Власти Швейцарии решили штрафовать субъектов КИИ за несообщение о киберинцидентах, человеческий фактор лежит в основе 95% утечек данных, прокуратура Нью-Йорка обвинила страховую компанию в слабой защите от киберугроз, Белый дом провёл перетряску Агентства по кибербезопасности (CISA), ФБР не советует жертвам кибератак выплачивать выкуп злоумышленникам Medusa, а британские власти пригрозили карой социальным сетям за нарушения в обработке данных детей.

 

Швейцария ввела обязательную отчетность о кибератаках на критически важную инфраструктуру

Субъекты критической инфраструктуры в Швейцарии вскоре будут обязаны по закону сообщать властям страны о кибератаках. Принятая Федеральным советом 7 марта норма будет упомянута в поправке к Закону об информационной безопасности (ISA) от 29 сентября 2023 года, которая вступит в силу 1 апреля 2025 года.

С этой даты субъекты критической инфраструктуры, работающие в стране, включая поставщиков энергии и питьевой воды, транспортные компании, а также кантональные и коммунальные администрации, должны будут сообщать о совершенных на них кибератаках в Национальный центр кибербезопасности (NCSC) в течение 24 часов с момента обнаружения.

Норма отчетности будет применяться, если кибератака угрожает функционированию критической инфраструктуры субъекта, привела к манипулированию или утечке информации или связана с шантажом, угрозами или принуждением.

Форма отчета будет доступна на Cyber Security Hub NCSC, портале для обмена информацией между федеральным правительством Швейцарии и субъектами критической инфраструктуры. Организации, не зарегистрированные на платформе, могут отправлять отчеты по электронной почте, используя форму, доступную на веб-сайте NCSC. После отправки первоначального отчета в течение 24 часов с момента обнаружения инцидента у них есть 14 дней на заполнение отчета.

Субъекты критической инфраструктуры, которые не сообщают о кибератаке, соответствующей определённым критериям, могут быть оштрафованы, хотя власти не указали точную сумму. Переходный период будет действовать до 1 октября 2025 года, чтобы дать пострадавшим организациям достаточно времени для подготовки к новому обязательству по отчетности.

Законодательство многих стран мира предъявляет аналогичные требования к отчетности в отношении субъектов критической инфраструктуры, в том числе в Австралии, ЕС, Японии, Сингапуре, Южной Корее, Великобритании и США.

 

95% утечек данных в 2024 году связаны с человеческим фактором

Согласно новому исследованию Mimecast, 95% утечек данных в 2024 году были вызваны человеческими ошибками, связанными с внутренними угрозами, неправомерным использованием учетных данных и ошибками пользователей. Небольшая часть сотрудников внесла несоразмерный вклад в эти инциденты безопасности: всего 8% сотрудников оказались ответственными за 80% инцидентов.

В отчете отмечено несколько громких инцидентов за последний год, связанных с человеческими ошибками. В их число входит атака с использованием вымогателя Change Healthcare, в ходе которой учетные данные сотрудника были скомпрометированы через фишинговое письмо, что позволило злоумышленникам получить доступ к сети.

Почти половина (43%) респондентов сообщили об увеличении числа внутренних угроз или утечек данных, инициированных скомпрометированными по причине беспечности или небрежности сотрудников за последние 12 месяцев. Кроме того, 66% респондентов ожидают, что в следующем году потери данных от внутренних нарушителей возрастут.

Опрошенные лица, принимающие решения в области безопасности, заявили, что утечки данных и кражи, вызванные инсайдерами, обходятся организации в среднем в 13,9 млн долларов. Большинство (87%) организаций заявили, что не реже одного раза в квартал обучают своих сотрудников обнаруживать кибератаки. Несмотря на это, 33% опасаются ошибок и человеческого фактора в противодействии реализации угроз по каналу электронной почты , а 27% обеспокоены тем, что усталость сотрудников приводит к потере бдительности.

В отчете установлено, что 95% организаций используют искусственный интеллект (ИИ) для защиты от кибератак и/или внутренних угроз. Напротив, более половины (55%) респондентов признали, что они не полностью готовы к конкретным стратегиям борьбы с угрозами, связанными с ИИ. Кроме того, 81% были обеспокоены возможностью утечки конфиденциальных данных через инструменты GenAI.

Хотя 85% респондентов сообщили, что бюджет на кибербезопасность их организаций увеличился за последние 12 месяцев, 57% заявили, что требуется дополнительный бюджет для сотрудников по кибербезопасности и сторонних служб (57%), безопасности инструментов совместной работы (52%) и безопасности электронной почты (47%).

Опрос выявил обеспокоенность по поводу того, что инструменты совместной работы расширяют поверхность атак, при этом 79% согласились, что их использование создает новые угрозы и уязвимости безопасности. Данные инструменты предназначены для того, чтобы помочь людям общаться и координировать работу над проектами, в качестве примеров можно привести Slack и Zoom.  Почти половина (44%) респондентов сообщили об увеличении угроз со стороны этих инструментов за последние 12 месяцев, а 61% заявили, что ожидают негативное влияние на бизнес из-за атак на платформы коммуникации в 2025 году.

 

Нью-Йорк подает в суд на Allstate из-за утечек данных и сбоев в системе безопасности

Генеральный прокурор Нью-Йорка Летиция Джеймс подала иск против подразделения Allstate, National General, утверждая, что компания не смогла должным образом защитить данные потребителей и не сообщила об утечках данных, которые раскрыли тысячи номеров водительских прав. Иск, поданный в суд штата Манхэттен , требует финансовых штрафов и улучшения мер безопасности.

Утечки, произошедшие в 2020 и 2021 годах, были вызваны уязвимостями в онлайн-инструментах расчета стоимости автострахования National General. Хакеры воспользовались слабыми местами в этих системах, чтобы получить доступ к номерам водительских прав более 165 000 жителей Нью-Йорка и почти 200 000 человек в общей сложности.

Офис генерального прокурора утверждает, что National General не смогла внедрить достаточные меры безопасности для предотвращения несанкционированного доступа и своевременно не предупредила пострадавших лиц и государственные органы. Согласно иску, первое нарушение произошло в период с августа по ноябрь 2020 года, но осталось нераскрытым. National General узнала о втором, более крупном нарушении только в начале 2021 года после нескольких месяцев изысканий.

В иске утверждается, что это бездействие нарушает Закон штата Нью-Йорк о пресечении хакерских атак и улучшении безопасности электронных данных (SHIELD), который обязывает компании защищать личные данные и своевременно сообщать о нарушениях.

Генеральный прокурор Джеймс раскритиковала National General за ее слабые методы обеспечения безопасности, заявив, что слабая защита от киберугроз позволила злоумышленникам дважды атаковать компанию в течение короткого периода. В иске требуется штраф в размере до 5000 долларов за нарушение.

Эрих Крон, специалист по повышению осведомленности в области безопасности в KnowBe4, подчеркнул риски, связанные с неуведомлением клиентов о нарушениях, заявив, что злоумышленники могут использовать украденные данные, чтобы выдавать себя за страховые компании и обманывать клиентов.

 

Администрация Трампа реорганизует CISA, сократив штат и финансирование

Агентство по кибербезопасности и инфраструктуре США (CISA) претерпевает значительные изменения при новой администрации Трампа: контракты примерно с 300 сотрудниками были расторгнуты, а финансирование проектов по кибербезопасности в агентстве существенно сокращено.

«Департамент эффективности правительства (DOGE), возглавляемый Илоном Маском, сократил всю нашу команду red team и все вспомогательные должности — это затронуло более 100 человек. Спустя неделю DOGE сократил вторую команду red team CISA, также выполнявшую критически важную работу. В результате я и многие другие опытные операторы команды red team теперь ищем новые возможности», — сказал старший пентестер в CISA Кристофер Ченовет.

По данным компании CBS, этот раунд сокращений произошел через несколько дней после того, как в середине февраля DOGE потребовал уволить 130 сотрудников CISA, находящихся на испытательном сроке. Представитель CISA заявил прессе, что предполагаемые увольнения будут вызваны «проблемами с контрактами, а не увольнениями сотрудников». При этом он не смог конкретизировать, сколько человек сейчас работает в красных командах CISA.

Как сообщил независимый журналист Эрик Геллер, CISA прекратила соглашение о сотрудничестве с Центром интернет-безопасности (CIS) на сумму 10 млн долларов. Партнерство предоставило CIS управление двумя центрами обмена информацией о киберугрозах (ISAC) — Центром обмена и анализа информации между штатами (MS-ISAC) и Центром обмена и анализа информации об избирательной инфраструктуре (EI-ISAC).

За несколько дней до сообщения Геллера на веб-сайте CIS было размещено уведомление о том, что организация больше не поддерживает EI-ISAC «из-за прекращения финансирования» Министерством внутренней безопасности, частью которого является CISA.

Наконец, президент США Трамп назначил Шона Планки на должность будущего директора CISA, согласно уведомлению на веб-сайте Конгресса США. Планки занимал различные должности в сфере кибербезопасности во время первой администрации Трампа, а также в Киберкомандовании США. Он также был главным информационным директором ВМС США.

 

CISA и ФБР предупреждают о вирусе-вымогателе Medusa, который может нанести ущерб критической инфраструктуре

Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Центр обмена и анализа информации между штатами (MS-ISAC) выпустили совместный информационный бюллетень, в котором предупреждают, что операция по вымогательству Medusa затронула более 300 жертв в критически важных секторах инфраструктуры. Пострадавшие отрасли включают здравоохранение, образование, юриспруденцию, страхование, технологии и производство.

Medusa, вариант программы-вымогателя как услуги (RaaS), впервые выявленный в июне 2021 года, использует модель двойного вымогательства — шифрует данные жертвы, а также угрожает опубликовать извлеченные данные, если выкуп не будет выплачен.

Расследование ФБР показало, что злоумышленники Medusa получают первоначальный доступ через фишинговые кампании и эксплуатируют неисправленные уязвимости программного обеспечения. Попав в сеть, они используют легитимные административные инструменты, включая PowerShell и Windows Management Instrumentation (WMI), чтобы избежать обнаружения, перемещаться по сети и развертывать полезные нагрузки шифрования.

Аффилированные лица группы Medusa используют различные инструменты удаленного доступа, такие как AnyDesk, Atera и ConnectWise, для проникновения в сети. Они также используют передовые методы, чтобы избежать обнаружения, включая запутанные скрипты PowerShell, отключение систем обнаружения конечных точек и использование инструментов обратного туннелирования, таких как Ligolo и Cloudflared.

CISA предупредила, что особенно тревожным аспектом деятельности Medusa является ее тактика вымогательства. Жертвы оказываются под давлением и обязаны заплатить в течение 48 часов. В противном случае, участники Medusa сливают украденные данные на свой сайт в даркнете, предлагая их на продажу до истечения таймера обратного отсчета. Отчеты показывают, что даже после уплаты выкупа жертвы могут столкнуться с дополнительными требованиями вымогательства со стороны различных участников Medusa.

В рекомендациях ФБР и CISA настоятельно рекомендуется организациям внедрять меры по смягчению последствий, и предотвращению, чтобы не стать жертвой атаки, в том числе:

1. Поддержание программного обеспечения в актуальном состоянии и применение исправлений безопасности

2. Внедрение строгого контроля доступа и многофакторной аутентификации (MFA)

3. Мониторинг необычной активности и ограничение использования протоколов удаленного доступа

4. Внедрение сегментации сети для сдерживания потенциальных нарушений

Между тем эксперты критикуют CISA за ущербную манеру предупреждать людей о программах-вымогателях, которые распространяются с использованием социальной инженерии, вместо того чтобы предложить обучение по повышению осведомленности о безопасности. По их мнению, социальная инженерия задействована в 70–90% всех успешных хакерских атак, что следует принимать в расчёт при выработке рекомендаций.

Несмотря на это, ФБР и CISA настоятельно призвали организации сообщать об инцидентах с вирусом-вымогателем Medusa в правоохранительные органы и воздерживаться от выплаты выкупов, поскольку это может спровоцировать дальнейшие атаки.

 

Британские власти дали «предупредительный выстрел» по нарушителям из-за использования данных детей

Британский надзорный орган по защите данных предупредил, что новое расследование в отношении TikTok и других компаний в связи с использованием ими данных детей следует рассматривать как «предупредительный выстрел» для небольших цифровых компаний. Комиссар по информации Джон Эдвардс сделал это заявление на конференции IAPP Data Protection Intensive UK 2025, прошедшей на днях в Лондоне.

Он сказал, что организации всех размеров должны рассматривать последние расследования регулятора как «знак наведения порядка в собственном доме» и не ждать, пока он постучится в дверь, чтобы обеспечить соответствие бизнес-процессов законам о защите данных.

«Я хочу заявить предельно ясно. Сосредоточив наши усилия на некоторых из крупнейших и наиболее известных платформ, мы не даем небольшим компаниям зелёного света для принятия или продолжения незаконных практик, — сказал Эдвардс. — Все организации, использующие данные детей или предлагающие продукты или услуги, предназначенные для молодежи, должны соблюдать закон и следовать нашему Детскому кодексу».

Ссылаясь на новое исследование Управления комиссара по информации (ICO), Эдвардс заявил: почти половина британских родителей считают, что у них «практически нет контроля» над информацией, которую социальные сети и платформы для обмена видео собирают об их детях. Примерно столько же считают себя неспособными объяснить это детям.

«Дети не должны разбираться в этом самостоятельно. Это не их работа. Платформы, которые они используют, должны сделать эту информацию легкодоступной, — добавил Джон Эдвардс. — И мы вмешались, потому что наша работа как британского регулятора защиты данных — призвать эти платформы к ответу. Если социальные сети и платформы для обмена видео хотят получать выгоду от работы в Великобритании, они должны соблюдать закон о защите данных».

На прошлой неделе ICO объявило о своем расследовании в отношении TikTok, Imgur и Reddit. Согласно предупреждению ICO, «системы рекомендаций» на сайтах могут привести к тому, что уязвимым детям будет предоставлен ненадлежащий или вредный контент. Кроме того, в случае Imgur и Reddit ICO заявило, что рассмотрит, как платформы используют личную информацию детей и меры по контролю возраста.