Wielkiej Brytanii krytyczna infrastruktura krajowa (CNI) stoi w obliczu „trwałego i znaczącego” zagrożenia ze strony państwowych ugrupowań zagrażających, które agresywnie zwiększają aktywność, i musi ściślej współpracować z sojusznikami i przemysłem, aby przeciwdziałać „definiującym epokę” cyberwyzwaniom, twierdzi brytyjski Narodowe Centrum Cyberbezpieczeństwa (NCSC).
W opublikowanym dzisiaj najnowszym rocznym przeglądzie obejmującym okres od 1 września 2022 r. do 31 sierpnia 2023 r. NCSC podkreśliło coraz bardziej nieprzewidywalny krajobraz zagrożeń, spoglądając wstecz na rok, który na długo zostanie w pamięci jako jeden z chaos geopolityczny w którym do świadomości głównego nurtu weszły narzędzia zawierające elementy sztucznej inteligencji (AI).
NCSC ostrzegło, że Wielka Brytania musi przyspieszyć swoje prace, aby dotrzymać kroku zmieniającym się zagrożeniom, szczególnie pod względem zwiększania odporności cybernetycznej w takich branżach jak zaopatrzenie w energię i wodę, łączność, logistyka i transport oraz usługi finansowe.
„W zeszłym roku nastąpiła znacząca ewolucja zagrożenia cybernetycznego dla Wielkiej Brytanii – nie tylko ze względu na trwającą inwazję Rosji na Ukrainę, ale także ze względu na dostępność i możliwości wschodzących technologii” – powiedziała dyrektor generalna NCSC Lindy Cameron.
„Jak pokazuje nasz coroczny przegląd, NCSC i nasi partnerzy wspierali rząd, sektor publiczny i prywatny, obywateli i organizacje każdej wielkości w Wielkiej Brytanii w celu podniesienia świadomości na temat zagrożeń cybernetycznych i poprawy naszej zbiorowej odporności” – dodała.
„Poza obecnymi wyzwaniami jesteśmy bardzo świadomi zagrożeń na horyzoncie, w tym szybkiego postępu technologicznego i rosnącego rynku możliwości cybernetycznych. Zależy nam na bezpośrednim stawieniu czoła tym problemom i utrzymaniu Wielkiej Brytanii na czele bezpieczeństwa cybernetycznego”.
W raporcie rocznym szczegółowo opisano pojawienie się „nowej klasy” cyberataków w postaci podmiotów o powiązaniu z państwem – zwykle rosyjskich – którzy ideologicznie, a nie finansowo.
Grupy te ośmieliły się działać bezkarnie, niezależnie od tego, czy mają oficjalne poparcie Rosji, czy nie, a NCSC stwierdziło, że ma „obawy”, że grupy te mają większy apetyt na ryzyko niż podmioty zaawansowanego trwałego zagrożenia (APT) – takie jak Sandworm – funkcjonujące jako jednostki rosyjskiego wywiadu i służb wojskowych.
To sprawia, że stanowią one znacznie bardziej niebezpieczne zagrożenie, ponieważ mogą próbować atakować operatorów CNI bez ograniczeń i bez możliwości pełnego zrozumienia lub kontrolowania skutków ich działań. Konsekwencje tego mogą być wyjątkowo poważne.
Jednocześnie rosyjskie grupy APT w dalszym ciągu realizują swój cel, jakim jest osłabienie i podział przeciwników Moskwy poprzez ingerencję w proces demokratyczny z wykorzystaniem dezinformacji i cyberataków. NCSC stwierdziło, że jest praktycznie pewne, że Rosja próbowała ingerować w wybory powszechne w Wielkiej Brytanii w 2019 r. i pięć lat później powtórzy to ćwiczenie.
Szczególne obawy w następnej rundzie wzbudzą modele dużych języków (LLM), które prawie na pewno zostaną wykorzystane do generowania sfabrykowanych treści i fałszywych treści przed wyborami, a także rozwijająca się tendencja do atakowania kont e-mail prominentnych osób, jak wcześniej informowaliśmy.
NCSC rozpoczęło już z wyprzedzeniem prace nad włączeniem odporności do procesów demokratycznych w Wielkiej Brytanii, w tym utworzenie wspólnej jednostki ds. przygotowania bezpieczeństwa wyborów.
Jeśli chodzi o Chiny, w przeglądzie szczegółowo opisano ciągłe dowody na to, że powiązane z Chinami podmioty cybernetyczne wdrażają zaawansowane zdolności, aby realizować cele Pekinu, jak podkreślono wcześniej w 2023 r. w ujawnieniach dotyczących działalności tej grupy znany jako Volt Tajfun.
W odpowiedzi na to wyzwanie NCSC ponawia swoje wezwania do współpracy z sojusznikami i przemysłem w celu lepszego zrozumienia możliwości Chin i sposobu, w jaki je wykorzystują, nie do siania niezgody jak Rosja, ale w służbie kradzieży tajemnic zaawansowanych technologiimiędzy innymi.
W długim rocznym przeglądzie szczegółowo opisano także zagrożenia ze strony innych wrogich państw, takich jak Iran i Korea Północna, a także cyberprzestępczość na tle finansowym – zagrożenie ze strony oprogramowania ransomware pozostaje jednym z najpoważniejszych zagrożeń. NCSC stwierdziło, że odnotowało szeroko opisywaną tendencję do ataków polegających na wyłudzaniu danych, w których nie są stosowane żadne blokady oprogramowania ransomwareczego uosobieniem jest kampania cyberataków Cl0p zorganizowana za pomocą narzędzia do przesyłania plików MOVEit.
NCSC stwierdziło, że w tym roku odnotowało gwałtowny wzrost liczby ataków cybernetycznych, jednak liczba ataków, które osiągnęły próg, przy którym można je określić jako mające znaczenie krajowe, utrzymywała się zasadniczo na stabilnym poziomie.
W sumie NCSC otrzymało 2005 zgłoszeń cyberataków, co oznacza wzrost o 64% w porównaniu z latami 2021–2022, z czego 371 uznano za na tyle poważne, że przekazano je zespołowi ds. zarządzania incydentami (IM), co stanowi wzrost o 5%. Spośród nich 62 miały znaczenie dla całego kraju, a cztery należały do najpoważniejszych, z jakimi kiedykolwiek miała do czynienia dzięki „ciągłym zakłóceniom” i powiązaniom ofiar z CNI.
Z kolei NCSC przesłało za pośrednictwem swojej organizacji 24,48 mln powiadomień Wczesne ostrzeżenie usługę, wskazując potencjalną złośliwą aktywność w sieci organizacji lub narażenie na nowo odkrytą lukę. Spośród nich 258 wymagało indywidualnej reakcji zespołu komunikatora.
Najwyższy odsetek incydentów, na które zareagował zespół komunikatora, dotyczył wykorzystania luk w aplikacjach dostępnych publicznie. Najbardziej rozpowszechnioną luką powodującą poważne incydenty w raportowanym okresie była CVE-2023-3519, błąd zdalnego wykonania kodu w Citrix NetScalerz czego wynikało 13 incydentów o znaczeniu ogólnokrajowym – 8% ogółu.
Codzienna praca
W ciągu ostatnich 12 miesięcy NCSC kontynuowało także swoją inną podstawową misję polegającą na zwiększaniu odporności cybernetycznej organizacji sektora publicznego i prywatnego oraz zwykłych ludzi, a w przeglądzie wskazano niektóre sukcesy osiągnięte w ubiegłym roku.
W szczególności apetyt na NCSC Cybernetyczne podstawy program stale się rozwija: w ciągu ostatnich 12 miesięcy przyznano 28 399 nowych certyfikatów, co oznacza wzrost o 21%, i 9037 przyznanych certyfikatów Cyber Essentials Plus, co oznacza wzrost o 55%.
Tymczasem program Active Cyber Defense pomaga obecnie ponad 2700 organizacjom z sektora publicznego i trzeciego sektora poprawić bezpieczeństwo poczty elektronicznej i chronić 24 000 domen, z których 14 400 korzysta ze standardu DMARC. Mówiąc szerzej, usługa kontroli bezpieczeństwa poczty e-mail została wykorzystana do przeprowadzenia 90 000 kontroli w 34 000 unikalnych domenach.
W wyniku tych prac nasiliły się wysiłki mające na celu usunięcie; znany udział globalnego phishingu spadł do 1,19% w 2023 r., w porównaniu z 5% w 2016 r., a liczba fałszywych oszustw phishingowych prowadzonych przez rząd Wielkiej Brytanii spadła do 5300 z 6300 o tej porze w zeszłym roku. Ponadto usunięto 1,8 miliona kampanii towarowych wykorzystujących technologię cybernetyczną.
Oprócz tego usługa raportowania podejrzanych wiadomości e-mail (SERS) otrzymała w ciągu ostatnich 12 miesięcy ponad 10 milionów zgłoszeń i usunęła 86 000 fałszywych adresów URL.
