Skip to main content

Міста

20 травня 2024 року

 

Під кібероблогою: наскільки добре міста захищають себе?

  

Згідно з новим дослідженням RiskRecon, міста не дрімають перед кіберзагрозами, але потрібно більше працювати над захистом їхніх даних та запобіганням перебоям у роботі критично важливих послуг. 

Satta Sarmah Hightower

Contributor

Лише за останні шість місяців американські міста — від Сент-Клауда, штат Флорида, до Вічіти, штат Канзас, Лонг-Біч, штат Каліфорнія, та інші — стали цілями кібератак, що поставило під загрозу життєво важливі державні служби. Однак нещодавнє дослідження показує, що багато міст серйозно ставляться до цих загроз і працюють над зміцненням своєї кіберстійкості.

RiskRecon, компанія Mastercard та провідний постачальник рейтингів та оцінок кібербезпеки, аналізує, як 271 місто по всій території США змінило свою безпекову ситуацію протягом останніх трьох років. У серпні 2021 року компанія оцінила ці міста та присвоїла їм рейтинги на основі їхньої ефективності в дев'яти сферах безпеки, починаючи від безпеки додатків і закінчуючи веб-хостингом. Відтоді, за даними RiskRecon, середній загальний рейтинг безпеки покращився з 7,3 до 8,1 за 10-бальною шкалою.

Станом на січень 221 місто отримало рейтинг A або B, що свідчить про посилення безпеки в багатьох юрисдикціях.

Однак містам не варто втрачати пильність, каже Ріго Ван ден Брок, виконавчий віце-президент з інновацій у сфері кібербезпеки в Mastercard. «Жодна організація не є занадто великою чи занадто малою, щоб бути мішенню для атаки». «На кожну організацію, незалежно від її розміру, знайдеться свій потенційний хакер», – каже він.

Одна з найнебезпечніших вразливостей для міст, яку відносно легко виправити, — це оновлення застарілого програмного забезпечення, каже Ріго Ван ден Брок з Mastercard.

У нещодавній розмові з Mastercard Newsroom Ван ден Брок поділився тим, що дослідження RiskRecon показує про поточний ландшафт ризиків для міст і як краще захистити критично важливі системи та дані.

 

Гарна новина полягає в тому, що уряди вживають заходів для самозахисту. Погана новина полягає в тому, що уряди та державна інфраструктура, яку вони захищають, дедалі частіше стають мішенню для зловмисників. Що є рушійною силою цього?

Ван ден Брок: Ми всі бачили заголовки газет, у яких детально описувалися руйнівні кібератаки на уряди та державну інфраструктуру — прикладів не бракує. У всіх секторах цифровізація була постійною протягом багатьох років, але історично багато урядів повільніше адаптувалися. COVID змінив правила гри, оскільки пропонування цифрових послуг перестало бути необов'язковим. Стало критично важливим, щоб уряди могли обслуговувати своїх громадян через Інтернет. Ця швидка еволюція значно розширила поверхню атаки, надаючи більше можливостей для кіберзлочинців.

Важливо зрозуміти, хто стоїть за цими атаками. Хакери часто обирають свої цілі на основі кількох поширених факторів, таких як чутливість даних організації або те, наскільки критично важливою може бути безперебійна робота. Уряди також є головними мішенями для політично мотивованих злочинців. Якщо поєднати всі ці фактори, не дивно, що уряди часто стають мішенями.
 

Які фінансові та операційні ризики для міст, які залишаються відкритими для хакерів?

Ван ден Брок: Хакери часто використовують викрадені дані у спробах вимагання або продають цю інформацію іншим злочинцям, що призводить до значних збитків для організацій, за які вторглися злами. Звіт IBM про вартість витоку даних за 2023 рік показує, що середня світова вартість витоку даних у 2023 році становила 4,45 мільйона доларів. 

У містах існує ще більший фінансовий ризик через важливі послуги, які вони надають, та конфіденційні дані, які їм доручено захищати. Коли вони стикаються з кіберінцидентом, наслідки мають широкий спектр. Ми спостерігали порушення, які, наприклад, позбавляютьпрацівників екстрених службінформації в режимі реального часу, необхідної їм для ефективного реагування на кризові ситуації, або обмежують доступ до публічних комп’ютерів в одній із найзавантаженіших бібліотечних систем світу. Повторне запуск та працездатність систем може бути дорогим, а міста можуть зіткнутися з витратами, пов'язаними з моніторингом, судовими процесами та реагуванням на інциденти.

А ще є репутаційна шкода, коли втрата громадської довіри може бути згубною, особливо якщо врахувати, що місцеві органи влади є одними з найбільш надійних державних органів. Важко цьому дати ціну.
 

Як RiskRecon, так би мовити, перевіряє паркани?

Ван ден Брок: RiskRecon постійно оцінює присутність в Інтернеті понад 19 мільйонів організацій, від продавців електронної комерції до багатонаціональних конгломератів та організацій охорони здоров'я. Оцінювання є як широким, так і глибоким, шукаючи публічно видимі докази, які ми можемо використовувати для визначення кібергігієни організації, такі як застаріле та вразливе програмне забезпечення або інтернет-комунікації, які не захищені належним чином. Наше дослідження показало, що організації з дуже низьким рівнем гігієни кібербезпеки (які оцінюються як D або F) стикалися з порушеннями у 35 разів частіше, ніж організації з рейтингом A.
 

4,45 мільйона доларів

Середня вартість витоку даних у 2023 році, за даними IBM

Які найефективніші способи покращення кібербезпеки за допомогою міст?

Ван ден Брок: У низці звітів та досліджень, як від Mastercard, так і від інших компаній галузі, послідовно визначається кілька головних претендентів на участь у витоку даних. Серед них застаріле програмне забезпечення, яке не могло отримувати оновлення безпеки протягом певного часу, а також випадки, коли конфіденційні сервіси виставлені на розгляд публічному Інтернету, чого не повинно бути. Подумайте про бази даних та інструменти віддаленого доступу. 

Гарна новина полягає в тому, що міста, які ми моніторили протягом останніх років, демонструють вищі загальні рейтинги, що свідчить про кращу кібергігієну. Ми спостерігаємо загальне покращення у восьми з дев'яти областей безпеки, які ми оцінюємо, і здобутки були в потрібних місцях, включаючи безпеку електронної пошти та систем доменних імен, оновлення програмного забезпечення та веб-шифрування.
 

Які найпростіші та найнегайніші кроки вони могли б зробити для міст, які отримали нижчі бали?

Ван ден Брок: RiskRecon виступає за підхід, який враховує серйозність проблеми, з якою стикається організація, та чутливість системи, на яку вона впливає. Застаріле програмне забезпечення вже давно вважається однією з найнебезпечніших вразливостей для підприємства, і не очікується, що це зміниться найближчим часом. Це має бути пріоритетом.

Розробка надійної кібергігієни потребує часу, тому завжди важливо оцінювати способи зниження ризиків протягом усього процесу кібербезпеки. Існують ресурси, які можуть допомогти містам незалежно від їхнього розміру. Агентства з кібербезпеки на різних рівнях уряду та групи реагування на комп'ютерні надзвичайні ситуації мають широкі місії, які допомагають забезпечити безпеку Інтернету. Mastercard також з гордістю підтримує кілька організацій, які надають безкоштовні послуги з кібербезпеки, зокрема CyberPeace Institute, Global Cyber Alliance та Shadowserver Foundation.
 

Як міста, що покладаються на сторонніх постачальників, гарантують, що вони не роблять себе вразливими?

Ван ден Брок: Розуміння ризиків, пов’язаних із третіми сторонами, є критично важливим для організацій, особливо враховуючи складність розширення ланцюгів поставок та збільшення кількості випадків порушення безпеки третіми сторонами. У кібербезпеці існує явище, коли подібні організації використовують однакові типи технологій, оскільки їм потрібні певні можливості та вирішують покладатися на одне й те саме програмне забезпечення, або навіть коли є кілька спеціалізованих постачальників, які задовольняють потреби цих організацій. Наслідком цього є системна концентрація кіберризиків, яка може мати катастрофічні наслідки, якщо один із цих постачальників послуг або програмного забезпечення постраждає від події кібербезпеки.

У нашому нещодавньому опитуванні, проведеному разом з Інститутом Cyentia, «Стан управління ризиками, пов’язаними з третіми сторонами», ми виявили, що 23% респондентів зазначили, що їхня організація постраждала від порушення безпеки з боку третьої сторони. Створення надійної програми управління ризиками для третіх сторін є необхідністю сьогодні. Ми вже не той етап, коли комплексна перевірка (due diligence) відбувається лише на етапі адаптації постачальника. Натомість, організаціям потрібна видимість своїх третіх сторін у режимі реального часу, щоб належним чином розуміти та керувати своїми ризиками. 
 

Що б ви сказали містам, які вважають себе занадто малими, щоб бути мішенню для боротьби з ними?


Цікаво, що ми спостерігаємо несподівано виниклі ризики кібербезпеки у менших містах та урядах, оскільки вони спільно використовують багато ресурсів для досягнення ефективності. Це означає, що вразливості в одній системі може бути достатньо, щоб зупинити роботу багатьох муніципалітетів, як ми бачили під час атаки програми-вимагача, яка вразила 23 невеликі міста Техасу кілька років тому. Легко подумати, що ви можете не бути мішенню кібератаки, оскільки мотив може бути неочевидним, але інциденти, які ми продовжуємо спостерігати, доводять протилежне.
 

 

 

Існує дефіцит кіберталантів. Навчання глухих людей може допомогти

Не вистачає кваліфікованих людей для заповнення вакансій у сфері кібербезпеки. Навчання глухих та слабочуючих людей може посилити кіберзахист.

Дізнатися більше
Жінка підписує документи перед комп'ютером в офісі.