Cyber ​​Incident Response για τον ελαστικό οργανισμό

Από τον James Espino23 Απριλίου 2018
(Αρχείο φωτογραφιών: Τερματικά APM)
(Αρχείο φωτογραφιών: Τερματικά APM)

Ακόμη και πριν από την NotPetya, οι ρυθμιστικοί φορείς, οι ασφαλιστές, τα σωματεία P & I, οι λιμενικές αρχές και άλλα τμήματα της ναυτιλιακής βιομηχανίας άρχισαν να λαμβάνουν μέτρα για την ελαχιστοποίηση της έκθεσης της βιομηχανίας σε κυβερνοεπιθέσεις.

Η ναυτιλιακή βιομηχανία έχει ξυπνήσει. Έχουμε ξυπνήσει το γεγονός ότι η ψηφιοποίηση έχει πλέξει τα νήματα σε ολόκληρο τον κλάδο και έχουμε επωφεληθεί σε μεγάλο βαθμό από το να μπορούμε να λειτουργούμε σε ένα διασυνδεδεμένο περιβάλλον στον κυβερνοχώρο. Ομοίως, η δυνατότητα διαβίβασης διαγνωστικών πληροφοριών σε μηχανήματα πλοίων στα κέντρα εκμετάλλευσης της ξηράς, που έχουν τη δυνατότητα πλοήγησης σε περιορισμένα ύδατα χρησιμοποιώντας δεδομένα θέσης και πλοήγησης που προέρχονται από το διάστημα και είναι σε θέση να παρέχουν στα πληρώματα την πολυτέλεια της ροής βίντεο από τον ιστό ενώ θαλάσσης εισάγει σημαντικό κίνδυνο για τη βιομηχανία γενικά και για τα διασυνδεδεμένα τμήματα της οικονομίας εν γένει. Η επίθεση NotPetya το 2017 ήταν μια στιγμή που οδήγησε τη βιομηχανία να αξιολογήσει την στάση της στον κυβερνοχώρο. Σαφώς, εάν μια παγκόσμια εταιρεία όπως η Maersk μπορεί να επηρεαστεί σημαντικά, τότε κάθε άλλη ναυτιλιακή εταιρεία μπορεί να επιτεθεί. Στην καλύτερη περίπτωση μια επίθεση θα έχει ως αποτέλεσμα οικονομική ζημία, το χειρότερο, μια επίθεση θα μπορούσε ενδεχομένως να αναγκάσει μια εταιρεία να σταματήσει τις εργασίες επ 'αόριστον.

Ακόμη και πριν από την NotPetya, οι ρυθμιστικοί φορείς, οι ασφαλιστές, τα σωματεία P & I, οι λιμενικές αρχές και άλλα τμήματα της ναυτιλιακής βιομηχανίας άρχισαν να λαμβάνουν μέτρα για την ελαχιστοποίηση της έκθεσης της βιομηχανίας σε κυβερνοεπιθέσεις. Η Αμερικανική Ακτοφυλακή απελευθέρωσε ένα σχέδιο εγκυκλίου πλοήγησης και πλοήγησης επιθεώρησης 05-17, κατευθυντήριες γραμμές για την αντιμετώπιση των κυρώσεων σε κυβερνητικούς κινδύνους στις νομοθετικές ρυθμίσεις για την ασφάλεια των θαλάσσιων μεταφορών (MTSA), να εισαγάγει την ιδέα της δημιουργίας ενός πλαισίου για τον κυβερνοχώρο στον ναυτιλιακό κλάδο, Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) Πλαίσιο Ασφάλειας στον Κυβερνοχώρο. Οι ναυτιλιακές ενώσεις όπως το BIMCO και το ABS εξέδωσαν τις δικές τους κατευθυντήριες γραμμές στον τομέα της ασφάλειας στον κυβερνοχώρο και αμέτρητοι άλλοι οργανισμοί και ομάδες εξέδωσαν τις βέλτιστες πρακτικές για τον μετριασμό του κινδυνου στον κυβερνοχώρο στη ναυτιλιακή βιομηχανία. Αν και ο κλάδος συνειδητοποιεί γενικά ότι "πρέπει να γίνει κάτι", η πρόοδος που έχει επιτευχθεί για τον μετριασμό των κινδύνων στον κυβερνοχώρο στον κλάδο είναι τόσο διαφορετική όσο η βιομηχανία είναι διαφορετική. Η ποικιλία στον μετριασμό του κινδύνου του κυβερνοχώρου στη βιομηχανία βασίζεται στα διαφορετικά επίπεδα πόρων που διατίθενται από τον έναν οργανισμό στον άλλο, στα συστήματα και τις τεχνολογίες που χρησιμοποιούνται και στις διαφορές στα μοντέλα διακυβέρνησης της διαχείρισης κινδύνου μεταξύ οργανισμών και εταιρειών. Επιπλέον, οι λεπτές αλλά και σημαντικές διαφορές στις απαιτήσεις ασφάλειας του κυβερνοχώρου και στους ρυθμιστικούς φορείς μεταξύ του ναυτιλιακού κλάδου, των λιμενικών και τερματικών φορέων, των λιμενικών αρχών και άλλων οργανισμών, εταιρειών και οργανισμών που απαρτίζουν τη ναυτιλιακή βιομηχανία προσθέτουν ένα επιπλέον επίπεδο πολυπλοκότητας, την υιοθέτηση ολοκληρωμένων σχεδίων διαχείρισης του κυβερνοχώρου στον κλάδο.

Δράσεις μετά την Cyberattack. Δεδομένης της άμεσης ανάγκης να κατανοήσουμε τι πρέπει να κάνουμε για να περιορίσουμε τις ζημιές και να προστατέψουμε τα συστήματα από ένα cyberattack, η ναυτιλιακή βιομηχανία πρέπει επίσης να απαντήσει στην ερώτηση "Τι πρέπει να κάνουμε όταν βιώνουμε cyberattack;" Για να απαντήσουμε σε αυτή την ερώτηση, θα πρέπει να τεθεί το ερώτημα: "Τι κάνουμε για να προετοιμαστούμε για cyberattack;" Στην περίπτωση αυτή, η ναυτιλιακή βιομηχανία έχει το γενεαλογικό ιστορικό για να αντιμετωπίσει αυτό το ζήτημα και μπορεί να βγάλει από τους υπάρχοντες κανονισμούς, τις βέλτιστες πρακτικές και τις εμπειρίες από την αντιμετώπιση φυσικών περιστατικών όπως οι πετρελαιοκηλίδες, η αναζήτηση και η διάσωση, οι τρομοκρατικές απειλές και οι ενέργειες που απαιτούνται για να εξασφαλιστεί η συνέχεια των επιχειρήσεων εξαιτίας μιας μεγάλης καταιγίδας ή άλλων φυσικών απειλών.

Η αντιμετώπιση των περιστατικών και των χειρισμών περιστατικών (IR / IH) περιλαμβάνει προκαθορισμένα σχέδια δράσης, επιτραπέζιες ασκήσεις και πόρους IR / IH, προκειμένου να ελαχιστοποιηθούν οι ζημιές στις ναυτικές και λιμενικές επιχειρήσεις. Αυτές οι δραστηριότητες στοχεύουν στην ελαχιστοποίηση των αρνητικών επιπτώσεων στο εμπόριο, το περιβάλλον και την ασφάλεια της ζωής στη θάλασσα ή πάνω και γύρω από το νερό. Επιπλέον, η βιομηχανία πρέπει να είναι έτοιμη να αντιμετωπίσει όλες τις πτυχές μιας απάντησης στον κυβερνοχώρο, περιλαμβανομένης της ανάπτυξης ενός καλά σχεδιασμένου σχεδίου δέσμευσης των δημόσιων συμφερόντων και των σχέσεων με τους επενδυτές.

Προκαθορισμένα σχέδια δράσης. Δεν διαφέρουν από άλλες καταστροφές, καταστροφές ή καταστάσεις έκτακτης ανάγκης, οι συνετές οργανώσεις θα έχουν εφαρμόσει ένα σχέδιο αντίδρασης στον κυβερνοχώρο για την άσκηση προκαθορισμένων σχεδίων δράσης όταν συμβαίνει ένα κυβερνοχώρο. Δυστυχώς, μια πρόσφατη μελέτη του Ινστιτούτου Ponemon και της IBM διαπίστωσε ότι το 77% των ερωτηθέντων δεν έχει εφαρμόσει επίσημα ένα σχέδιο επίσημης αντίδρασης σε περιστατικά στον κυβερνοχώρο. Τα σχέδια απόκρισης θα πρέπει τουλάχιστον να περιλαμβάνουν σχέδια δράσης που να ανταποκρίνονται σε ransomware, επιθέσεις Distributed Denial of Service (DDOS), διείσδυση ενός δικτύου και εισαγωγή κακόβουλου λογισμικού στο δίκτυο ενός οργανισμού. Τα κινητά ή τα κινητά στοιχεία ενεργητικού πρέπει επίσης να περιλαμβάνουν ενέργειες που λαμβάνουν υπόψη άλλα σενάρια, όπως απώλεια συστήματος GPS (Global Positioning System) ή άλλων συστημάτων θέσης, πλοήγησης και χρονισμού (PNT), αντίκτυπο στο σύστημα ελέγχου του συστήματος διεύθυνσης ή μηχανής και απώλεια ή χειραγώγηση ηλεκτρονικών συστημάτων πλοήγησης. Στις περισσότερες από αυτές τις σε εξέλιξη σενάρια, έχουν ήδη εφαρμοστεί σχέδια έκτακτης ανάγκης για αυτά τα σενάρια που προκλήθηκαν από άλλα μέσα, αλλά ενδέχεται να υπάρχουν επιπλέον απαιτήσεις ανταπόκρισης στη φύση της επίθεσης.

Αφού αναπτυχθούν, τα σχέδια δράσης πρέπει να ασκούνται τακτικά. Αυτό δεν διαφέρει από τα άλλα απαιτούμενα ασκήσεις. Πολλές οργανώσεις έχουν ενσωματώσει τα περιστατικά στον κυβερνοχώρο σε επιτραπέζιες ασκήσεις ή έχουν δημιουργήσει επιτραπέζια άσκηση ειδικά για κυβερνοχώρο για να δουν πόσο καλά λειτουργούν τα σχέδια δράσης τους.

Επίθεση εν εξελίξει. Η ικανότητα εντοπισμού και κατανόησης ότι μια επίθεση είναι σε εξέλιξη πρέπει να ενσωματωθεί στα προγράμματα κατάρτισης ενός οργανισμού. Παρομοίως, θα πρέπει να διαμορφωθούν ή να αποκτηθούν λύσεις υλικού ή / και λογισμικού για να βοηθήσουν τους υπαλλήλους και τα πληρώματα να καθορίσουν εάν λαμβάνει χώρα cyberattack. Ανάλογα με τον τύπο της επίθεσης, τα χαρακτηριστικά της επίθεσης μπορεί να είναι προφανή, αλλά όχι πάντα.

Ο τρόπος με τον οποίο ένας οργανισμός επικοινωνεί τη φύση της επίθεσης και τον τρόπο αντίδρασης εξωτερικά σε ένα κυβερνοχώρο είναι εξίσου κρίσιμο με τα τεχνικά και μηχανικά μέτρα που λαμβάνονται για τη διαχείριση μιας επίθεσης στο εσωτερικό των συστημάτων του οργανισμού. Οι οργανισμοί πρέπει να αναπτύξουν ένα σχέδιο δράσης για επικοινωνίες και δημόσιες σχέσεις για να εξασφαλίσουν την εμπιστοσύνη των πελατών, των επενδυτών, των εταίρων, των άλλων ενδιαφερομένων και του κοινού, ώστε ο οργανισμός να μπορεί να ανταποκριθεί αποτελεσματικά σε ένα κυβερνοχώρο, ελαχιστοποιώντας ταυτόχρονα τις διαταραχές στις επιχειρήσεις και το εμπόριο.

Ανάλυση μετά συμβάντος . Ανάλογα με τη φύση της επίθεσης, ένας οργανισμός μπορεί να αναμένει από τις αρχές επιβολής του νόμου να αντιμετωπίσουν ένα αδίκημα στον κυβερνοχώρο ως έγκλημα, καθιστώντας έτσι τα συστήματα και το δίκτυο που επιτέθηκαν σε μια σκηνή εγκλήματος. Επομένως, για να προσδιοριστεί η προέλευση μιας επίθεσης, ένας οργανισμός θα πρέπει επίσης να εφαρμόσει διαδικασίες για τη διατήρηση αποδεικτικών στοιχείων κατά τη διάρκεια και μετά από μια επίθεση. Αυτό απαιτεί τη θέσπιση διαδικασίας αλυσιδωτής επιμέλειας, διαδικασιών χειρισμού ψηφιακών αποδεικτικών στοιχείων, ενδεχόμενων ενεργειών εσωτερικής ψηφιακής ιατροδικαστικής και η ύπαρξη σχεδίου συνέχειας λειτουργίας, το οποίο μπορεί να περιλαμβάνει τη χρήση συστήματος δημιουργίας αντιγράφων ασφαλείας κατά τη διάρκεια μιας έρευνας.

Η μετά την ανάλυση περιστατικών θα πρέπει να περιλαμβάνει μεταθανάτια για να καθορίσει τον τρόπο με τον οποίο θα αποφευχθούν παρόμοιες επιθέσεις στο μέλλον. Όπως και η εφαρμογή μέτρων διασφάλισης στον κυβερνοχώρο, ο εντοπισμός και η ανάληψη δράσης για τα διδάγματα που αντλήθηκαν από ένα cyberattack πρέπει να οδηγηθούν από την κορυφή προς τα κάτω.

Ανασύσταση. Στις περισσότερες περιπτώσεις, οι οργανώσεις έχουν συστηματική διαδικασία ανασύστασης των εργασιών. Αυτές οι διαδικασίες θα πρέπει να επεκταθούν ώστε να συμπεριλαμβάνουν περιστατικά μετά την κυβερνοπαράθεση. Οι οργανισμοί θα πρέπει να καθορίσουν τον τρόπο με τον οποίο μπορούν να επιστρέψουν γρήγορα σε πλήρη λειτουργική ικανότητα. Η ηγεσία της οργάνωσης πρέπει να συνεχίσει να επικοινωνεί με όλους τους ενδιαφερομένους σχετικά με τα μέτρα που λαμβάνονται για την επιστροφή σε πλήρως λειτουργική κατάσταση.

Η προετοιμασία για cyberattack αποτελεί κρίσιμη συνιστώσα για τις ναυτιλιακές οργανώσεις προκειμένου να διασφαλιστεί ότι οι επιπτώσεις στο περιβάλλον, το εμπόριο και την ασφάλεια θα περιοριστούν στο ελάχιστο. Ευτυχώς, ο κλάδος έχει ήδη υπάρχοντα σχέδια αντιμετώπισης για άλλα είδη καταστροφικών γεγονότων που μπορούν να χρησιμοποιηθούν ως πρότυπο για την προετοιμασία και την αντιμετώπιση ανεπιθύμητων ενεργειών στον κυβερνοχώρο.


(Όπως δημοσιεύθηκε στην έκδοση του Απριλίου 2018 των Ναυτικών Reporter & Engineering News )

Κατηγορίες: P & I Clubs, ΑΣΦΑΛΙΣΗ, Επιμελητεία, Λιμάνια, Λύσεις λογισμικού, Λύσεις λογισμικού, Ναυτική Ασφάλεια, Νομικός, Τεχνολογία