Одной из жертв Conti ransomware стала ирландская организация Health Services Executive. Вслед за этим инцидентом был опубликован отчет, анализирующий атаку Conti ransomware. Этот независимый пост-инцидентный обзор содержит длинный список рекомендаций, которые не только ценны для HSE, но и являются "обязательным" списком для других организаций, чтобы быть лучше подготовленными к подобным инцидентам с ransomware.
Список основных рекомендаций
- Назначить временного старшего руководителя по кибербезопасности (CISO), имеющего опыт быстрого снижения уязвимости организаций к угрозам и разработки программ трансформации кибербезопасности.
- Создать комитет по надзору за кибербезопасностью на уровне руководства, чтобы обеспечить постоянную оценку рисков кибербезопасности в рамках предоставления медицинских услуг.
- Создать комитет совета директоров для надзора за преобразованием ИТ и кибербезопасности с целью создания пригодной для будущего, устойчивой технологической базы для предоставления медицинских услуг с использованием цифровых технологий.
- Спланировать многолетнюю программу трансформации кибербезопасности, определить и мобилизовать ресурсы для ее реализации.
- Назначить руководителя программы и определить структуру управления для программы трансформации кибербезопасности.
- Продолжать использовать управляемую службу обнаружения и реагирования, предоставляемую третьей стороной, и определить устойчивое среднесрочное решение.
- Мобилизовать тактическую программу улучшения кибербезопасности (пока планируется программа трансформации кибербезопасности), управление которой будет осуществляться временным CISO и которая сможет предоставлять обновленную информацию о ходе реализации программы комитету Совета директоров.
- Подвести управление текущими проектами по улучшению ИТ и кибербезопасности под тактическую программу улучшения кибербезопасности.
- Использовать тестирование безопасности "найди и устрани" для выявления дополнительных слабых мест и уязвимостей безопасности путем имитации методов кибер-атаки, а затем определить и отработать прагматичные исправления.
- Запланировать на начало года проведение этического взлома "red team", чтобы продемонстрировать эффективность внесенных тактических улучшений и определить области для дальнейшего совершенствования.
- Назначить подходящее долгосрочное старшее руководство по кибербезопасности (CISO) и создать центральную службу кибербезопасности, обеспеченную необходимыми ресурсами и квалифицированными специалистами.
- Осуществить многолетнюю программу трансформации кибербезопасности для создания глубинной защиты с течением времени и устранения первопричинных проблем.
- Разработать и внедрить единую и централизованную систему мониторинга безопасности для определенных границ безопасности HSE, которая будет подчиняться CISO.
- Установить управление и надзор за программой обеспечения устойчивости к внешним воздействиям.
- Установить политику и сферу действия, стратегию и структуру программы обеспечения устойчивости к внешним воздействиям.
- Обеспечить контроль над программой обеспечения устойчивости к внешним воздействиям.
- Внедрение потенциала операционной устойчивости посредством обучения и тренировок.
- Создать и задокументировать формальную структуру управления для надзора за непрерывностью клинической деятельности и услуг в HSE.
- Оказать поддержку финансируемым организациям (больничным группам, больницам и ЧО) в создании структуры управления непрерывностью клинической деятельности и услуг.
- Создать и внедрить четкий и последовательный подход к анализу воздействия на клиническую ситуацию и услуги в рамках ВШЭ для определения приоритетов восстановления.
- Разработка обходных путей обеспечения непрерывности клинической деятельности и услуг на основе анализа воздействия на клиническую деятельность и услуги, чтобы позволить ОТЗ продолжать оказывать критически важные услуги во время реагирования на инцидент или кризис.
- Разработать и внедрить последовательные планы обеспечения непрерывности клинической деятельности и услуг на стратегическом, тактическом и оперативном уровнях, которые соответствуют анализу воздействия на бизнес клинической деятельности и услуг.
- Разработать комплексную систему управления кризисами (интегрированную с существующими системами MEM и IM) и контролируемую Руководящей группой по устойчивости HSE.
- Разработать набор планов и процедур реагирования на кризисные ситуации для поддержки системы антикризисного управления.
- Убедиться, что ресурсы, выделенные на внутренние коммуникации, достаточны.
- Задокументировать существующие структуры, процессы, инструменты и шаблоны реагирования команды по коммуникациям в Плане кризисных коммуникаций.
- Создать официальную программу обучения и тренировок в поддержку Программы обеспечения операционной устойчивости.
- Провести обучение сотрудников на ключевых ответственных и вспомогательных должностях, а также новых руководителей.
- Проводить ежегодные учения для отработки потенциала оперативной устойчивости.
- Пересмотреть и усовершенствовать процесс анализа ситуации после инцидента для обеспечения постоянного и непрерывного улучшения возможностей реагирования.
- Внедрить культуру готовности в HSE, чтобы снизить негативное воздействие сбоев на персонал.
- Разработать и внедрить интегрированный процесс оповещения и эскалации и приобрести средства массового оповещения всех сотрудников HSE и подрядчиков.
- Создать кризисный ситуационный центр для управления реагированием на кризис в масштабах всей организации.
- Заключить официальные договоры с ключевыми третьими сторонами, которые могут потребоваться для поддержки реагирования на кризис.
- Разработать интегрированную матрицу классификации и серьезности инцидентов в масштабах всей HSE для оценки организационного воздействия инцидента.
- Назначить и обучить менеджеров (или координаторов) информации об инциденте на всех уровнях в рамках реагирования на инцидент или кризис для поддержания последовательного обзора ситуации по мере ее развития.
- Определить и приобрести безопасное и устойчивое "внеполосное" технологическое решение для обеспечения альтернативных средств обмена информацией и коммуникации.
- Убедитесь, что "высшее организационное намерение" согласовано с ценностями организации и определяет стратегию реагирования и восстановления; регулярно пересматривайте стратегию в ходе реагирования по мере развития ситуации.
- Согласовать разграничение полномочий по принятию решений между всеми командами организации, которые могут быть вовлечены в инцидент в масштабах всей организации.
- Ознакомить команду внутренних коммуникаций с технологическим решением "вне диапазона", чтобы обеспечить целенаправленную и адресную коммуникацию во время кризиса.
- Проанализируйте процессы, планы и ресурсы для реагирования на будущие потенциальные утечки данных.
- Сценарное планирование должно основываться на реестре рисков, процессе, встроенном в План управления кризисными ситуациями, и деятельности, проводимой в ходе реагирования на инциденты и кризисы.
- Разработка обходных путей для обеспечения непрерывности клинической деятельности и услуг на основе анализа воздействия на клиническую деятельность и услуги.
- Разработайте обходные пути для поддержки быстрого восстановления данных после инцидента или кризиса.
- Отрепетируйте обходные пути в ходе многогрупповых учений.
- Рассмотрите возможность проведения анализа для определения долгосрочных клинических последствий атаки Conti.
- Убедитесь, что анализ клинического воздействия и воздействия на услуги основан на актуальном реестре активов и базе данных управления конфигурацией.
- Составьте карту и задокументируйте людские и технологические ресурсы и процессы, необходимые для восстановления всех критически важных систем в заранее определенной последовательности.
Основы кибербезопасности
- HSE следует продолжать разрабатывать реестр активов, согласованный с клиническими и корпоративными службами, а также поддерживать процесс, обеспечивающий актуальность реестра. Это позволит HSE определить потенциальное воздействие любого будущего инцидента и эффективно отреагировать на него запланированным, контролируемым и структурированным образом.
- HSE должна разработать стратегию кибербезопасности, охватывающую, как минимум, обнаружение инцидентов, реагирование на них и восстановление бизнеса. Она также должна быть согласована с целями стратегии HSE и подписана Советом HSE.
- HSE должна создать соответствующую структуру рисков и управления кибербезопасностью, чтобы обеспечить последовательное и четкое распределение ответственности, полномочий и подотчетности. В том числе необходимо установить процессы отчетности, чтобы обеспечить надлежащее информирование о потенциальных инцидентах кибербезопасности во всех случаях.
- HSE должна ежегодно заполнять требуемые декларации OES, чтобы обеспечить соответствие нормам NISD и понять потенциальные слабые места в кибербезопасности критически важных служб.
- HSE следует разработать официальную систему рисков кибербезопасности, согласованную с операционными рисками и стратегическими планами компании.
- HSE следует внедрить систему управления рисками третьих сторон, которая определяет, как третьи стороны HSE оцениваются на предмет рисков кибербезопасности и какие планы по управлению рисками подходят для устранения остаточных киберрисков.
- HSE следует внедрить комплексную, формализованную программу обучения и повышения осведомленности в области кибербезопасности, которая будет проводиться для всех сотрудников всех уровней в организации. Обучение должно проводиться на регулярной основе.
- HSE должна внедрить централизованные процессы и процедуры для управления и проверки соответствующего доступа и идентификационных данных, требующих доступа к услугам и данным. Это должно быть в форме решения по управлению доступом к идентификационным данным (IAM), которое будет последовательно управлять доступом пользователей, системных администраторов и третьих лиц.
- HSE должен внедрить структурированный процесс для выполнения резервного копирования данных и хранения этих данных за пределами площадки. Необходимо проводить регулярное тестирование этих данных для обеспечения успешного восстановления.
- HSE следует разработать стратегию по внедрению соответствующих защитных технологий и обеспечить их последовательное развертывание в сети HSE.
- HSE должна разработать процесс поддержания базовых уровней безопасности для всего операционного оборудования и программного обеспечения, включая, помимо прочего, создание превентивных процессов, таких как процессы управления патчами и уязвимостями.
- HSE должна разработать профиль угроз кибербезопасности на основе информации из соответствующих источников для обеспечения эффективного мониторинга. Сюда должны входить данные об угрозах, чтобы обеспечить информированное представление о последних киберугрозах, имеющих отношение к HSE. Эти каналы должны использоваться в сочетании с SIEM для информирования и предоставления для мониторинга и обнаружения по всему комплексу HSE. В соответствии с этим HSE должна последовательно внедрить антивирусную защиту на всей территории, обеспечить ее агрегирование, а также протоколирование и результаты EDR и создать круглосуточный операционный центр безопасности (SOC) для мониторинга всего бизнеса и обнаружения аномального поведения и событий.
- HSE следует внедрить мониторинг оповещений на всех сетевых серверах, конечных устройствах и брандмауэрах для внешних и внутренних сетей. Для каждого оповещения должны быть разработаны конкретные сценарии использования для выбранной SIEM.
- HSE должна внедрить целостную функциональность обнаружения и реагирования на сетевые атаки с выделенной командой для постоянного мониторинга и реагирования на предупреждения.
- HSE должна разработать соответствующую политику реагирования на кибербезопасность, подкрепленную планами и/или планами действий в случае инцидентов кибербезопасности, которые регулярно пересматриваются и отрабатываются, чтобы в случае будущего инцидента можно было организовать эффективное и действенное реагирование.
- HSE следует разработать официальный план внутренних коммуникаций, чтобы ключевые внутренние стороны, такие как высшее руководство, добровольные больницы, CHO, получали своевременные и последовательные сообщения. В частности, HSE должна разработать специальные руководства и шаблонные ответы для конкретных сценариев, чтобы помочь быстрому реагированию и обеспечить последовательную коммуникацию.
- HSE должна обеспечить наличие соответствующей политики, плана и процесса реагирования для управления многочисленными инцидентами безопасности, проведения расследований и сбора доказательств для оценки наилучшего потенциального плана смягчения последствий.
- HSE следует разработать официальные стратегии и тактику смягчения последствий для изоляции, устранения и мониторинга угроз. Необходимо установить ключевые показатели эффективности (KPI), чтобы можно было оптимизировать работу.
- HSE следует создать формальный процесс, а также ресурсы для обеспечения извлечения и кодификации уроков из всех инцидентов и их сохранения с учетом операционных и организационных изменений.
- HSE следует внедрить план восстановления кибербезопасности, который связан с реестром активов, детализирующим клинические, корпоративные и другие приоритеты, и регулярно тестировать этот план.
- HSE следует разработать формальный процесс фиксации улучшений/уроков, извлеченных после инцидента.
- HSE следует рассмотреть возможность разработки коммуникационной стратегии для инцидентов кибербезопасности.
Практические рекомендации
- Улучшение возможностей мониторинга безопасности
- Защита привилегированного доступа
- Создайте возможности управления уязвимостями
- Усилить границы безопасности
- Улучшить управление сетью
- Повысить готовность к атаке ransomware
- Ускорить реализацию основополагающих ИТ-проектов