pipeline, oil flow.jpg

Angrebet på Colonial Pipeline har ændret cybersikkerheden

På etårsdagen for Colonial Pipeline-angrebet reflekterer brancheinsidere over begivenhedens effekt på cybersikkerhedspraksis og opfattelse.

Det er lidt over et år siden, at den amerikanske offentlighed fik en forsmag på, hvad et cyberangreb kunne gøre ved deres livsstil. Et ransomware-angreb på Colonial Pipeline tvang ejerne til at lukke ned for driften og efterlade halvdelen af landets østkyst næsten uden raffineret olie. Siden da har indsatsen haft til formål at gøre landets kritiske infrastruktur mere modstandsdygtig og imødegå ransomware. Spørgsmålet er, om der bliver gjort nok.

“Angrebet på Colonial Pipeline var en øjenåbner – ikke så meget på grund af risikoen ved ransomware, men på grund af trusselslandskabet, der bevæger sig faretruende tæt på den kritiske infrastruktur, der understøtter samfund,” siger Gartner Vice President, Analyst Katell Thielemann. “På den front var det et wake-up call, der ansporede til alle former for aktiviteter, fra cybersikkerhedsspurter i elforsyningssektoren ledet af Energiministeriet til sikkerhedsdirektiver fra TSA til rørlednings-, jernbane- og lufthavnsoperatører til en ny lov, der fastlægger regler til en kommende hændelsesrapportering.”

“Angrebet på Colonial Pipeline var ikke så meget et afgørende øjeblik for ransomware-angreb, som det var et afgørende øjeblik for risiciene for kritisk infrastruktur,”

Siger Thielemann

På grund af Colonial Pipeline-angrebet blev mange CISO’er opmærksomme på betydelige blinde pletter i deres sikkerhedsoperationscentre (SOC’er), fordi de ikke overvågede deres operationelle teknologinetværk (OT). “Det øgede også synligheden for andre afbødninger, såsom netværkssegmentering, som MITRE ATT &CK kategoriserer som afgørende for at forhindre adgang til sikkerhedskritiske systemer såsom industrielle kontrolsystemer,” siger Phil Neray, vicepræsident for cyberforsvarsstrategi hos CardinalOps, et optimeringsfirma for trusselsdækning.

Det var også afgørende, fordi det i modsætning til andre overskriftsgribende cybersikkerhedshændelser påvirkede den gennemsnitlige person på gaden. “Selvom det ikke var det første angreb på kritisk infrastruktur, var Colonial Pipeline det øjeblik, der resulterede i en undtagelsestilstand, brændstofmangel og panikkøbsadfærd,” siger Jasmine Henry, feltsikkerhedsdirektør for JupiterOne, en leverandør af cyber asset management- og governance-løsninger.

Regeringer handler mod ransomware

Colonial Pipeline-begivenheden ansporede også til større regeringsaktivitet med det formål at beskytte kritisk infrastruktur over hele kloden. “Sølvforingen af Colonial Pipeline-angrebet har været den øgede inddragelse af retshåndhævelse og den amerikanske regering i at tage kampen op mod angriberne, hjælpe med at hente eller fryse ulovligt erhvervede kryptokurver og samarbejde internationalt for at arrestere ransomware-aktørerne,” siger Jason Rebholz, CISO fra Corvus Insurance, en udbyder af risikostyringssoftwareløsninger.

En anden regeringsreaktion på Colonial Pipeline-angrebet var Strengthening American Cybersecurity Act (SACA), der blev vedtaget tidligere i år. Det kræver, at føderale agenturer og kritiske infrastrukturejere og operatører rapporterer cyberangreb inden for 72 timer og ransomware-betalinger inden for 24 timer.

“Gennemsigtighed er et af de mest oversete aspekter af sikkerhed,” forklarer Matt Chiodi, en tidligere CSO hos Palo Alto Networks, der nu arbejder på en cybersikkerhedsstart i stealth-tilstand. “Før SACA var leverandører af kritisk infrastruktur ikke forpligtet til at indberette cybersikkerhedshændelser. Denne mangel på gennemsigtighed efterlod mange detaljer om angreb og metoder, der skulle gættes på, hvilket betød lidt læring for branchen. SACA ændrer dette, og selvom dets anvendelsesområde er begrænset til kritisk infrastruktur, vil det uden tvivl også påvirke andre industrier positivt i fremtiden.”

SACA har dog sine skeptikere. “Handlingen er i høj grad fokuseret på rapporteringskrav, og indsigt i, hvordan man bedre kan forebygge og afbøde trusler, er en mangelvare i dokumentet,” siger Jori VanAntwerp, medstifter og administrerende direktør for SynSaber, et netværksovervågningsløsningsfirma.

“Et problem, der ofte dukker op i vores samtaler med operatører af kritisk infrastruktur og aktivejere, er, at de er forsigtige med yderligere rapporteringskrav,” siger VanAntwerp. “Tidligere har der været lidt eller intet gjort med de oplysninger, de har givet til offentlige enheder.”

Den Europæiske Union (EU) udstedte direktivet om net- og informationssystemer (NISD), som bøder organisationer for dårlig cybersikkerhedspraksis. I mellemtiden understreger Det Forenede Kongeriges nationale cyberstrategi et øget niveau af cyberrobusthed, navnlig med kritisk national infrastruktur (CNI).

Colonial Pipeline øgede samarbejdet og informationsdelingen

Ian Usher, stedfortrædende global praksisleder for strategisk trusselsefterretning hos NCC Group, et globalt cybersikkerhedskonsulentfirma, bemærker, at Colonial Pipeline-angrebet har bidraget til at stimulere tværindustrielle partnerskaber for at levere kollektive forsvarsmodeller for at sikre kritisk infrastruktur.

Samarbejde på tværs af sektorer og operationelt inden for det kritiske infrastruktursamfund har støttet små til mellemstore virksomheder (SMB’er) og organisationer, der mangler den nødvendige sikkerhedsinfrastruktur, især hvor organisationer er målrige, men cyberfattige, forklarer han. For eksempel giver konsoliderede oplysninger, der deles på platforme som Stop Ransomware-webstedet i USA, SMV’er i kritisk infrastruktur og andre sektorer adgang til vigtige oplysninger om trusler og afbødninger.

Colonial Pipeline-angrebet har også øget medarbejdernes bevidsthed om ransomware. “Bevidstheden om ransomware-angreb er på et all-time high,” siger Rebholz, “men mens bevidsthed fører til øget viden om virkningerne af ransomware-begivenheder, forhindrer det dem ikke.”

Usher tilføjer, at på tværs af de fleste organisationer har der været en stigning i bestræbelserne på at fremme en bevidsthed om cybertrusselslandskabet, den indvirkning, ransomware kan have på dem, og enkle trin til at identificere og håndtere potentielt ondsindede e-mails. Imidlertid blev meget af dette gode arbejde påvirket af COVID og det hurtige skift til at vedtage fjerntliggende og hybride måder at arbejde på.

“Fjernet fra virksomhedsmiljøet har medarbejderne potentialet til at være mere distraherede og mindre sikkerhedsbevidste, for ikke at nævne mere tilbøjelige til at bruge tredjepartsapplikationer til at lette fjernsamarbejde,” siger Usher. “Disse faktorer øger i høj grad cyberrisikoen for organisationer, og uden ordentlig uddannelse er fjernarbejdere et perfekt mål for phishing-svindel, som ikke overraskende har set en enorm stigning siden lockdowns i 2020.”

“Jeg tror, at de fleste mennesker er mere opmærksomme på trusler. I bedste fald vil 4% dog klikke på noget, de ikke burde. Tingene bevæger sig i den rigtige retning, men angriberne er rigtig gode til at justere taktikken,” siger Christopher Prewitt, Chief Technology Officer hos MRK Technologies, en skræddersyet leverandør af cybersikkerhedsløsninger og -tjenester.

Større værdi på it-modstandsdygtighed

Hvis CP-angrebet lærte organisationer noget, er det værdien af modstandsdygtighed. “Ransomware-angreb har fremhævet behovet for større modstandsdygtighed i it-miljøer,” siger Rebholz. “Sikkerhed handler ikke længere kun om at holde de dårlige aktører ude, men skal omfatte opbygning af et formbart miljø, der kan modstå angreb.”

“Dette er især vigtigt for kritisk infrastruktur,” siger Rebholz, “da virkningerne strækker sig ud over monetære tab – et cyberangreb kan oversættes til kaos, når vigtige tjenester og varer er afskåret fra den større befolkning”

Cyberangrebet på Colonial Pipeline fremhævede skrøbeligheden i vores sammenkoblede verden og de konsekvenser, cyberangreb har på vores daglige liv, siger Davis McCarthy, ledende sikkerhedsforsker hos Valtix, en udbyder af cloud native netværkssikkerhedstjenester. “Uanset om det var C-suiten, der tildelte midler til it-sikkerhed, små virksomheder, der installerede antivirus, eller den amerikanske præsident, der underskrev dekreter for at styrke kritisk infrastruktur og bekæmpe cyberkriminalitet, var de socioøkonomiske konsekvenser af Colonial Pipeline-angrebet synlige. Den offentlige opfattelse af cybersikkerhed var ikke længere en irriterende popup eller halt værktøjslinje.”

“Jeg forventer, at historikere vil se på Colonial Pipeline som en af de vigtigste hændelser, der formede cybersikkerhedens forløb,” tilføjer Henry. “Som med WannaCry resulterede begge i større bevidsthed, da WannaCry afslørede det destruktive potentiale af cybertrusler mod virksomhedsledere, mens Colonial Pipeline øgede offentlighedens bevidsthed.”

Kilde: CSOonline
Fotokredit: Colonial Pipeline

Foto: Pexels