Основные рекомендации и выводы по результатам атаки HSE Conti ransomware

Одной из жертв Conti ransomware стала ирландская организация Health Services Executive. Вслед за этим инцидентом был опубликован отчет, анализирующий атаку Conti ransomware. Этот независимый пост-инцидентный обзор содержит длинный список рекомендаций, которые не только ценны для HSE, но и являются "обязательным" списком для других организаций, чтобы быть лучше подготовленными к подобным инцидентам с ransomware.

Список основных рекомендаций

1. Назначить временного старшего руководителя по кибербезопасности (CISO), имеющего опыт быстрого снижения уязвимости организаций к угрозам и разработки программ трансформации кибербезопасности.
2. Создать комитет по надзору за кибербезопасностью на уровне руководства, чтобы обеспечить постоянную оценку рисков кибербезопасности в рамках предоставления медицинских услуг.
3. Создать комитет совета директоров для надзора за преобразованием ИТ и кибербезопасности с целью создания пригодной для будущего, устойчивой технологической базы для предоставления медицинских услуг с использованием цифровых технологий.
4. Спланировать многолетнюю программу трансформации кибербезопасности, определить и мобилизовать ресурсы для ее реализации.
5. Назначить руководителя программы и определить структуру управления для программы трансформации кибербезопасности.
6. Продолжать использовать управляемую службу обнаружения и реагирования, предоставляемую третьей стороной, и определить устойчивое среднесрочное решение.
7. Мобилизовать тактическую программу улучшения кибербезопасности (пока планируется программа трансформации кибербезопасности), управление которой будет осуществляться временным CISO и которая сможет предоставлять обновленную информацию о ходе реализации программы комитету Совета директоров.
8. Подвести управление текущими проектами по улучшению ИТ и кибербезопасности под тактическую программу улучшения кибербезопасности.
9. Использовать тестирование безопасности "найди и устрани" для выявления дополнительных слабых мест и уязвимостей безопасности путем имитации методов кибер-атаки, а затем определить и отработать прагматичные исправления.
10. Запланировать на начало года проведение этического взлома "red team", чтобы продемонстрировать эффективность внесенных тактических улучшений и определить области для дальнейшего совершенствования.
11. Назначить подходящее долгосрочное старшее руководство по кибербезопасности (CISO) и создать центральную службу кибербезопасности, обеспеченную необходимыми ресурсами и квалифицированными специалистами.
12. Осуществить многолетнюю программу трансформации кибербезопасности для создания глубинной защиты с течением времени и устранения первопричинных проблем.
13. Разработать и внедрить единую и централизованную систему мониторинга безопасности для определенных границ безопасности HSE, которая будет подчиняться CISO.
14. Установить управление и надзор за программой обеспечения устойчивости к внешним воздействиям.
15. Установить политику и сферу действия, стратегию и структуру программы обеспечения устойчивости к внешним воздействиям.
16. Обеспечить контроль над программой обеспечения устойчивости к внешним воздействиям.
17. Внедрение потенциала операционной устойчивости посредством обучения и тренировок.
18. Создать и задокументировать формальную структуру управления для надзора за непрерывностью клинической деятельности и услуг в HSE.
19. Оказать поддержку финансируемым организациям (больничным группам, больницам и ЧО) в создании структуры управления непрерывностью клинической деятельности и услуг.
20. Создать и внедрить четкий и последовательный подход к анализу воздействия на клиническую ситуацию и услуги в рамках ВШЭ для определения приоритетов восстановления.
21. Разработка обходных путей обеспечения непрерывности клинической деятельности и услуг на основе анализа воздействия на клиническую деятельность и услуги, чтобы позволить ОТЗ продолжать оказывать критически важные услуги во время реагирования на инцидент или кризис.
22. Разработать и внедрить последовательные планы обеспечения непрерывности клинической деятельности и услуг на стратегическом, тактическом и оперативном уровнях, которые соответствуют анализу воздействия на бизнес клинической деятельности и услуг.
23. Разработать комплексную систему управления кризисами (интегрированную с существующими системами MEM и IM) и контролируемую Руководящей группой по устойчивости HSE.
24. Разработать набор планов и процедур реагирования на кризисные ситуации для поддержки системы антикризисного управления.
25. Убедиться, что ресурсы, выделенные на внутренние коммуникации, достаточны.
26. Задокументировать существующие структуры, процессы, инструменты и шаблоны реагирования команды по коммуникациям в Плане кризисных коммуникаций.
27. Создать официальную программу обучения и тренировок в поддержку Программы обеспечения операционной устойчивости.
28. Провести обучение сотрудников на ключевых ответственных и вспомогательных должностях, а также новых руководителей.
29. Проводить ежегодные учения для отработки потенциала оперативной устойчивости.
30. Пересмотреть и усовершенствовать процесс анализа ситуации после инцидента для обеспечения постоянного и непрерывного улучшения возможностей реагирования.
31. Внедрить культуру готовности в HSE, чтобы снизить негативное воздействие сбоев на персонал.
32. Разработать и внедрить интегрированный процесс оповещения и эскалации и приобрести средства массового оповещения всех сотрудников HSE и подрядчиков.
33. Создать кризисный ситуационный центр для управления реагированием на кризис в масштабах всей организации.
34. Заключить официальные договоры с ключевыми третьими сторонами, которые могут потребоваться для поддержки реагирования на кризис.
35. Разработать интегрированную матрицу классификации и серьезности инцидентов в масштабах всей HSE для оценки организационного воздействия инцидента.
36. Назначить и обучить менеджеров (или координаторов) информации об инциденте на всех уровнях в рамках реагирования на инцидент или кризис для поддержания последовательного обзора ситуации по мере ее развития.
37. Определить и приобрести безопасное и устойчивое "внеполосное" технологическое решение для обеспечения альтернативных средств обмена информацией и коммуникации.
38. Убедитесь, что "высшее организационное намерение" согласовано с ценностями организации и определяет стратегию реагирования и восстановления; регулярно пересматривайте стратегию в ходе реагирования по мере развития ситуации.
39. Согласовать разграничение полномочий по принятию решений между всеми командами организации, которые могут быть вовлечены в инцидент в масштабах всей организации.
40. Ознакомить команду внутренних коммуникаций с технологическим решением "вне диапазона", чтобы обеспечить целенаправленную и адресную коммуникацию во время кризиса.
41. Проанализируйте процессы, планы и ресурсы для реагирования на будущие потенциальные утечки данных.
42. Сценарное планирование должно основываться на реестре рисков, процессе, встроенном в План управления кризисными ситуациями, и деятельности, проводимой в ходе реагирования на инциденты и кризисы.
43. Разработка обходных путей для обеспечения непрерывности клинической деятельности и услуг на основе анализа воздействия на клиническую деятельность и услуги.
44. Разработайте обходные пути для поддержки быстрого восстановления данных после инцидента или кризиса.
45. Отрепетируйте обходные пути в ходе многогрупповых учений.
46. Рассмотрите возможность проведения анализа для определения долгосрочных клинических последствий атаки Conti.
47. Убедитесь, что анализ клинического воздействия и воздействия на услуги основан на актуальном реестре активов и базе данных управления конфигурацией.
48. Составьте карту и задокументируйте людские и технологические ресурсы и процессы, необходимые для восстановления всех критически важных систем в заранее определенной последовательности.

Основы кибербезопасности

1. HSE следует продолжать разрабатывать реестр активов, согласованный с клиническими и корпоративными службами, а также поддерживать процесс, обеспечивающий актуальность реестра. Это позволит HSE определить потенциальное воздействие любого будущего инцидента и эффективно отреагировать на него запланированным, контролируемым и структурированным образом.
2. HSE должна разработать стратегию кибербезопасности, охватывающую, как минимум, обнаружение инцидентов, реагирование на них и восстановление бизнеса. Она также должна быть согласована с целями стратегии HSE и подписана Советом HSE.
3. HSE должна создать соответствующую структуру рисков и управления кибербезопасностью, чтобы обеспечить последовательное и четкое распределение ответственности, полномочий и подотчетности. В том числе необходимо установить процессы отчетности, чтобы обеспечить надлежащее информирование о потенциальных инцидентах кибербезопасности во всех случаях.
4. HSE должна ежегодно заполнять требуемые декларации OES, чтобы обеспечить соответствие нормам NISD и понять потенциальные слабые места в кибербезопасности критически важных служб.
5. HSE следует разработать официальную систему рисков кибербезопасности, согласованную с операционными рисками и стратегическими планами компании.
6. HSE следует внедрить систему управления рисками третьих сторон, которая определяет, как третьи стороны HSE оцениваются на предмет рисков кибербезопасности и какие планы по управлению рисками подходят для устранения остаточных киберрисков.
7. HSE следует внедрить комплексную, формализованную программу обучения и повышения осведомленности в области кибербезопасности, которая будет проводиться для всех сотрудников всех уровней в организации. Обучение должно проводиться на регулярной основе.
8. HSE должна внедрить централизованные процессы и процедуры для управления и проверки соответствующего доступа и идентификационных данных, требующих доступа к услугам и данным. Это должно быть в форме решения по управлению доступом к идентификационным данным (IAM), которое будет последовательно управлять доступом пользователей, системных администраторов и третьих лиц.
9. HSE должен внедрить структурированный процесс для выполнения резервного копирования данных и хранения этих данных за пределами площадки. Необходимо проводить регулярное тестирование этих данных для обеспечения успешного восстановления.
10. HSE следует разработать стратегию по внедрению соответствующих защитных технологий и обеспечить их последовательное развертывание в сети HSE.
11. HSE должна разработать процесс поддержания базовых уровней безопасности для всего операционного оборудования и программного обеспечения, включая, помимо прочего, создание превентивных процессов, таких как процессы управления патчами и уязвимостями.
12. HSE должна разработать профиль угроз кибербезопасности на основе информации из соответствующих источников для обеспечения эффективного мониторинга. Сюда должны входить данные об угрозах, чтобы обеспечить информированное представление о последних киберугрозах, имеющих отношение к HSE. Эти каналы должны использоваться в сочетании с SIEM для информирования и предоставления для мониторинга и обнаружения по всему комплексу HSE. В соответствии с этим HSE должна последовательно внедрить антивирусную защиту на всей территории, обеспечить ее агрегирование, а также протоколирование и результаты EDR и создать круглосуточный операционный центр безопасности (SOC) для мониторинга всего бизнеса и обнаружения аномального поведения и событий.
13. HSE следует внедрить мониторинг оповещений на всех сетевых серверах, конечных устройствах и брандмауэрах для внешних и внутренних сетей. Для каждого оповещения должны быть разработаны конкретные сценарии использования для выбранной SIEM.
14. HSE должна внедрить целостную функциональность обнаружения и реагирования на сетевые атаки с выделенной командой для постоянного мониторинга и реагирования на предупреждения.
15. HSE должна разработать соответствующую политику реагирования на кибербезопасность, подкрепленную планами и/или планами действий в случае инцидентов кибербезопасности, которые регулярно пересматриваются и отрабатываются, чтобы в случае будущего инцидента можно было организовать эффективное и действенное реагирование.
16. HSE следует разработать официальный план внутренних коммуникаций, чтобы ключевые внутренние стороны, такие как высшее руководство, добровольные больницы, CHO, получали своевременные и последовательные сообщения. В частности, HSE должна разработать специальные руководства и шаблонные ответы для конкретных сценариев, чтобы помочь быстрому реагированию и обеспечить последовательную коммуникацию.
17. HSE должна обеспечить наличие соответствующей политики, плана и процесса реагирования для управления многочисленными инцидентами безопасности, проведения расследований и сбора доказательств для оценки наилучшего потенциального плана смягчения последствий.
18. HSE следует разработать официальные стратегии и тактику смягчения последствий для изоляции, устранения и мониторинга угроз. Необходимо установить ключевые показатели эффективности (KPI), чтобы можно было оптимизировать работу.
19. HSE следует создать формальный процесс, а также ресурсы для обеспечения извлечения и кодификации уроков из всех инцидентов и их сохранения с учетом операционных и организационных изменений.
20. HSE следует внедрить план восстановления кибербезопасности, который связан с реестром активов, детализирующим клинические, корпоративные и другие приоритеты, и регулярно тестировать этот план.
21. HSE следует разработать формальный процесс фиксации улучшений/уроков, извлеченных после инцидента.
22. HSE следует рассмотреть возможность разработки коммуникационной стратегии для инцидентов кибербезопасности.

Практические рекомендации

1. Улучшение возможностей мониторинга безопасности
2. Защита привилегированного доступа
3. Создайте возможности управления уязвимостями
4. Усилить границы безопасности
5. Улучшить управление сетью
6. Повысить готовность к атаке ransomware
7. Ускорить реализацию основополагающих ИТ-проектов