єктів і мереж. Метою цих пропозицій є мінімізація поточних і майбутніх ризиків. Таким чином, впровадження цих європейських інструкцій може призвести до повторного перегляду Закону про безпеку ІТ 2.0.
Як виглядає комплексний захист критичної інфраструктури?
Виробникам і постачальникам у секторах енергетики, водопостачання та охорони здоров’я, а також промисловим компаніям, які потребують захисту своїх ІТ і технологій керування від кібератак, потрібні інтегровані рішення, які відповідають Закону про безпеку ІТ 2.0/BSI Act та ISO 27000 стандарти стану інформаційної безпеки. З точки зору технології, такі компетенції повинні бути пов’язані, щоб сформувати надійну мережу безпеки від атак:
Модулі безпеки для захисту критичної інфраструктури
- Аналіз даних журналу (LDA): Аналіз даних журналу, також відомий як інформація про безпеку та керування подіями (SIEM), — це збір, аналіз і кореляція журналів із різноманітних джерел. Це призводить до сповіщень про проблеми безпеки або потенційні ризики.
- Управління вразливістю та відповідність (VMC): Управління вразливістю забезпечує безперервне сканування внутрішніх і зовнішніх уразливостей із комплексним виявленням, перевіркою відповідності та тестуванням для повного покриття. У рамках відповідності програмного забезпечення авторизоване використання програмного забезпечення для кожного сервера або групи серверів визначається за допомогою набору правил і постійного аналізу. Змінене програмне забезпечення можна швидко розпізнати.
- Моніторинг стану мережі (модуль OT): Це використовується для повідомлень про зв’язок у реальному часі, який вказує на порушення безпомилкової роботи. Таким чином умови технічного перевантаження, фізичні пошкодження, неправильні конфігурації та погіршення продуктивності мережі розпізнаються негайно, а джерела помилок визначаються безпосередньо.
- Аналітика мережевої поведінки (NBA): За допомогою аналізу мережевої поведінки виявлення небезпечних шкідливих програм, аномалій та інших ризиків у мережевому трафіку можливе на основі механізмів виявлення на основі сигнатур і поведінки.
- Виявлення кінцевої точки та відповідь: Endpoint Detection and Response означає аналіз, моніторинг і виявлення аномалій на комп’ютерах (хостах). З EDR забезпечуються дії активного захисту та миттєва оповіщення.
Через складність подальшу обробку важливої для безпеки інформації з цих модулів здійснюють фахівці з безпеки. Ви автоматично оцінюєте та розставляєте пріоритети отриманих знань. Це є основою для початку правильних контрзаходів. Нарешті, експерти з безпеки надають доступ до всієї інформації в зрозумілий спосіб на центральному порталі, до якого відповідні зацікавлені сторони, включаючи команди ІТ та ОТ, а також керівництво, мають доступ або з якого вони регулярно отримують персоналізовані звіти, які вони можуть зрозуміти.
європейські технології безпеки
Незважаючи на те, що використання європейських технологій безпеки не закріплено в законі BSI, це рекомендовано операторам KRITIS і компаніям, які представляють особливий суспільний інтерес, щоб мати можливість легко відповідати наступним вимогам законодавства:
Відповідність Загальному регламенту захисту даних, а також цілісність, автентичність і конфіденційність ІТ-систем
Оператори KRITIS, як і компанії в усіх інших секторах, підпорядковані вимогам Загального регламенту захисту даних ЄС (GDPR) і повинні завжди їх дотримуватися та відповідним чином захищати.
Крім того, Закон про BSI (§ 8a Параграф 1 BSIG) вимагає від операторів критичної інфраструктури надати BSI належний доказ своїх запобіжних заходів, щоб уникнути порушення доступності, цілісності, автентичності та конфіденційності їхніх систем, компонентів або процесів інформаційних технологій, які важливі для функціональності критичної інфраструктури, якою вони керують, є актуальними.
Алі Карл Гюлерман, генеральний директор і генеральний директор Radar Cyber Security (Зображення: Radar Cyber Security).
З європейськими постачальниками послуг безпеки, чиї послуги базуються на власних технологіях, розроблених у Європі, відповідність вищезазначеним вимогам легко реалізувати, оскільки вони підпорядковуються найвищим стандартам захисту даних. Окрім походження постачальника кібербезпеки, компанії KRITIS також повинні звернути увагу на спосіб налаштування програмного забезпечення безпеки та збір даних безпеки. Щоб забезпечити найкращу безпеку даних, ми рекомендуємо налаштувати локальні рішення як найбезпечнішу форму розгортання. Навіть якщо тенденція зростає до хмари, це слід розглядати критично з огляду на високу чутливість даних у зоні KRITIS.
Критичні компоненти: Специфікації для використовуваних виробників
Використання європейських технологій безпеки також полегшує тестування критичних компонентів BSI відповідно до § 9b BSIG. Наприклад, BSI може заборонити початкове використання критичного компонента, якщо
- Виробник прямо чи опосередковано контролюється урядом, включаючи інші урядові установи чи збройні сили, третьої країни,
- Виробник був або вже залучений до діяльності, яка негативно вплинула на громадський порядок чи безпеку у Федеративній Республіці Німеччина чи іншій державі-члені Європейського Союзу, Європейської асоціації вільної торгівлі чи Північноатлантичного договору чи їхніх установ,
- Використання критичного компонента не узгоджується з цілями політики безпеки Федеративної Республіки Німеччина, Європейського Союзу чи Північноатлантичного договору.
Сильна кіберстійкість є основою для організацій KRITIS
Атаки на критичну інфраструктуру є прибутковими для кіберзлочинців. У той же час вони містять особливо високий потенціал для шкоди громаді: напр.
Тому для організацій KRITIS важливо обирати постачальників засобів захисту для своїх заходів захисту, які повністю відповідають вимогам стандартів BSI та ISO 27000 і в той же час дотримуються найвищих європейських стандартів захисту даних. Передумовою має бути не лише уникнення штрафів, але, зокрема, забезпечення ефективного та стійкого захисту систем ІТ та ОТ. Однак сильна кіберстійкість проти атак ніколи не ґрунтується лише на технологіях безпеки, а завжди включає правильні процеси та кваліфікованих спеціалістів. Лише за допомогою цієї тріади продуктів, процесів і експертів можна отримати 360-градусний огляд усієї інфраструктури організації, щоб забезпечити цілісне раннє виявлення та швидке реагування на кіберзагрози.
Більше на RadarCS.com
Про Radar Cyber Security Radar Cyber Security керує одним із найбільших центрів кіберзахисту в Європі в центрі Відня на основі власної технології Cyber Detection Platform. Керуючись сильним поєднанням людських знань і досвіду в поєднанні з останніми технологічними розробками десятирічної науково-дослідної роботи, компанія поєднує комплексні рішення для завдань, пов’язаних із безпекою ІТ та ОТ, у своїх продуктах RADAR Services і RADAR Solutions.