W dniu 21. marca prezydent Biden wydał oświadczenie, dotyczące ochrony sektora publicznego przed atakami cybernetycznymi.
„Jeśli jeszcze tego nie zrobiliście, wzywam naszych partnerów z sektora prywatnego do natychmiastowego wzmocnienia obrony cybernetycznej poprzez wdrożenie najlepszych praktyk, które wspólnie wypracowaliśmy w ciągu ostatniego roku […]”
Ponadto Biały Dom wydał biuletyn informacyjny, w którym na pierwszym miejscu listy znalazł się apel do firm o „wprowadzenie obowiązku stosowania wieloczynnikowego uwierzytelniania, aby utrudnić atakującym dostanie się do systemów informatycznych”.
To najnowsze wezwanie do działania, ze strony Białego Domu opiera się na zeszłorocznym rozporządzeniu wykonawczym, które koncentrowało się na sektorze publicznym i wszystkich firmach współpracujących z agencjami federalnymi. Ponadto notatka: Office of Management and Budget (OMB) M-22-09 omówiła kilka tematów, w tym wdrożenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA) w ramach wdrażania architektury Zero Trust oraz zabezpieczenia łańcucha dostaw oprogramowania.
Ochrona przed atakami cybernetycznymi oraz uwierzytelnianie wieloczynnikowe odporne na phishing.
Choć istnieje wiele twierdzeń na temat tego, co pomaga w zabezpieczeniu przed phishingiem, nie wszystkie mechanizmy MFA są sobie równe. Jasna definicja, zgodnie z notatką OMB (strona 7), określa, że odporne na phishing są dwie technologie uwierzytelniania – stosowana przez rząd federalny – Personal Identity Verification (PIV)/Smart Card, oraz nowoczesna FIDO/WebAuthn. Metody takie jak SMS, powiadomienia mobilne typu push i hasła jednorazowe (OTP) nie zostały uwzględnione, gdyż okazały się podatne na phishing.
Klucz YubiKey obsługuje oba te standardy uwierzytelniania, a dodatkowo może posiadać amerykański certyfikat FIPS oraz jego europejski odpowiednik CSPN. Bywa to kolejnym wymogiem w wielu sytuacjach w sektorze publicznym i rządowym, a także w prywatnym, który wspiera infrastrukturę krytyczną i łańcuch dostaw oprogramowania.
Stwórz plan ochrony przed atakami cybernetycznymi
- Zbierz zespół planistyczny złożony z najbardziej utalentowanych pracowników, a następnie zleć im przeprowadzenie pełnego audytu, w którym priorytetem będzie dostęp do danych wrażliwych. Potrzebna będzie pełna ewidencja danych, oprogramowania i mechanizmów kontrolnych, a także wszystkich wykonawców i osób trzecich mających dostęp do sieci. Może to być trudne zadanie, dlatego należy skupić się na kluczowych systemach i punktach dostępu. Zaangażowanie właściwych członków zespołu pozwala szybko zidentyfikować systemy priorytetowe i zagrożenia, dzięki czemu można się nimi szybko zająć. Ważne jest, aby na tym nie poprzestać. Zaniedbane systemy o niskim priorytecie są często wykorzystywane przez napastników. Audytowanie i skanowanie w poszukiwaniu systemów niezgodnych z przepisami powinno być stałym działaniem. Można się zdziwić, jak wiele firm nie przeprowadza takich pełnych przeglądów bezpieczeństwa, co jest dla nich niekorzystne.
- Zbuduj zrównoważony plan bezpieczeństwa, który pozwoli uniknąć szybkich rozwiązań i uczyni go częścią DNA Twojej firmy. Aby mieć pewność, że firma nie działa od jednego ćwiczenia przeciwpożarowego do następnego, bezpieczeństwo musi być priorytetem na wszystkich poziomach organizacji. Odporne na phishing nowoczesne rozwiązanie MFA można w niektórych przypadkach wdrożyć szybko, a w innych będzie to wymagało więcej wysiłku. Posiadanie uzgodnionego planu, który zapewnia spójne podejście do MFA, usprawni i przyspieszy plany wdrożeniowe. Dostosowanie strategii uwierzytelniania do standardów takich jak PIV i FIDO, które współpracują z wieloma dostawcami usług zarządzania dostępem do tożsamości (IAM), systemami operacyjnymi i przeglądarkami, zapewni Ci maksymalne możliwości przeciwdziałania zagrożeniom bezpieczeństwa i szybkiego wdrożenia.
- Uwzględnij wnioski o finansowanie w nadchodzących cyklach budżetowych. Twarda rzeczywistość jest taka, że poprawa bezpieczeństwa wymaga zasobów i zgody kierownictwa na przydzielenie środków. Bezpieczeństwo nie jest inwestycją jednorazową, ale musi być traktowane jako standardowa część budżetu w celu ochrony firmy. Posiadanie trwałego planu pomoże uzyskać poparcie kierownictwa, ponieważ będzie ono mogło lepiej zrozumieć, w jaki sposób będzie on chronił firmę. Warto podkreślić, iż może on przynieść wymierne korzyści, poza zmniejszeniem ryzyka może ograniczyć koszty audytu, szkoleń itp. Zrozumienie przez kierownictwo wartości programu, który poprawia i zabezpiecza funkcjonowanie całej firmy, pomoże w uzyskaniu akceptacji budżetu. Atakujący nie czekają na coroczne cykle budżetowe, aby podjąć działania, które mogą wymagać dodatkowych funduszy.
Jak należy informować pracowników i interesariuszy o pilnej potrzebie ochrony przed atakami cybernetycznymi?
Kiedy prezydent przemawia, ludzie słuchają. Tak więc nie jest już kwestią dyskusyjną czy odporna na phishing funkcja MFA pojawi się w całym świecie biznesu, ale jak długo potrwa jej pełne przyjęcie i wdrożenie, oraz które branże osiągną ją najszybciej. Już dziś możesz podjąć następujące kroki:
- Poinformuj pracowników o konieczności przygotowania się na zwiększone zagrożenie cyberbezpieczeństwa.
- Jasno określ, jakie kroki podejmie sama organizacja w ciągu najbliższego roku – włączając w to osoby wchodzące w skład zespołu planującego i ich cele.
- Mówiąc o inicjatywie, używaj języka integracyjnego, zrozumiałego dla wszystkich.
Wypowiedź Prezydenta Bidena, podkreśla to, co wszyscy obecnie czujemy – żyjemy w czasach, które szybko się zmieniają i są nieprzewidywalne.