Над две трети (69%) от главните директори по ИТ сигурността са били инструктирани от своите работодатели да си траят относно инциденти със сигурността в техните организации, според данните от ново проучване.
Главните отговорници по ИТ защитата са подложени на засилен натиск: изискване да си замълчат относно инциденти със сигурността, защото опасенията за корпоративната репутация често надминават грижата за спазването на регулаторните изисквания.
Така се е стигнало до ситуация, в която 69% от главните директори по ИТ сигурността (CISO) са били инструктирани да пазят в тайна информацията за инциденти, според скорошно проучване на Bitdefender. Явлението не е новост, но цифрите са значително по-високи от онези 42%, регистрирани в подобно проучване преди две години.
Промяна в тактиката
Промените в начина, по който действат киберпрестъпниците, могат да окажат пряко влияние върху това защо някои нарушения се премълчават, пояснява Мартин Зугек, директор технически решения в Bitdefender.
„Традиционните рансъмуер атаки, които криптират данни и принуждават чрез заплаха за публично разкриване, вече намаляват“, каза Зугек. „Вместо това нападателите все повече се фокусират върху кражбата на данни без предизвикване на смущение за бизнеса – а това прави пробивите по-малко видими за клиентите или обществеността“.
Дори когато се използва криптиране, то често е ограничено до бек-енд инфраструктурата. „Този подход минимизира обществените последици и позволява частни преговори, което допълнително увеличава натиска върху CISO относно разкриването на информация“, каза Зугеч.
Регулаторен натиск
Регулаторният натиск върху CSO идва от различни източници, включително правила за защита на данните като Общия регламент за защита на данните (GDPR) на ЕС и регулациите на финансовите пазари, които изискват своевременно разкриване на киберинциденти. Други регулации, като Законът за киберсигурност и устойчивост, DORA и NIS2, засилват регулаторния контрол.
CISO са под огромно напрежение и нараства очакването на топ-шефовете да омаловажават или избягват да докладват за киберинциденти, въпреки риска от лична отговорност, с която се сблъскват лидерите по сигурността в случаите, когато не докладват за инциденти със сигурността.
Брайън Марлат, главен регионален директор в консултантската фирма за киберсигурност CyXcel и бивш CISO, казва, че е напуснал свой предишен работодател, след като е бил помолен да омаловажи инцидент със сигурността.
„При един скорошен работодател бях помолен от главния изпълнителен директор да не споделям нищо за кибер-рисковете с одитната комисия и да преувеличавам възможностите за сигурност, когато пиша във… формуляра на комисията по ценните книжа“, каза Марлат.
„Това се случи, след като ми беше казано да не споделям подробности за компрометирането на бизнес-имейли, което наскоро ни се бе случило“, допълва той. Специалистът си обяснява случилото се с факта, че тогавашният главен изпълнителен директор е имал една година до пенсиониране.
„Почтеността означава повече за мен от всяка сума пари. Затова, когато ме помолиха да не споделям подробности за компрометирането… напуснах“, споделя той.
„Силен натиск“ за мълчание
В повечето случаи CISO, които са били обект на натиск да мълчат за предполагаеми инциденти със сигурността, избягват да говорят публично за това. Казват, че подобни форми на натиск се случват най-вече около важни събития с участието на топ-мениджмънта. Това са събрания на директорите, на акционерите, изнасяния на финансови отчети и др.
Омаловажаването изглежда доста лесно, когато шефовете извъртят картината и посочат, че „не става дума непременно за проблем с киберсигурността“. Бившите CISO дават различни примери, измежду които:
Кражба на данни за автомобилна разработка: около 500GB чувствителни инженерни и лични данни са били откраднати от вътрешен човек и по-късно продадени в тъмната мрежа; основната причина е неправилна конфигурация на системите за управление на идентичностите (IAM); случаят не е разкрит, защото за топ-мениджмънта това са „просто откраднати данни, а не хакване“.
Злоупотреба с права на супер администратор от ръководител по сигурността: старши служител по сигурността е злоупотребил с администраторски достъп, за да сплаши подчинените си и да получи достъп до акаунти на членове на борда и други високопоставени лица в компанията; центърът за операции по сигурността го е открил; случилото се е определено от ръководството като „неправилна конфигурация“, а не като кибератака.
Хакване на финансово подразделение в чужбина: хакери са пренасочили около 50 милиона евро от плащания към доставчици на бизнес-система чрез пробив при трета страна и липсващо многофакторно удостоверяване; случаят е потулен с аргумента, че „не попада в обхвата на местните закони на ЕС“.
Откраднати администраторски идентификационни данни: CrowdStrike е маркирал все още активен акаунт на супер администратор; липсват лог файлове; червените екипи препоръчват нулиране на IAM системата, но препоръката е игнорирана от мениджмънта, защото „не е открита пряка вреда“.
Скандал с подкуп на CISO: доставчик от Голямата петица подкупва CISO на глобална организация и двама директни подчинени с почивки и други скъпи привилегии, за да си осигури договори по целия свят; доказателствата са игнорирани, а CISO е тихо заменен със „златно ръкостискане“ и на екипа е казано да не обсъжда случилото се.
Стиснати в менгеме
Подобни ситуации подчертават колко „невъзможна“ е позицията, в която често се намират CISO: законово отговорни за сигурността, но под натиск да игнорират стандартите, когато разкриването на информация е в конфликт с корпоративните интереси.
„Бизнесът не разбира какво означава това за хората, които наистина се интересуват“, казва бивш шеф по ИТ сигурността, пожелал анонимност именно поради оказван натиск. Изправени пред толкова трудна позиция, мнозина са по-склонни да се съобразят с исканията да мълчат.
„Няма истинска защита за лицата, подаващи сигнали за нередности“, казва анонимният CISO. Изказването на мнение би сложило край на кариерата.
Марлат от CyXcel добавя, че бизнес-ръководителите обикновено се опитват да скрият, че някога е имало инцидент, въпреки че е много вероятно той да окаже влияние върху техните клиенти или бизнес-партньори.
„Като консултант съм чувал за много CISO, които са били помолени да не споделят подробности за инцидент или да не споделят, че е възникнал инцидент“, каза Марлат.
„С увеличаването на случаите на рансъмуер и необходимостта от привличане на външни експерти по дигитална криминалистика и реагиране на инциденти или подаване на застрахователни искове, вече става много по-трудно да се скрият тези инциденти, които са от голямо значение“, заключава той.
