Атака SolarWinds подчеркивает необходимость принятия решения о кибербезопасности на уровне правления

Взлом SolarWinds, обнародованный в декабре 2020 года, подчеркивает легкость, с которой цепочки поставок программного обеспечения и систем могут стать легкой мишенью, если в организации нет хорошей политики кибербезопасности.

В официальном заявлении Агентства по кибербезопасности и безопасности инфраструктуры (CISA) говорится, что компрометация правительственных агентств США, объектов критической инфраструктуры и организаций частного сектора со стороны субъекта повышенной устойчивой угрозы (APT) началась по крайней мере в марте 2020 года. И что APT В ходе этих вторжений субъект продемонстрировал терпение, оперативную безопасность и сложную торговлю. «CISA ожидает, что удаление этого злоумышленника из скомпрометированной среды будет очень сложным и трудным для организаций». Подробные векторы заражения и меры по предотвращению взлома перечислены в заявлении здесь.

Чтение его деталей подтверждает многое из того, что нам рассказывают на брифингах на embedded.com и EE Times по темам безопасности Интернета вещей (IoT) и кибербезопасности от экспертов по безопасности полупроводниковой отрасли и от компаний, предлагающих безопасные элементы, устройства, обеспечение и безопасность. управление жизненным циклом.

Меня действительно удивляет, что такие нарушения могут происходить, когда правительственные ведомства по всему миру настолько параноидально относятся к безопасности, но при этом становятся полностью уязвимыми из-за сторонних систем, программного обеспечения и поставщиков устройств, которые, похоже, пропускают надлежащие механизмы и политики безопасности. Я вспоминаю, что даже работая подрядчиком в британском правительстве несколько лет назад, мы всегда должны были помнить об объеме обучения по вопросам безопасности и сознательности. Только один крошечный пример - насколько я стал параноиком, никогда не оставляя свой ноутбук в запертой машине или другом месте во время деловых поездок. Он всегда должен был быть на мне или рядом со мной, чтобы я мог его видеть. Конечно, было много других вещей, за которыми мы должны были внимательно следить.

Но нарушение SolarWinds - это, скорее, фундаментальный политический вопрос:вопрос о том, должна ли безопасность быть прерогативой разработчиков аппаратных и программных систем или же ее следует воспринимать более серьезно на более высоком уровне в организации.

Следовательно, настало время, чтобы консультант по корпоративным финансам Woodside Capital Partners подготовил отчет, в котором излагаются «семь уроков для генеральных директоров, директоров, членов совета директоров и частных инвестиционных компаний». В отчете, написанном ее управляющим директором Нишантом Джадхавом, говорится, что атака на цепочку поставок SolarWinds подчеркнула необходимость более глубокого понимания кибербезопасности на уровне руководства и совета директоров. В мире сложных постоянных угроз, которые потенциально скрываются в большинстве бизнес-сред, невидимых для инструментов наблюдения, становится все более важным защитить репутацию и ценности предприятия перед лицом неизвестности.

В нем говорится, что главное, что нужно задать руководителям, консультантам и инвесторам, - это может ли компания ответить на уровне совета директоров, есть ли у нее кибер-гарантия. Вот его семь уроков.

Урок первый:примите образ мышления прежде всего безопасности, а не соответствия - сверху вниз

Ориентация на безопасность подразумевает, что высшее руководство и совет директоров понимают риски, связанные с этой конкретной компанией. Это также означает, что компания понимает риски, которые она создает для своих клиентов и партнеров. С другой стороны, установка на соответствие требованиям - это гонка за то, чтобы просто сделать минимум, чтобы получить проходной балл. Мышление, ориентированное на соблюдение требований, является регрессивным в том смысле, что оно измеряет ваш базовый уровень в день атаки и дает вам уверенность в течение фиксированного периода времени в будущем. К сожалению, это неудачная стратегия защиты кибербезопасности, поскольку угрозы постоянно развиваются и становятся все более изощренными с участием государственных противников. Группа исполнительного руководства вместе с советом директоров должны ежеквартально утверждать, что представляет собой угроза для компании.

Урок второй:директора по информационной безопасности (CISO) должны быть частью исполнительного руководства, а не просто подчиняться главе отдела информационных технологий

Хорошие директора по информационным технологиям обучены думать о текущих векторах угроз и меняющихся поверхностях атак для вашего бизнеса в целом. Это включает в себя непреднамеренную утечку данных из рядов, с которыми сталкиваются ваши клиенты, риски для клиентов, связанные с использованием ваших продуктов, и риски вашей компании при развертывании технологий для собственного использования. В результате, директор по информационной безопасности должен касаться всех аспектов бизнеса и иметь такой диапазон влияния, как линейный руководитель, чтобы требовать изменений на атомарном уровне. Директор по информационной безопасности должен нести ответственность за то, чтобы их рекомендации проникли в ряды сотрудников, а постоянную защиту и подверженность рискам можно было измерить в любой момент времени. Это звучит обременительно и может быть политическим, но ответственность в результате атаки, которая ослепляет компанию и не может ее сдержать, может иметь разрушительные последствия - временно на рынках капитала и навсегда с точки зрения репутации.

Урок третий:ключевые показатели эффективности для руководителей по информационной безопасности должны включать постоянную защиту и исправление

Кажется обычной практикой увольнять CISO, как только в сети обнаруживается новое нарушение, но такой образ мышления неэффективен и архаичен. Вместо этого это разговор об ответственности директора по информационной безопасности после угрозы, которую необходимо изменить. Наделите директора по информационным технологиям бюджетом на безопасность, который соответствует уровню безопасности компании. Кроме того, измеряйте их успех не только по времени безотказной работы бизнеса в конкретном квартале, но и по осведомленности, сформированной в каждой фракции бизнеса с течением времени. Добавьте к этому сочетанию KPI о том, как бизнес будет реагировать на угрозу, которая исходит за пределами вашей собственной организации, например, в случае с SolarWinds. Смоделируйте такое поведение и его влияние на ваших клиентов, вашу репутацию и, как следствие, вашу оценку / курс акций.

Урок четвертый:надежный поставщик решений / партнер не означает надежного партнера

Атака на цепочку поставок SolarWinds доказала, что угрозы могут выходить за рамки ваших собственных передовых методов обеспечения безопасности. По сути, ни один партнер не является надежным партнером, независимо от того, насколько велика компания и насколько уважаемы ее методы обеспечения безопасности. Создание сети с «воздушным зазором», в которой инкубируются новые продукты, может снизить проникновение угроз с помощью решений надежных партнеров.

Урок пятый:угроза безопасности - неправильный рычаг повышения прибыльности

Woodside Capital (WCP) предполагает, что ключевой метрикой оценки компании является ее оценка состояния безопасности - «кибер-оценка». Кибер-оценка оценивается по инвестициям в технологии и обучение для текущей политики защиты собственных активов компании, а также по рискам для клиентов и партнеров компании. Ключевым фактором в этом кибер-уровне будут также меры по исправлению положения, которые компания уже предприняла перед лицом предыдущих угроз, и время, необходимое для реагирования (с учетом серьезности угрозы). Чем выше кибер-рейтинг, тем выше оценка компании. Фирмы прямых инвестиций (PE), специализирующиеся на компаниях, занимающихся кибербезопасностью, должны уделять больше внимания кибер-классам своих портфельных компаний и не отказываться от них ради прибыльности в краткосрочной перспективе. WCP рекомендует примерно 5000 частных компаний, занимающихся кибербезопасностью, создать такую ​​версию своей кибербезопасности, которая суммирует их постоянную приверженность кибербезопасности и вовлеченность на уровне их исполнительного руководства для достижения этих результатов. В отсутствие общеотраслевого стандарта легче определить базовый набор руководящих принципов, которые исполнительное руководство и правление могут продемонстрировать, что отличает их от компании, уделяющей первоочередное внимание безопасности.

Урок шестой:киберстрахование требует более пристального внимания на уровне правления

Большинство полисов киберстрахования обеспечивают покрытие финансовых потерь в результате утечки данных, несанкционированного доступа или раскрытия личной или защищенной информации. Некоторые страховые компании предлагают дополнительные подтверждения или конкретные положения политики и покрытие убытков, вызванных различными другими способами, такими как социальная инженерия (т. Е. Нарушение, вызванное фишингом), конкретное покрытие убытков по кредитным картам и атаки отказа в обслуживании, такие как программы-вымогатели и многое другое. Но такая атака на цепочку поставок меняет правила игры. Это нельзя списать со счетов как стихийное бедствие, поскольку существуют настоящие преступники, причиняющие вред бизнесу вне контроля над управляемыми инструментами, которые может использовать благоразумный человек. Директор по информационной безопасности должен привлечь совет директоров к утверждению новых полисов киберстрахования, которые включают подверженность злонамеренным государственным субъектам и атакам на цепочки поставок. Эти политики должны охватывать более широкий диапазон времени, поскольку последующий масштабный ущерб от этих угроз может растянуться на многие месяцы и годы после атаки.

Урок седьмой:постоянная защита репутации

Несмотря на все усилия, взлом может в любой момент ударить по компании и оказать ощутимое влияние на бизнес. Вот очевидные вопросы:

• Принимает ли SolarWinds удар в этом случае?
• Страдает ли Microsoft из-за того, что ее исходный код был раскрыт из-за использования программного обеспечения SolarWinds Orion?
• Может ли SolarWinds вернуть утраченную репутацию?
• Будет ли Microsoft хорошим покупателем для охранных компаний?

Ответ кроется в постоянных действиях, предпринимаемых исполнительным руководством и советом директоров, чтобы продемонстрировать, что кибербезопасность является основным отличительным признаком их компании - безопасность прежде всего, кибер-оценки. Что они извлекли уроки из своих собственных ошибок и ошибок других, чтобы постоянно улучшать позицию компании в отношении угроз и уменьшать возможности для атак для себя и своих клиентов. Это включает в себя лучшее страхование от киберпространства и лучшую политику исправления ошибок со стороны компании для своих клиентов. Важно подчеркнуть, что компания продолжает инвестировать и обучать своих сотрудников вопросам кибербезопасности. По сути, если компания создала для себя кибербезопасность и может передать ее своим клиентам и партнерам, у нее будет больше возможностей для защиты своей репутации в долгосрочной перспективе.

Далее в отчете WCP перечисляется ряд компаний, находящихся на стадии роста, которые предлагают строительные блоки целостной стратегии кибербезопасности, от управления рисками и устранения угроз до киберстрахования. Отчет доступен здесь.