Развиващите се икономики в Европа и техният среден и малък бизнес са най-лесно уязвимите кибер мишени
Алекс Бехар е Директор Информационни технологии на Zotapay и хоноруван преподавател по Кибер защита и управление на кризите в УНСС, Катедра Национална и регионална сигурност.
Когато хората питаха Шимон Перес кое е най-голямото постижение, което е постигнал през живота си, той често разказваше една история за великия художник Мордехай Ардон. Запитван с подобен въпрос – коя е най-добрата картина, която сте нарисувал, Мордехай винаги отговарял „картината, която ще нарисувам утре“.
Този пример чудесно обяснява и идеологията на „кибер войските“, които постоянно усъвършенстват своя арсенал и непреклонно атакуват защитите на опонента. Без да показват никакъв признак на умора и намалена ефективност, те често дори се наслаждават на тези „военни“ действия. Именно в следствие на тази стратегическа реалност, настоящия акт на хибридна война на Русия срещу Украйна, накара европейските държавни и корпоративни лидери да преосмислят понятието за съвременната война. Освен различните методи за водене на конвенционална война, като сухопътни, военноморски и военновъздушни операции, се води и друга битка – тази в киберпространството. В скорошна публикация директорът по сигурността на Microsoft отбеляза, че кибербитките са предхождали този военен спор с години. Атакуващата страна е използвала запас от усъвършенствано кибер въоръжение и е компрометирала различни части от критична инфраструктура, в случай че някога тя би била необходима. Потокът на новините понякога ни кара да вярваме, че войните започват внезапно и просто „изчезват“ с времето, но реалността на съвременния конфликт е много по-различна.
Руско-украинският конфликт всъщност се „подгрява“ от поне десетилетие с активни престрелки, водени онлайн и целящи контрола върху украинското обществено мнение, цивилната и критичната за правителството интернет инфраструктура. Професионалните анализатори алармират за това от години и вече трудно би могло да има съмнение, че това, което видяхме в медиите, вероятно е било едва върхът на айсберга – множество от кибератаки (някои успешни, други по-малко), които са били осъществени без украинските и западните медии да ги огласят или вземат под внимание. Заслужава да се отбележи, че съюзниците проявяват повече усилие в тази посока и потвърждение за това е повдигнатия, от Департамента по Правосъдие на САЩ, обвинителен акт срещу четирима руски граждани, свързани с Федералната Служба за Сигурност на Руската Федерация (ФСБ), през март 2022 г. Обвиненията са за неоторизирано проникване в информационната инфраструктура на енергийни компании в 135 държави, включително и успешно изключване на петролни съоръжения и инсталиране на зловреден софтуер в информационните системите на атомни електроцентрали. В същината и намеренията си, тези нанесени поражения са големи и като обем и като вреда. За това и повдигнатото обвинение имаше за цел да отправи еднозначно послание, макар и непосредствения ефект от него да беше твърде символичен спрямо извършеното, тъй като извършителите остават свободни в Русия и няколко други държави.
Мотивите на различните участници започват да се оформят – субектите, чиято крайна цел е печалба, се прицелват в интелектуална собственост и търсене на откуп за нея в различни крипто валути. Истинка тревога обаче буди, все по-ясно очертаващата се заплаха, с тесен фокус върху унищожаването на данни, идваща от добре финансирани държавни структури. Такава беше приписаната на руското правителство атака NotPetya от 2017 г., която наруши системите за разработка на популярен украински данъчен софтуер и по-късно разпространи на клиенти софтуерна актуализация, съдържаща разрушителен зловреден софтуер. Нападателите не успяха да ограничат атаката само срещу набелязаните цели и едва за няколко часа, тя се разпространи из целия свят, като причини мащабни щети на компютърните системи на множество частни корпорации. Щетите, нанесени на украинската икономика от тази атака се оценяват като достатъчно големи, за да повлияят измеримо БВП на страната – това вероятно е най-голямата по отношение на нанесена икономическа вреда, кибер военна операция, документирана официално.
Европейският съюз сега се изправя пред предизвикателството да защити най-уязвимите – както малкия и средния бизнес, така и държавните институции в по-слабо развитите икономики, които естествено се озовават в предните редици на фронта в новата кибер реалност, в която се намираме. Острия недостиг на добре подготвени специалисти в полето на киберсигурността, заедно с цялата сложност на интернет базираната инфраструктурата правят кибер атаките към тези цели особено предпочитани от нападатели с добри ресурси и капацитет да работят с високо темпо и непрестанно прицелване към нови мишени. Както дигиталните, така и традиционните бизнеси съхраняват лична информация за милиони граждани. Веднъж попаднало в неподходящите ръце, това море от привидно неструктурирана информация може да бъде превърнато в изчерпателна история на ежедневните навиците и повтарящите се модели на пътуване на белязани за потенциални мишени хора.
Имаше време, когато една машина в офиса работеше с един и същ бизнес софтуер и тихо бръмчеше под нечие бюро в продължение на години. От време на време генерираше така необходимите за Гергана от счетоводството, доклади, на които всички от производствените отдели разчитаха, за да получат на време своите заплати. Това е така банален пример и съм сигурен, че всеки, който чете този текст, би се сетил за някого, който работи в подобно структурирана компания. В днешния свят обаче, подобни организации като тази на Гергана от счетоводството се превръщат в лесно преодолими мишени поради липсата на управление, мониторинг и ясно разписани политики в сферата на информационната сигурност. Анализите на съвременните и най-новите кибер заплахи сигнализират, че традиционните методи на защита като антивирусни програми, защитни стени и други, бързо достигат нивото на „морално остарели“ в борбата с актуалните атаки. Трябва да се има предвид, че атакуващите също имат достъп до тези протекции и правят необходимото намесата им да остане незабелязана. Особено важно е и да се подчертае, че малките и средни компании в Европа нямат достатъчен ресурс да намерят, назначат и обучат достатъчно бързо такива технологични експерти, които биха могли да подсигурят пълноценната им защита, в необходимия й мащаб. Всички тези причини неизбежно водят обществото към две възможности – да осъдим като потенциална жертва на евентуално публично изтичане, всяко парче информация, което споделяме с трети страни; или ние като общество да положим колективни усиля за предотвратяването на такива събития.
Като мисловен експримент може би е интересно да разгледаме правилното функциониране на цифровата инфраструктура през призмата на така наречената „киберхигиена“. Милиони ресторанти и производители на храни се придържат много стриктно към строго разписани стандарти и регулации за това как да запазим хранителните доставки безопасни и този модел работи чудесно за обществото ни. Подобен подход може би е правилният начин за действие и в дигиталния свят, но рамки като GDPR не успяха да създадат набор от ясни правила и според много водещи специалисти и анализатори в индустрията, в тях се използва прекалено много „тояга“ и твърде малко „морков“. В резултат, всички ние по подразбиране приемаме „бисквитките“ си на най-ниските настройки и същевременно почти нищо не беше направено, за да се засилят защитите на компаниите срещу разсипническите течове на лични данни. Европейският блок демонстрира голяма решимост, когато е обединен пред трудностите и в този смисъл, може би набор от различни мерки и програми, в рамките на фондовете му за регионално развитие, биха позволили на най-уязвимите да разгърнат по-добра защита и да модернизират своята ИТ структура. Едва ли има по-подходящ начин за създаване на местни екосистеми за киберсигурност в рамките на целия ЕС от това да бъдат предоставени стимули за местните предприемачи да се включат в разработването и доставянето на такива продукти и услуги, които да задоволят нуждите на това търсене.
Финансовите регулатори и агенциите за сигурност започват също да обръщат сериозно внимание и на заплахата за средните и големи предприятия и изискват от бизнеса да прилага организационни промени. Спорадичното докладване на нарушения на властите и публичните инвеститори, изобщо не е достатъчно и бързо става ясно, че модерната дигитална компания от това десетилетие ще бъде тази, която има стратегически насоки за киберриск, изготвени на най-високо ниво. Американската комисия по ценни книжа и борси (SEC) наскоро обяви предложения, които целят да задължат някои компании да разкрият кибер експертизата на членовете на управителните съвети и управленските кадри заедно с подробен набор от умения и съответния опит в управлението на компании и управлението на кризи. Очевидно е, че услугите на определени корпорации са толкова критични за гладкото функциониране на сложната глобална икономика, че киберсигурността се превръща в основен стълб на риска в ежедневните им операции. Но както обикновено се случва на свободните пазари, истинска промяна ще се има само тогава, когато самите инвеститори я изискат.
Emerging European economies and their small to medium businesses are the softest targets online
BRANDVOICE | Partnership programme
Alex Behar is the Chief Information Officer of Zotapay and a visiting lecturer on Cyber Defense and Crisis Management at the University of National and World Economy,
Department of “National and Regional Security”.
When people asked Shimon Peres what is the greatest achievement he had reached in his lifetime, he often answered with a tale about the great painter Mordecai Ardon. Prompted with the same question on which is the best painting he had ever painted, Mordecai used to reply “the picture I will paint tomorrow”.
This is exactly the mentality of cyber warriors, who are constantly improving their tools and relentlessly charging against enemy defenses without signs of attrition – quite on the contrary, often enjoying the “battlefield”. Hence, the strategic reality we see during the current act of hybrid warfare by Russia against Ukraine has caused the European government and corporate leadership to reconsider what modern warfare is. In addition to various means of conventional warfare, such as armored and airborne operations, another battle is being fought – in cyberspace. In a recent post, Microsoft’s director of security engineering noted that the cyber battles of that war started years ago, the adversary used a stockpile of sophisticated cyber armament and compromised various pieces of critical infrastructure in case it was ever needed. The news cycle sometimes leads us to believe conflicts start abruptly and fizzle out over time, but the reality of modern conflict cannot be more different.
The Russian-Ukrainian conflict has actually been warming up for at least a decade with active skirmishes being led online over control of Ukrainian public opinion, civilian and government critical internet infrastructure. Professional pundits have been saying this for years and there can be hardly any doubt that what we had seen in the media is likely the tip of the iceberg – with multiple cyber attacks (some successful, some less so) having taken place without Ukrainian and Western media taking note. Allies are pushing back and deserve credit – the US Department of Justice’s indictment of four Russian nationals linked to the federal security service FSB in March 2022 over hacking energy companies in 135 countries, including successful shutdowns of oil facilities and installing malware in nuclear power plants. Quite the busy group, and this latest bit of news has no doubt sent a message, even if the immediate effect is the reduction of their summer vacation prospects as they remain free in their country.
The motives of various actors start taking shape – for profit entities are after intellectual property or ransom paid out in crypto currencies, but a distinct government threat actor with laser sharp focus is starting to emerge. Such was the NotPetya attack of 2017, which was attributed to a Russian government threat actor who breached the development systems of a popular Ukrainian tax software and later distributed a software update containing destructive malware to clients. The attackers failed to contain the attack to their targets, and it ended up spreading around the globe in hours while causing widespread damage to the computer systems of private corporations. Its toll alone to the Ukrainian economy was estimated to be large enough to measurably affect the country’s GDP – possibly the most economically damaging act of cyber warfare on record.
The European Union now faces the challenge to protect the most vulnerable – small and medium businesses and government agencies in small democracies alike, which sometimes end up being on the front lines of the new cyber reality we find ourselves in. The acute shortage of well trained cyber security personnel and sheer complexity of attack surface of internet-connected infrastructure together makes for easy pickings for well-resourced attackers operating at very high tempo of constantly breaching new targets. Both digitally native and legacy businesses are holding personal information for millions of citizen, and once in the wrong hands, the analysis capabilities of malicious actors are able to turn this sea of seemingly unstructured information into a coherent story of the habits and travel patterns of their targets – all the while obtaining valuable intelligence without leaving their air conditioned holdouts.
There used to be a time when a machine at the office would run business software, and would hum quietly under someone’s desk for years. Every so often it would generate all those important reports Gergana from accounting needs and hundreds of factory employees would depend on to get their payroll. This is an example so common that I am sure every reader would know someone who works for such a company. In today’s internet, threat actors have been able to maintain a level of hostility and advantage over Gergana’s organization that makes unmanaged and unmonitored systems without clear security policies a soft target. Analysis of new and contemporary threats is starting to indicate that antivirus, firewalls and other traditional methods of defense are quickly reaching obsolescence. The bad guys have access to those too and make sure their tools remain undetected – but more importantly, small to medium companies around Europe are unable to find, hire and train such technology experts fast enough and protect themselves at scale. This inevitably leaves society facing two options: condemn every bit of personal information we entrust to third parties to eventually leak publically, or we collectively as a society work on preventing this from taking place.
As a thought experiment, it might be interesting to consider the correct operation of digital infrastructure through a prism of cyber hygiene. Millions of restaurants and food production facilities adhere to strict standards and regulation of how to keep our food supply safe and it has worked wonders for our society. A similar approach might be the correct course of action for our digital world, but frameworks such as GDPR fell short of creating a set of clear rules and some claim, it used too much “stick” and not enough “carrot” – we are all accepting our cookies automatically now, and has done little to sheer up companies against devastating personal data leaks. The European block has shown that it has great resolve when it is united against adversity, and perhaps a set of future programs under its various regional development funds could allow the most vulnerable to deploy better defenses and modernize their IT infrastructure. There is no better way to create EU-wide indigenous cyber security ecosystems than creating the incentives in place for local entrepreneurs to step in and supply the products and services required to fill that demand.
Financial regulators and security agencies are also starting to pay attention to the threat to medium and large enterprises – and demand that businesses implement organizational changes. Reporting breaches to the authorities and public investors is no longer sufficient, it is becoming clear that the modern digital company of the 2020s will be one which has strategic cyber risk guidance baked at the most senior levels. The American Securities and Exchange Commission (SEC) recently announced proposals that would mandate certain companies disclose the cyber expertise of its board members and executive teams, along with detailed skillset and relevant governance and crisis management experience. It is apparent that the services of certain corporations are so critical to the smooth operation of the complex global economy that cyber security is becoming a major risk pillar in their day to day operations. As with many things in the open markets, real change will happen once investors demand it.