Годината на (крипто)вируса
Рансъмуер атаките са били най-голямата заплаха за компаниите без значение от тяхната локация, сектор и индустрия
Криптовирусите (рансъмуер) са безспорен победител в класацията за най-голяма киберзаплаха през последните 12 месеца, като тази тенденция се очаква да се запази и през следващата година. В същото време променената среда ще постави нови изисквания пред лидерите в киберсигурността, въпреки че те вече отбелязват определени успехи в борбата си със зловредните играчи.
Това са основните акценти от две изследвания на рисковете и перспективите на полето на киберсигурността на глобалния доставчик на одиторски, данъчни и консултантски услуги PricewaterhouseCoopers (PwC), представени по време на организирания от "Капитал" Cybersecurity and Data Protection Forum 2021 от Петко Петков, старши мениджър "Управление на риска" в PwC - България. Според резултатите криптовирусите са били най-голямата заплаха за дигиталната сигурност на организациите в последната година, без значение от тяхната географската локация, сектор и индустрия, а причините за това са много.
Технологично усложняване и демократизация на достъпа
По думите на Петко Петков "този импулс, тази пандемична ситуация с криптовирусите" се дължи на масивната промяна в инструментариума, с който работят субектите на този тип заплахи. "На първо място, за разлика от предходни години, когато тези кампании бяха провеждани ако не тайно, то поне без излишна публичност, в момента те са изключително публични. Субектите на този тип заплахи крадат данните, преди да ги криптират, и след това ги споделят на предварително създадени сайтове, на които, освен че съобщават за успешния край на кампанията, анонсират, че разполагат с въпросната информация. След това се дава срок и стойност на откупа в криптовалута. При отказ данните се публикуват в Тъмната мрежа", обяснява последователността на събитията експертът от PwC.
Това, разбира се, води до сериозно нарастване на напрежението върху организациите. Над тях надвисва както сянката на финансовите загуби, така и тези на регулаторните санкции и репутационния риск. Всичко това от своя страна се добавя към сериозните предизвикателства, които организациите срещат при нормализирането на своите операции след подобна атака.
"Вторият акцент, който прави впечатление, е свързан не само с нарастването на броя на играчите, използващи криптовируси като инструмент, но и темпото, мащаба и скалируемостта на този тип кампании. И тук отново на заден план стои технологична промяна. Тя е свързана с широкото разпространение на рансъмуер партньорските програми", обяснява старши мениджърът "Управление на риска" в PwC.
По думите му голяма част от зловредните групи всъщност са реализирани именно като партньорски програми - разработчикът на кода дава правата за ползване на свои партньори, които извършват същинската атака, и ако тя е успешна, средствата от откупа се депозират в дигитален портфейл, ръководен от разработчика. След това те се разпределят по предварително уговорени механизми между участниците.
Картината на доминацията на криптовируса като основна заплаха за организациите придобива съвсем завършени очертания, когато към посочените две основни тенденции се добави третата - инвестициите, нужни за организирането на подобна кампания, стават все по-малки, тъй като на това поле вече функционира добре организиран модел от типа "като-услуга" - криптовируси-като-услуга (ransomware-as-a-service).
Въпреки всичко добри новини не липсват. "Ако субектите на заплахи стават все повече, усъвършенстват своя инструментариум и все по-успешно компрометират организациите, то от другата страна - частни компании, неправителствени организации, публичния сектор и властите - вече влагат много повече усилия за уплътняване на своите защитни механизми и все по-умели стъпки по отношение на координираното противодействие на киберсигурността", категоричен е Петко Петков и дава пример с налагането на санкции от страна на ЕК срещу организации, отговорни за сериозни пробиви в сигурността и шпионаж, и успеха на Microsoft - с помощта на съдебни дела компанията спечели контрола над инфраструктура и домейни на зловредни групи, които бяха използвани за високопрофилирани кибератаки.
Нови изисквания към защитниците
Постоянно растящият брой на рисковете и тяхната все по-голяма комплексност логично поставят специалистите по киберсигурност в особен фокус за компаниите. Резултатите на PwC сочат, че през следващата година се очаква екипите по киберсигурност да нарастват значително - над 50% от респондентите смятат да разширят екипите си, като 1/5 от тях обмислят този ръст да е с повече от 5%. В същото време обаче изчисленията сочат, че само на американския пазар се очаква 50% от отворените работни позиции в сферата на киберсигурността да останат незаети. Това се дължи на липсата на кадри, която пък на свой ред е свързана с широката палитра от умения, нужни за един ИТ специалист да се превърне в експерт по киберсигурност.
"40% от анкетираните споделят, че аналитичните умения, възможностите да се комуникира и критичното мислене са сред водещите качества, на които трябва да отговаря един кандидат за екип по киберсигурност. Това кореспондира с новата роля на този екип - да бъде партньор на бизнеса, да успява да си съдейства с останалите от организацията, да се наема да решава нерешими досега проблеми, да работи с голям обем комплексна информация. Мениджърът по сигурността вече не е технологичен лидер, а човек, който е склонен да си сътрудничи с останалите бизнес ръководители, да фокусира знания и умения в решаване на реални бизнес проблеми и да добавя реална бизнес стойност за организацията. Техническите умения в крайна сметка могат да се придобият много по-лесно от качества като критично мислене, лидерство, комуникация, аналитичен поглед", обобщава старши мениджърът "Управление на риска" в PwC и дава някои експертни насоки за минималните изисквания за сигурност в една организация: "Фундаментално важно е да се архивират критичните данни и системи и да се използва антивирусен софтуер навсякъде, където това е възможно - работни станции, сървъри и т.н. Компаниите трябва да поддържат системите си актуални и да използват стандартни потребителски профили, а не такива, които дават привилегирован достъп до критична инфраструктура и активи. Последно, но не и по важност, трябва да се използват само оторизираните от организацията приложения."
