Krajobraz geopolityczny jest coraz bardziej podzielony, a korporacje są wciągane w wir. Kadra kierownicza wyższego szczebla nie tylko stawia czoła zagrożeniom ze strony nieskoordynowanych przestępców – coraz częściej staje się celem cyberataków ze strony wspierane przez państwo grupy hakerskie.
Dla CIO jest to zupełnie inna sytuacja i są chronicznie niedostatecznie przygotowani na nadchodzące zagrożenie, jakie stwarza.
Muszą nie tylko się przygotować – muszą być gotowi na cyberataki o coraz większym wyrafinowaniu i zasięgu. Ta nowa podstawa wojenna musi wiązać się ze zwiększonymi wydatkami na bezpieczeństwo cybernetyczne we wszystkich przypadkach, a zwłaszcza na obronę podatnego na ataki oprogramowania korporacyjnego, które zbyt długo pozostawało niedostatecznie chronione.
Wspierane przez państwo grupy hakerskie nie są niczym nowym i od dziesięcioleci stanowią ostoję narzędzi zbójeckiego narodu. Chiny, Rosja, Korea Północna i Iran regularnie stosowały je przeciwko instytucjom państwowym na Zachodzie.
W 2014 r. Charming Kitten, grupa powiązana z irańskim Korpusem Strażników Rewolucji Islamskiej, atakował personel wojskowy USA i Izraela. W latach 2015–2016 grupa powiązana z rosyjską SVR konsekwentnie atakowała różne sieci rządowe USA.
Zdecydowanie najbardziej znaczącym z nich była działalność Fancy Bear, grupy powiązanej z GRU, współczesnym następcą KGB. W 2016 roku oni włamano się na serwery Narodowego Komitetu Demokratów (DNC). i wyciekły e-maile. Do dziś nie możemy się otrząsnąć po zawirowaniach politycznych, jakie z tego wynikły.
Dyrektorzy generalni uważali, że to przekracza ich kompetencje. To jest świat szpiegów, geopolityki i polityki państwowej, a nie rachunków, klientów i posiedzeń zarządów. Mylili się.
W miarę jak presja geopolityczna stale rośnie, czy to na Ukrainie, Tajwanie, czy na Bliskim Wschodzie, korporacje coraz częściej i szybko stają się celem wyrafinowanych i skoordynowanych ataków ze strony rządowych grup hakerskich. Ataki te nie są już wyłącznie przedmiotem zainteresowania organów rządowych.
W zeszłym tygodniu nawet Microsoft odkrył atak sponsorowanych przez państwo rosyjskich hakerów Nobelium, którzy skutecznie szpiegowali jego kadrę kierowniczą przez prawie dwa miesiące.
To Microsoft, międzynarodowa firma i wieloletni lider w tworzeniu oprogramowania z wysoce zaawansowanym zespołem ds. bezpieczeństwa cybernetycznego. Byli całkowicie odsłonięci przez całe dwa miesiące. Można zatem śmiało powiedzieć, że większość firm po prostu nie jest przygotowana na ten nowy rodzaj zagrożeń.
Problem polega na tym, że korporacyjna cyberobrona zwykle koncentruje się na zgodności. Pracownicy są proszeni o zmianę haseł i uczą, jak rozpoznać wiadomość e-mail typu phishing, co zwykle wystarcza, aby zapobiec nieskomplikowanym atakom ze strony złośliwych ugrupowań typu „samotny wilk”.
Ale teraz stoją przed grupami, które mają za sobą finansową i techniczną siłę państwa narodowego. Poleganie na obronie opartej na zgodności jest w tym przypadku jak przygotowanie się na huragan poprzez zakup parasola.
Chociaż kierownictwo upewnia się, że pracownicy aktualizują dane logowania, grupy wspierane przez państwo chińskie lub rosyjskie mogły złamać zabezpieczenia ich najbardziej podstawowych systemów, takich jak oprogramowanie sprzętowe.
Strategie oparte na zgodności całkowicie odsłoniły oprogramowanie sprzętowe. Urządzenia w odległych biurach można otworzyć. Zapewnia to zaufaną relację domeny, z którą można wtopić się w normalny ruch i przenieść się do siedziby głównej firmy. To całkowicie omija systemy obronne oparte na najlepszych praktykach pracowników.
Ten otwarty gol nie pozostał niezauważony. Pod koniec ubiegłego roku A wspólne doradztwo w zakresie cyberbezpieczeństwa opublikowane przez amerykańską Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), NSA i FBI, szczegółowe ataki przeprowadzone przez grupę cybernetyczną znaną jako BlackTech, wspieraną przez państwo chińskie. Firma BlackTech zmodyfikowała routery Cisco i zainstalowała niestandardowe oprogramowanie sprzętowe, aby uzyskać trwały i niewykryty dostęp administratora.
Menedżerowie działają w nowym środowisku cyberbezpieczeństwa i mają przewagę merytoryczną. Atak ten był strzałem ostrzegawczym. Grupy wspierane przez państwo, których celem jest oprogramowanie firmowe, stanowią zagrożenie o rząd wielkości większe niż poprzednie obawy dotyczące bezpieczeństwa cybernetycznego. Ale jak wypełnić lukę?
Pierwszym krokiem jest zwiększenie ogólnego finansowania bezpieczeństwa cybernetycznego. Słabo finansowane i niedostatecznie obsadzone zespoły IT stwarzają niedopuszczalny i niepotrzebny poziom ryzyka. Za tymi grupami hakerskimi stoją finanse państwa. Pierwszą linią obrony przedsiębiorstw muszą być zespoły ds. cyberbezpieczeństwa dysponujące kompleksowymi zasobami, w których pracują czołowi technicy.
Drugi krok to zmiana strategii. Taktyki oparte na zgodności są neolityczne w obliczu ataków typu side-channel, backdoor i cross-site scripting wykorzystujących sztuczną inteligencję, których celem jest oprogramowanie sprzętowe. Liderzy korporacji muszą wdrożyć strategie wyprzedzające, które kompleksowo chronią ich systemy.
Mając zdrowszy budżet, CIO mogą wdrożyć szereg środków w celu ulepszenia swojego oprogramowania sprzętowego. Mogą one obejmować podpisywanie kodu, aby zapobiec instalacji zmodyfikowanego oprogramowania sprzętowego, kompleksową segmentację sieci w celu zminimalizowania ryzyka stwarzanego przez pojedyncze naruszenie lub regularne procesy bezpiecznego rozruchu w celu sprawdzenia autentyczności oprogramowania sprzętowego.
Grupy wspierane przez państwo zwiększyły presję na specjalistów i kadrę kierowniczą ds. bezpieczeństwa cybernetycznego. Ale to nie powód, aby oddać im terytorium.
Kierownictwo musi natychmiast podjąć wyzwanie i rozpocząć odpowiednie finansowanie cyberbezpieczeństwa. To ich obowiązek powierniczy. Ich CIO mogą następnie zostać spuszczeni ze smyczy i opracować oraz wdrożyć kompleksowe zabezpieczenia oprogramowania sprzętowego. To właśnie ci hakerzy mogą znaleźć się pod presją.
Michael Marcotte jest ekspert w zakresie tożsamości cyfrowej, cyberbezpieczeństwa i technologii Business Intelligence. Był pionierem roli CDO w przedsiębiorstwie firmy EchoStar zajmującej się komunikacją satelitarną. Od 2014 r. pracował na różnych stanowiskach w obszarach cyberbezpieczeństwa i kapitału wysokiego ryzyka, a także był współzałożycielem amerykańskiego Narodowe Centrum Cyberbezpieczeństwa (NCC).