Кибер-ответ на инциденты для жизнестойкой организации

(Файл фотографии: APM-терминалы)

Еще до NotPetya регулирующие органы, страховщики, клубы P & I, портовые власти и другие сегменты морской отрасли начали предпринимать шаги, чтобы свести к минимуму подверженность промышленности кибератакам.

Морская индустрия пробудилась. Мы проснулись в связи с тем, что цифровизация соткала свои потоки во всей отрасли, и мы получили большую выгоду от возможности работать в взаимосвязанной кибер-среде. Аналогичным образом, возможность передавать диагностическую информацию бортового оборудования в береговые операционные центры, имея возможность перемещаться в ограниченных водах с использованием данных о местоположении и навигации, исходящих из космоса, и быть в состоянии предоставить экипажам роскошь потокового видео из Интернета, в то время как в море представляет значительный риск для всей отрасли и взаимосвязанных сегментов экономики в целом. Атака NotPetya в 2017 году стала решающим моментом, который заставил промышленность оценить свою позицию по кибербезопасности. Очевидно, что если глобальная компания, такая как Maersk, может быть существенно затронута, то можно атаковать любую другую морскую компанию. В лучшем случае атака приведет к финансовым потерям, в худшем случае атака может заставить компанию прекратить операции на неопределенный срок.

Еще до NotPetya регулирующие органы, страховщики, клубы P & I, портовые власти и другие сегменты морской отрасли начали предпринимать шаги, чтобы свести к минимуму подверженность промышленности кибератакам. Береговая охрана США выпустила проект циркуляра осмотра и контроля судов 05-17, «Руководство по устранению угроз кибер-рисками в соответствии с законами о безопасности морских перевозок» (MTSA), чтобы представить идею создания основы кибер-риска для морской отрасли на основе национальной Институт стандартов и технологий (NIST) Кибербезопасность. Судоходные ассоциации, такие как BIMCO и ABS, выпустили свои собственные рекомендации по кибербезопасности, и многие другие организации и группы выпустили лучшие практики для снижения кибер-риска в морской отрасли. Хотя отрасль в целом понимает, что «что-то нужно делать», прогресс, достигнутый в смягчении кибер-рисков в отрасли, столь же разнообразен, как и отрасль. Разнообразие мер по снижению кибер-рисков в отрасли основано на разном уровне ресурсов, доступных из одной организации в другую, используемых системах и технологиях и различиях в моделях управления рисками между организациями и компаниями. Кроме того, незначительные, но также значительные различия в требованиях кибербезопасности и регулирующих органах между судоходной отраслью, портовыми и терминальными операторами, портовыми властями и другими агентствами, компаниями и организациями, входящими в «морскую отрасль», добавляют дополнительный уровень сложности, могут замедляться принятие всеобъемлющих планов управления кибер-риском в отрасли в целом.

Сообщение Cyberattack Actions. Учитывая непосредственную необходимость понять, что должно быть сделано для ограничения ущерба и защиты систем от кибератаки, морская промышленность также должна ответить на вопрос: «Что мы должны делать после того, как мы испытаем кибератаку?». Чтобы ответить на этот вопрос, вопрос должен быть задан: «Что мы делаем, чтобы подготовиться к кибератаке?» В этом случае морская индустрия имеет родословную для решения этого вопроса и может вытащить из существующих правил, передовой практики и опыта, полученного от реагирования на физические инциденты, такие как как утечки нефти, поиск и спасение, террористические угрозы и действия, необходимые для обеспечения непрерывности операций из-за крупного шторма или других физических угроз.

Cyber ​​Incident Response and Incident Handling (IR / IH) подразумевает предопределенные планы действий, настольные упражнения и ресурсы IR / IH, предварительно сведены к минимуму ущерб морской и портовой операциям. Эти мероприятия направлены на минимизацию негативных последствий для торговли, окружающей среды и безопасности жизни в море или на воде и вокруг нее. Кроме того, не говоря уже о серьезном реагировании на экологические катастрофы, отрасль должна быть готова рассмотреть все аспекты реагирования на кибер-инцидент, включая разработку хорошо продуманного общественного плана, заинтересованных сторон и плана взаимодействия с инвесторами.

Предварительно определенные планы действий. Ничем не отличается от других бедствий, катастроф или чрезвычайных ситуаций, разумные организации будут иметь план реагирования на кибер-инцидент, чтобы осуществлять заранее определенные планы действий, когда происходит кибер-инцидент. К сожалению, недавнее исследование, проведенное Институтом Понэмона и IBM, показало, что у 77 процентов его респондентов нет официального плана реагирования на инциденты с кибербезопасностью, который последовательно применяется в своей организации. Планы реагирования, как минимум, должны включать в себя планы действий, направленные на получение вымогательства, атак с распределенным отказом в обслуживании (DDOS), проникновение в сеть и внедрение вредоносного ПО в сеть организации. В стадии разработки или в мобильных активах должны также включаться действия, которые учитывают другие сценарии, такие как потеря Глобальной системы позиционирования (GPS) или других систем позиционирования, навигации и синхронизации (PNT), воздействие на систему управления рулем или машиной судна, а также потерю или манипуляцию электронных навигационных систем. В большинстве этих сценариев развития планы действий на случай непредвиденных обстоятельств уже существуют для этих сценариев, вызванных другими средствами, но могут быть дополнительные требования к ответу на характер атаки.

После разработки эти планы действий должны осуществляться на регулярной основе. Это не отличается от других требуемых упражнений. Многие организации включили кибер-инциденты в настольные упражнения или создали специфические настольные упражнения для кибер-инцидентов, чтобы увидеть, насколько хорошо их планы действий работают.

Атака продолжается. Возможность определить и понять, что атака продолжается, должна быть включена в учебные программы организации. Аналогичным образом, аппаратные и / или программные решения необходимо будет сконфигурировать или приобрести, чтобы помочь сотрудникам и экипажам определить, происходит ли кибератака. В зависимости от типа атаки характеристики атаки могут быть очевидными, но не всегда.

Как организация передает характер атаки и как они реагируют извне на кибер-инцидент, так же важны, как технические и инженерные действия, предпринятые для управления атакой внутри системы организации. Организации должны разработать план действий в области коммуникации и связей с общественностью для обеспечения доверия между клиентами, инвесторами, партнерами, другими заинтересованными сторонами и общественностью о том, что организация может эффективно реагировать на кибер-инцидент, одновременно сводя к минимуму нарушения работы и торговли.

Анализ инцидента . В зависимости от характера нападения организация может ожидать, что правоохранительные органы будут рассматривать кибер-инцидент как преступление, тем самым создавая системы и сеть, на которых была совершена атака на месте преступления. Поэтому, чтобы идентифицировать происхождение атаки, организация должна также внедрять процедуры для сохранения доказательств во время и после атаки. Это требует введения процедуры цепочки поставок, процедур обработки цифровых доказательств, потенциально выполняющих внутреннюю деятельность в области цифровой криминалистики, а также плана непрерывности операций, который может включать использование системы резервного копирования во время расследования.

В анализе инцидентов, связанных с инцидентом, необходимо будет включить посмертное определение того, как предотвратить подобные атаки в будущем. Подобно внедрению гарантий кибербезопасности, выявлению и принятию мер по урокам, извлеченным из кибератаки, следует избегать сверху вниз.

Восстановление. В большинстве случаев организации проводят систематический процесс восстановления операций. Эти процессы должны быть расширены, чтобы включать инциденты после кибератаки. Организации необходимо будет определить, как оперативно они могут вернуться к полной операционной мощности. Организационное руководство должно продолжать общаться со всеми заинтересованными сторонами, какие шаги предпринимаются для возвращения к полностью работоспособному статусу.

Подготовка к кибератаке является важным компонентом для морских организаций, с тем чтобы свести к минимуму воздействие на окружающую среду, коммерческую деятельность и безопасность. К счастью, в отрасли существуют планы реагирования на другие типы катастрофических событий, которые можно использовать в качестве модели для подготовки и реагирования на кибератаки.


(Как опубликовано в издании « Морской репортер и инженерные новости» от апреля 2018 года)