Προκύπτουν οι ακόλουθες ερωτήσεις σχετικά με το περιστατικό:
Πιστεύουμε ότι αποτελεί κοινή πρακτική στην Κύπρο η κάλυψη των κυβερνοεπιθέσεων. Αυτό έχει επιζήμια επίδραση στις εταιρείες, δεδομένου ότι δεν μπορούν να δουν τον πραγματικό κίνδυνο επιθέσεων, επομένως είναι σκεπτικές σχετικά με την αναγκαιότητα λήψης προληπτικών μέτρων για την προστασία τους, έως ότου φυσικά είναι πολύ αργά (όπως έχουμε δει από τις εμπειρίες μας ξανά και ξανά).
Ως εκ τούτου, θα θέλαμε να κάνουμε τις ακόλουθες συστάσεις προς την κυβέρνηση σχετικά με συστήματα, πολιτικές και διαδικασίες:
Όλες οι παραπάνω συστάσεις ισχύουν επίσης για εταιρείες του ιδιωτικού τομέα που πρέπει να λάβουν τα απαραίτητα βήματα για την εφαρμογή τους. Αυτό που αναφέρθηκε παραπάνω βασίζεται αποκλειστικά σε πληροφορίες που καταφέραμε να συλλέξουμε από δημόσιους πόρους και πρέπει να διενεργηθεί κατάλληλη έρευνα από τις αρμόδιες αρχές για την επιβεβαίωση τους (που βασίζονται στις συνδυασμένες τεχνικές και την εμπειρία μας).
https://github.com/prometheusgroup/YPAM-CyberAttack
ΔΙΑΒΑΣΤΕ: https://raw.githubusercontent.com/prometheusgroup/YPAM-CyberAttack/main/Cyprus%20Ministry%20of%20Defense%20Cyber%20Attack.pdf
- Οι Dynamic Works, Com2Go, Υπουργείο Άμυνας και το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής έχουν λάβει τα απαραίτητα μέτρα για να ενημερώσουν τις αρμόδιες αρχές σχετικά με το περιστατικό (π.χ. Επίτροπος Προστασίας Προσωπικών Δεδομένων); Εάν όχι, γιατί;
- Έχουν ενημερωθεί όλοι οι πελάτες των Dynamic Works και Com2Go για την επίθεση και την πιθανότητα μελλοντικής στοχοποίησης τους από hackers;
- Γιατί υπονομεύτηκε το περιστατικό στη δημόσια ανακοίνωση που εξέδωσε το Υπουργείο Άμυνας προς τα Μέσα Μαζικής Ενημέρωσης;
- Ποια είναι η πραγματική έκταση της διαρροής προσωπικών πληροφοριών, λαμβάνοντας υπόψη όλους τους πελάτες από την παραπάνω λίστα;
- Αυτή δεν ήταν η πρώτη φορά που έλαβε χώρα ή δημοσιοποιήθηκε ένα περιστατικό ασφάλειας στον κυβερνοχώρο που επηρέασε κυβερνητικά συστήματα. Γιατί η κυβέρνηση δεν έλαβε τα απαραίτητα μέτρα για την ασφαλή ανάπτυξη του ιστότοπου (π.χ. penetration testing, αποφυγή ενός κοινόχρηστου περιβάλλοντος φιλοξενίας για ευαίσθητες πληροφορίες κ.λπ.);
- Ποια είναι τα άτομα που είναι υπεύθυνα για τις κυβερνητικές διαδικασίες ασφάλειας στον κυβερνοχώρο;
- Ποιες πληροφορίες σχετικά με την Κυπριακή υποδομή κρίσιμης σημασίας διέρρευσαν από τον ιστότοπο του OCECPR; Γιατί δεν εντοπίστηκαν από αυτούς και ποια μέτρα έχουν λάβει για να αποτρέψουν την παραβίαση τέτοιων δεδομένων;
Πιστεύουμε ότι αποτελεί κοινή πρακτική στην Κύπρο η κάλυψη των κυβερνοεπιθέσεων. Αυτό έχει επιζήμια επίδραση στις εταιρείες, δεδομένου ότι δεν μπορούν να δουν τον πραγματικό κίνδυνο επιθέσεων, επομένως είναι σκεπτικές σχετικά με την αναγκαιότητα λήψης προληπτικών μέτρων για την προστασία τους, έως ότου φυσικά είναι πολύ αργά (όπως έχουμε δει από τις εμπειρίες μας ξανά και ξανά).
Ως εκ τούτου, θα θέλαμε να κάνουμε τις ακόλουθες συστάσεις προς την κυβέρνηση σχετικά με συστήματα, πολιτικές και διαδικασίες:
- Όσον αφορά οποιοδήποτε και όλα τα κυβερνητικά συστήματα πληροφοριών, η ασφάλεια πρέπει να λαμβάνεται σοβαρά υπόψη από όλα τα ενδιαφερόμενα μέρη, και όχι να αφήνεται ως μεταγενέστερη σκέψη.
- Η κυβέρνηση θα πρέπει να προβαίνει σε security reviews και penetration tests για να εντοπίσει και να διορθώσει κρίσιμα κενά ασφαλείας. Θα πρέπει επίσης να παρακολουθεί συνεχώς τα συστήματά του για διαχρονικές hacking επιθέσεις και να έχει διαμορφώσει ένα σχέδιο για οποιαδήποτε τέτοια πιθανότητα.
- Ορίστε έναν υπεύθυνο επικοινωνίας έτσι ώστε όποιος ανακαλύπτει μια αδυναμία ασφάλειας / ευπάθεια που σχετίζεται με ένα κυβερνητικό σύστημα να μπορεί να το αναφέρει υπεύθυνα.
- Εφαρμόστε ένα πρόγραμμα bug bounty, ώστε οι Κύπριοι hackers (ειδικοί ασφαλείας) να μπορούν να δοκιμάσουν νόμιμα και να αναφέρουν τρωτά σημεία σε κυβερνητικά συστήματα για τα οποία να λαμβάνουν οικονομική ανταμοιβή.
- Αποδεχτείτε ανοιχτά και αναφέρετε περιστατικά ασφαλείας που επηρεάζουν κυβερνητικά συστήματα. Συνιστούμε να διορίζεται εκπροσώπους για την ανακοίνωση τέτοιων περιστατικών στο κοινό.
- Οι προμηθευτές θα πρέπει να λογοδοτούν για βαριά αμέλεια σχετικά με τον τρόπο διαχείρισης των τρωτών σημείων αν βρεθούν στα προϊόντα τους, εάν αυτό μπορεί να αποδειχθεί.
Όλες οι παραπάνω συστάσεις ισχύουν επίσης για εταιρείες του ιδιωτικού τομέα που πρέπει να λάβουν τα απαραίτητα βήματα για την εφαρμογή τους. Αυτό που αναφέρθηκε παραπάνω βασίζεται αποκλειστικά σε πληροφορίες που καταφέραμε να συλλέξουμε από δημόσιους πόρους και πρέπει να διενεργηθεί κατάλληλη έρευνα από τις αρμόδιες αρχές για την επιβεβαίωση τους (που βασίζονται στις συνδυασμένες τεχνικές και την εμπειρία μας).
https://github.com/prometheusgroup/YPAM-CyberAttack
ΔΙΑΒΑΣΤΕ: https://raw.githubusercontent.com/prometheusgroup/YPAM-CyberAttack/main/Cyprus%20Ministry%20of%20Defense%20Cyber%20Attack.pdf
No comments :
Post a Comment