Czego uczy COVID-19 na temat cyberbezpieczeństwa?

Większość świata doświadczyła i nadal doświadcza bardzo nietypowych warunków życia w wyniku COVID-19. W szczytowym momencie pandemii ponad 2 miliardy ludzi było objętych obostrzeniami, a 91% ludności świata, czyli 7,1 mld osób, żyje w krajach objętych kontrolą graniczną lub ograniczeniami podróży z powodu wirusa. Pocieszające byłoby myślenie, że jest to jedynie „załamanie” przerywające na moment stabilny stan rzeczy, i że świat powróci do „normalnego życia”, gdy medycyna i nauka poskromią wirusa.

Jednakże COVID-19 to nie jedyne ryzyko związane z możliwością szybkiego i wykładniczego zakłócenia naszego stylu życia. Kryzys pokazuje, że świat jest znacznie bardziej podatny na zakłócenia wywołane przez pandemię czy ataki cybernetyczne. Czy grozi nam cyber-pandemia?  Taki scenariusz jest równie prawdopodobny jak prawdopodobny okazał się COVID-19. Warto zatem podjąć odpowiednie środki zaradcze już teraz. Ważne jest przeanalizowanie wniosków wynikających z pandemii i wykorzystanie ich do skutecznej obrony.

Hipotetyczne scenariusze

Po pierwsze cyberatak o cechach podobnych do koronawirusa rozprzestrzeniałby się szybciej i dalej niż jakikolwiek wirus biologiczny. Współczynnik reprodukcji lub R0 COVID-19 wynosi 2-3 bez jakiegokolwiek dystansu społecznego, co oznacza, że ​​każda zarażona osoba przenosi wirusa na kilka innych osób. Liczba ta wpływa na szybkość rozprzestrzeniania się wirusa. Natomiast szacunki R0 w odniesieniu do cyberataków wynoszą 27 i więcej.

Jeden z najszybszych robaków w historii Slammer / Sapphire z 2003 r. podwajał się co około 8,5 sekundy, rozprzestrzeniając się na ponad 75 000 zainfekowanych urządzeń w 10 minut i 10,8 miliona urządzeń w ciągu 24 godzin. Atak WannaCry w 2017 r. wykorzystał lukę w starszych systemach Windows do zaatakowania ponad 200 000 komputerów w 150 krajach. „Cyber-covid 19” byłby samorozprzestrzeniającym się atakiem wykorzystującym jeden lub więcej exploitów „zero-day”. Najprawdopodobniej zaatakowałby wszystkie urządzenia z jednym wspólnym systemem operacyjnym lub aplikacją.

Ponieważ ataki typu "zero-day" są rzadko wykrywane od razu, a zatem zidentyfikowanie wirusa mogłoby zająć dużo czasu, aby powstrzymać jego rozprzestrzenianie się. Gdyby wektor był popularną aplikacją społecznościową z, powiedzmy, 2 miliardami użytkowników, wirusowi o współczynniku reprodukcji wynoszącym 20 mogłoby zająć pięć dni, aby zainfekować ponad miliard urządzeń.

Po drugie skutki ekonomiczne powszechnego wyłączenia cyfrowego byłyby tego samego rozmiaru lub większe niż to, co obecnie obserwujemy. Gdyby cyber-COVID odzwierciedlał patologię koronawirusa, 30% zainfekowanych systemów byłoby bezobjawowych i rozprzestrzeniałoby wirusa, podczas gdy połowa nadal działałaby ze znacznie obniżoną wydajnością. Tymczasem 15% z nich dotknęłaby całkowita utrata danych, co wymagałoby pełnej ponownej instalacji systemu. Ostatecznie 5% byłoby „unieruchomionych”, co uniemożliwiałoby działanie samego urządzenia. W rezultacie miliony urządzeń zostałyby wyłączone w ciągu kilku dni.

Jedynym sposobem na powstrzymanie wykładniczej propagacji cyber-COVID byłoby całkowite odłączenie wszystkich wrażliwych urządzeń od siebie i Internetu, aby uniknąć infekcji. Cały świat mógł doświadczyć cyber-blokady aż do opracowania cyfrowej szczepionki. Cała komunikacja biznesowa i transfery danych zostałyby zablokowane. Kontakt społeczny zostałby zredukowany do osób, z którymi można się porozumieć osobiście, poprzez telefon stacjonarny lub krótkofalówkę. Szacuje się, że jeden dzień bez Internetu kosztowałby świat ponad 50 miliardów USD. 21-dniowa globalna blokada cybernetyczna mogłaby kosztować ponad 1 bilion USD. Blokada cybernetyczna wprowadziłaby również nowe wyzwania dla gospodarek zależnych cyfrowo.

Po trzecie odzyskiwanie po powszechnym zniszczeniu systemów cyfrowych byłoby niezwykle trudne. Wymiana 5% podłączonych urządzeń na świecie wymagałaby około 71 milionów nowych urządzeń. Producenci nie byliby w stanie szybko zwiększyć produkcji, aby zaspokoić popyt, szczególnie w przypadku wpływu na systemy produkcyjne i logistyczne. W przypadku systemów, które by przetrwały, pojawiłyby się wąskie gardła w zakresie ponownej instalacji.

Czy taki scenariusz jest możliwy i jak przygotować się na taką ewentualność?

Powszechne, systemowe cyberataki są nie tylko możliwe, ale również wysoce prawdopodobne. Wczesne zdecydowane działania zwiększają odporność. Oczywiście nie można przygotować się na każde potencjalne ryzyko, ale można inwestować w ćwiczenia scenariuszowe, aby skrócić czas reakcji i docenić zakres opcji strategicznych w przypadku ataku. Niezwykle ważne są plany ciągłości niezbędne, aby zapewnić organizacjom możliwość kontynuowania działalności w przypadku nagłej utraty cyfrowych narzędzi i sieci.

Przykładem jest duńska firma działająca m.in. w obszarze transportu i energii, która doświadczyła cyberataku NotPetya w 2017 r., podczas którego wyjęto 49 000 laptopów i drukarek i wyczyszczono kontakty z telefonów zsynchronizowanych z Outlookiem. Pokazuje to jak ważną częścią transformacji cyfrowej jest odpowiednie przechowywanie wrażliwych i ważnych informacji.

Wnioski

Ryzyko z pewnością istnieje. W jakim zakresie? Tego nie można w 100% przewidzieć, ale można się na to przygotować. Warto zatem wykorzystać potencjał zaawansowanych narzędzi i rozwiązań chroniących przed cyberzagrożeniami. Obecnie wg IDC 83% firm w Europie zwiększy lub utrzyma na tym samym poziomie wydatki na cyberbezpieczeństwo. Największych inwestycji można się spodziewać w obszarze zarządzania dostępem, bezpieczeństwa sieci i bezpieczeństwa danych. Pokazuje to, że organizacje dostrzegają konieczność inwestowania w bezpieczeństwo, które w obecnych realiach ma znaczenie priorytetowe.