NIS2 vil bli innført i lov i alle EUs medlemsland om tre måneder. Den krever forbedret grunnlinjesikkerhet, hendelsesrespons, forsyningskjedesikkerhet og mye mer for å gjøre operatører av essensielle tjenester mer cyber-resiliente. Hvis organisasjoner var i tvil om hvorfor slike forskrifter er nødvendige, kan du ikke se lenger enn til den siste NHS-ransomware-katastrofen.
Heldigvis kan beste praksis i bransjen gå langt både for å effektivisere NIS 2-overholdelse og redusere sjansene for en livstruende cyberhendelse.
Helsetjenester under brann
Til slutt ble løsepengevareangrepet som hadde en så katastrofal innvirkning på NHS-pasienter rettet mot en lite kjent helseleverandør av patologitjenester, og i skrivende stund hadde det ført til at over 800 planlagte operasjoner og 700 polikliniske avtaler ble kansellert og omorganisert, inkludert noen potensielt livreddende prosedyrer. Disse tallene gjelder de to mest berørte NHS-trustene - King's College Hospital NHS Foundation Trust og Guy's and St Thomas' NHS Foundation Trust - og kun for 3.-9. juni, så den faktiske forstyrrelsen vil sannsynligvis være enda høyere.
I tillegg til kanselleringene var NHS tvunget til å anke for blodgivere og frivillige i kjølvannet av hendelsen. Selv om den aktuelle leverandøren, Synnovis, planlegger å gjenopprette noe IT-funksjonalitet «i ukene som kommer», advarte den om at «full teknisk gjenoppretting» vil ta lengre tid, og avbrudd er sannsynlig i «måneder».
Ransomware-aktører retter seg mot helsetjenester med økende frekvens, og hver gang de gjør det, er det et potensial for at tjenesteavbrudd kan ha en potensielt livstruende innvirkning på pasienter. I Alabama i 2021, anla moren til en ni måneder gammel søksmål mot sykehuset der datteren hennes ble født, og hevdet at den ikke avslørte at den hadde blitt utsatt for et løsepenge-angrep på det tidspunktet. Fordi cyberangrepet forstyrret enheter med kritisk operativ teknologi (OT), var ikke leger i stand til å overvåke barnets tilstand ordentlig, ifølge moren. Dessverre satt hun igjen med alvorlige hjerneskader og døde ni måneder senere.
25 % sjanse for dødsfall
Selvfølgelig er helsevesenet bare en av mange sektorer for kritisk nasjonal infrastruktur (CNI) der nettangrep kan få fatale konsekvenser. Regjeringens National Risk Register 2023-rapport anslår at et alvorlig nettangrep på CNI har 5–25 % sjanse for å skje i løpet av de påfølgende to årene. hevder det at dette kan føre til dødsfall på opptil 1000 mennesker og tap på opptil 2000.
I mange slike organisasjoner er det bruken av OT- og IoT-teknologi som kan utsette dem for angrep med farlige kinetiske effekter. Dette kan sees i vannbehandlingsindustrien, hvor en 2016-angrepet resulterte i trusselaktører endret nivået av kjemikalier i drikkevann fire ganger før angrepet ble flagget.
Ifølge Anton Shipulin, cybersikkerhetsevangelist ved OT-sikkerhetsspesialist Nozomi-nettverk, å gjennomføre målrettede livstruende cyberangrep er utfordrende, men gjennomførbart.
"Det krever flere forhold for trusselaktøren, inkludert prosesskunnskap, tid, penger, personell og et sårbart mål," sier han til ISMS.online.
"Men når livskritiske eller farlige prosesser er sterkt avhengige av digitale teknologier, kan selv umålrettede angrep eller teknologifeil sette disse systemene i fare, og potensielt forårsake dødsfall eller skader. Dette gjelder spesielt i sektorer som helsevesen, industriell robotikk og kjemikalier."
Sean Tufts, administrerende partner for kritisk infrastruktur hos Optiv, er enig i at løsepengevare fortsatt er den mest potente trusselen mot CNI, gitt det store antallet grupper og hvor enkelt mange kan utnytte hull i beskyttelsen.
«En hacker som sprenger en transformatorstasjon eller et raffineri er ikke umulig, men veldig vanskelig. Du trenger en veldig avansert hackerorganisasjon kombinert med et team som vet hvordan kraftverk fungerer, sier han til ISMS.online.
"Det mer sannsynlige scenariet er at en hacker på lavt nivå setter en løsepengevarepakke på et system og stopper en fysisk prosess. Hvis den prosessen er et transportbånd, oljepumpe, elektrisk bryter eller berg-og-dal-banekontrollsystem, kan ting bokstavelig talt snurre ut av kontroll. Bransjens nåværende motto er "cybersikkerhet er sikkerhet. Sikkerhet er cybersikker'. Vi vil at utstyret i nærheten av teknikerens fingre skal være under deres kontroll.»
Avvise trusler og redde liv
Alle disse faktorene øker innsatsen betraktelig for cybersikkerhetsledere som opererer i slike bransjer. Spørsmålet blir da, hvordan kan de forbedre cyberresiliens til det punktet hvor risikoen for liv er tilstrekkelig håndtert?
"CISOer bør tenke på hvordan de vil kunne fortsette nødtjenesten i tilfelle et langvarig nettverksbrudd og innlemme dette i en hendelsesresponsplan," råder S-RM-medarbeider for hendelsesrespons, James Tytler.
"De bør også gjennomføre regelmessige bordøvelser for å sikre at alle relevante parter er klar over deres roller og ansvar på forhånd," sier han til ISMS.online.
I følge Optivs Tufts vil NIS 2 gi et nyttig sett med beste praksiser for sikkerhet å jobbe mot.
"NIS2s fokus på å sette en cybersikkerhetsbaselinje som selskaper kan vokse inn i, er svært viktig for å frigjøre budsjetter fra bedrifter med historisk lave marginer," hevder han.
Men gitt Storbritannias avgang fra EU, vil ikke forordningen gjelde for alle organisasjoner. Likevel er ikke NIS2 det eneste spillet i byen, ifølge Nozomi Networks' Shipulin.
"Nesten alle kritiske infrastrukturindustrier som bruker cyberfysiske systemer er styrt av lokale forskrifter eller internasjonale standarder som tar for seg sikkerheten til disse systemene," forklarer han. "Derfor er den beste tilnærmingen å begynne med å gjennomgå retningslinjene for cybersikkerhet gitt av industriregulatoren eller sektorspesifikke internasjonale foreninger."
Beste praksis-standarder som ISO27001 og IEC 62443 kan også hjelpe. Førstnevnte vil redusere sikkerhetsproblemer i IT-systemer som kan utnyttes av løsepengevareaktører, og sistnevnte er spesielt nyttig ettersom den er designet spesielt for OT-miljøer som industrielle kontrollsystemer.
"Denne standarden ble bygget av utøvere, ikke regulatorer. Dens anvendelighet er svært høy og tilpasset våre bransjebehov,” sier Optivs Tufts.
Med innsatsen så høy, må CISO-er i CNI-sektorer komme tilbake på forkant.
