Uma lente geopolítica para resiliência cibernética

Cyber ​​Wars não é mais o reino da fantasia; Eles estão se tornando uma realidade - e um frequentemente travado por substitutos, o que os torna assuntos sombrios. A relação entre os substitutos e seus estados-nação é geralmente ambígua, assim como as motivações subjacentes para os ataques. O que está claro é que organizações privadas de todos os tamanhos e tipos são alvos em potencial em um jogo de tabuleiro de alto risco e que precisam de uma nova mentalidade para se proteger contra o aumento segurança cibernética Riscos.

Ataques cibernéticos não são novos na geopolítica, mas sua frequência está aumentando, o dano mais devastador, os alvos mais variados e as motivações mais abrangentes. Cada vez mais, a guerra cibernética não é simplesmente realizada entre nações. As metas geralmente são empresas, redes privadas e infraestrutura. Recentemente, sistemas de água, hospitais e outras infraestruturas críticas, como oleodutos, sofreram ataques vinculados a atores estatais. Esses tipos de ataques aceleraram durante a pandemia, pois os hackers aproveitaram o Vulnerabilidades do trabalho remoto e as preocupações com esse tipo de guerra foram montadas desde o início da guerra na Ucrânia.

Historicamente, as nações iniciaram ataques cibernéticos para reunir inteligência. Recentemente, esses ataques parecem ter expandido o escopo, interrompendo os serviços e as empresas aparentemente com o objetivo de enfraquecer a sociedade. Um indivíduo único, operando em segredo, pode prejudicar a infraestrutura nacional vital ou uma empresa desavisada e despreparada. Eles ainda não internalizaram a necessidade de endurecer suas defesas, pois a nova era lança uma sombra escura e escura sobre o setor privado. Sua organização é preparada?

At the same time, the boundaries between traditional organized crime and geopolitical crime are blurring. A single individual, operating in secret, can cripple vital national infrastructure or an unsuspecting and unprepared company.

Many organizations are unprepared to protect themselves in this increasingly hostile, asymmetrical, and secretive world. They have not yet internalized the need to harden their defenses as the new age casts a dark, murky shadow over the private sector. Is your organization prepared?

O que isso significa para as organizações?

The expanding threat posed by cyber attacks has at least three implications for companies, even those whose businesses would not historically make them geopolitical targets.

Everyone Is Exposed

Even small and midsize enterprises such as regional hospitals have been victims of cyber attacks. Increasingly, hackers are infecting open-source software widely used by organizations of all sizes. Case in point: in December 2021, a computer bug infected a popular open-source tool, Log4j, that tracks computer activity. Bad actors quickly began using the tool to take control of or infect computer systems. A senior US cybersecurity official called it “one of the most serious vulnerabilities I have seen.”

As organizações devem se preparar para ataques com diferentes motivações

When the motives behind attacks expand into the geopolitical realm, preparation and Gerenciamento de riscos tornar -se mais complexo. As organizações estão agora afastando ataques projetados para prejudicar ou incomodar civis ou semear discórdios. Ataques contra sites, interrupções do serviço e a criação e distribuição de notícias falsas se encaixam na conta.

As armas são cada vez mais avançadas

Organizations must be constantly on guard as the tools of the hacking trade are becoming increasingly sophisticated and more widely available. In a spiraling arms race, nations and nonstate actors alike are developing more powerful weapons, which in turn encourage the development of stronger cyber shields, which encourage the development of stronger weapons, and so on.

In this treacherous setting, preparation is essential.

Risk and Crisis Management Readiness

The days of treating cybersecurity as an afterthought or an add-on are long over. Organizations need a full suite of capabilities to keep attacks at bay. They have two primary sets of activities: identifying and mitigating the risks and ensuring that the organization is ready if a hack occurs.

Identificando e mitigando os riscos

As organizações precisam tratar o risco cibernético como uma ameaça comercial existencial. Eles precisam construir camadas de vigilância, preparação e proteção.

Put cyber risk in the C-suite. Em um mundo cada vez mais hostil, a segurança cibernética pertence ao C-suite. Muitas organizações continuam a atribuir a responsabilidade exclusiva de gerenciar esse risco ao departamento de TI ou diretor de segurança da informação. A menos que o tópico esteja na suíte C, a cibersegurança existirá além dos negócios e da estratégia, em vez de serem fortemente integrados a eles.

quantifique a exposição ao risco cibernético. O risco cibernético é inerentemente imprevisível e irregular, mas não incerto. Todos, exceto os menores ou mais sortudos, provavelmente serão atacados. Como na maioria dos outros riscos, as organizações devem quantificar suas exposições a ataques cibernéticos e antecipar os custos e os recursos necessários para combatê -los. Essa quantificação deve estar em andamento e dinâmica porque os riscos cibernéticos mudam ao longo do tempo.

Planeje vários cenários de ameaças. Esses cenários precisam ser incorporados à tomada de decisão final nos investimentos em segurança cibernética. O ataque? Eles precisam investir na mitigação de segurança cibernética que podem abordar o conjunto expandido de cenários, em vez de descartá -los como altamente improvável. (Consulte o Anexo 1.) In the risk assessment process, organizations should evaluate threat scenarios in which the attacker is a nation-state or the hacks are motivated by geopolitics. These scenarios need to be incorporated into the final decision making on cybersecurity investments.

The SolarWinds hack in 2020, an attack widely thought to have been undertaken for geopolitical reasons, can serve as an example of how to assess threat scenarios.

A scenario-planning exercise focused on cyber threats should explore the answers to four questions:

• Who might attack?
• Why—what would motivate the attackers?
• Where might they strike?
• How would the hack be carried out (the potential forms of attack)?

Now that nation-states may be the “who” and geopolitical motivations may be the “why,” the stakes are higher for all organizations. They need to invest in cybersecurity mitigation that can address the expanded set of scenarios rather than dismissing them as highly unlikely. (See Exhibit 1.)

Seja melhor que outros. Em ataques geopolíticos, os atores geralmente examinam a paisagem para o alvo mais fraco. Se o objetivo é causar estragos, os atores podem estar menos preocupados com a organização que atacam. Um negócio com recursos mais fortes do que seus pares, mesmo que não seja melhor na categoria, pode evitar ser comprometido. As organizações devem estar atualizando continuamente seus recursos para que fiquem à frente do pacote.

Gerencie os riscos da cadeia de suprimentos. Cadeias de suprimentos Supply chains são um alvo principal de ataques geopolíticos porque hacks de sucesso quase podem derrubar um setor inteiro. O objetivo de um ataque cibernético da cadeia de suprimentos típico tem sido historicamente espionagem ou interrupção. Essas greves tendem a ser sofisticadas e engenhosas. The risks of cyber attacks on supply chains are varied but include disruptions related to:

• A technology vendor being compromised
• A supplier suffering an outage from a cyber attack
• Ransomware or a kind of backdoor being inserted into software purchased from a vendor
• A data breach occurring after a O provedor de processamento de dados sofre um ataque

em 2020 e 2021, organizações de notícias e empresas relataram vários desses ataques. A Accellion, um fornecedor de compartilhamento de arquivos e colaboração, informou que os atacantes exploraram seu software de transferência de arquivos, permitindo o acesso aos dados do cliente armazenados na nuvem. Kaseya, fornecedora de software para monitoramento e gerenciamento remoto de TI, experimentou uma violação em julho de 2021. Os atacantes conseguiram implantar remotamente ransomware nas redes dos clientes da Kaseya. Como resultado, o varejista sueco Coop foi forçado a fechar pelo menos 800 lojas por um dia. Dos mais de 24 ataques cibernéticos da cadeia de suprimentos de alto impacto relatados de janeiro de 2020 a julho de 2021, mais da metade foi perpetrada por grupos bem conhecidos "avançados persistentes", geralmente acreditados como serem apoiados por estados-nação. Eventualmente, muitas organizações sofrerão um ataque. A eficácia de sua resposta dependerá de seu pragmatismo, preparação e resiliência. As empresas devem ter quatro tipos de plano para combater um ataque (consulte o Anexo 2):

Increasingly, the hackers behind these attacks are persistent, highly skilled actors backed either by nation-states or by large, well-financed cybercriminal groups. Of the more than 24 high-impact global supply chain cyber attacks reported from January 2020 through July 2021, more than half were perpetrated by well-known “advanced persistent-threat” groups, often believed to be backed by nation-states.

Being Ready When an Attack Occurs

In today’s perilous world, prevention is not always possible. Eventually, many organizations will suffer an attack. The effectiveness of their response will hinge on their pragmatism, preparedness, and resilience. Companies should have four types of plan to combat an attack (see Exhibit 2):

• Resposta de incidentes. Recuperação. The steps to prepare for, detect, contain, and recover from an attack.
• Business Continuity. A plan for how the organization will keep operating while recovering from the attack.
• Disaster Recovery. A step-by-step guide for returning to a preattack state.
• Crisis Management. Um esboço abrangente das atividades legais, regulatórias, financeiras e de comunicação e direitos de decisão necessários para gerenciar através da crise. Isso pode fornecer assistência. Quando um hack está enraizado na geopolítica, os reguladores e outros órgãos públicos podem ser indispensáveis.

In addition, organizations should establish ongoing communication and dialogue with the leading national agencies and authorities that can provide assistance. When a hack is rooted in geopolitics, regulators and other public bodies can be indispensable.

Ser um bom vizinho também faz parte da prontidão organizacional. Se uma empresa for invadida e o ataque estiver se espalhando, a organização pode ajudar outras pessoas a minimizar sua exposição, compartilhando indicadores de compromisso, como evidência forense de intrusão.

Uma das melhores maneiras de estar pronta é praticar. Os edifícios executam rotineiramente exercícios de incêndio para preparar os moradores em caso de emergência. As empresas devem realizar exercícios de mesa semelhantes, para que os conselhos de diretores, executivos de nível C e funcionários entendam o que pode acontecer em um ataque cibernético e nas etapas que deveriam tomar. Quanto mais abrangente e testou o plano, melhor será a resposta da organização a um incidente.

Esses exercícios pagam dividendos no mundo real. Durante um incêndio real, você não quer estar tentando encontrar as saídas. Na Cúpula de Bruxelas, em 2021, os membros da OTAN endossaram uma nova política que reconheceu a necessidade de defesa coletiva, gerenciamento de crises e cooperação no combate às ameaças cibernéticas. É hora de todas as empresas levarem essas ameaças tão a sério quanto a OTAN.

---

Since 2016, NATO has recognized cyberspace as a theater every bit as critical as land, sea, and air to the defense of its member countries. At the Brussels summit in 2021, NATO members endorsed a new policy recognizing the need for collective defense, crisis management, and cooperation in combating cyber threats.
 
As recent history has shown, these attacks are often targeted at privately owned infrastructure. It’s time for all businesses to take these threats as seriously as NATO.