Skip to main content
Artykuł

Alert dla klientów: Inwazja Rosji na Ukrainę

Zagrożenia dla cyberbezpieczeństwa i implikacje dla ubezpieczeń cybernetycznych

Cyber Risk Management|Financial, Executive and Professional Risks (FINEX)
N/A

Podpis Jason Krauss , Dominic Keller, CISSP i Andrew Hill | luty 24, 2022

Obecna sytuacja przekłada się na podwyższone ryzyko rozprzestrzeniania się cyberataków na organizacje spoza strefy wojny.

O ile ostateczna skala trwającej obecnie inwazji terytorialnej Rosji na Ukrainę jest wciąż nieznana,  cyberataki są już wykorzystywane do destabilizacji podmiotów ukraińskich, przy czym istnieje wysokie ryzyko rozprzestrzeniania się tych ataków na organizacje znajdujące się poza strefą wojny.

12 lutego Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie o zagrożeniu „Shields Up” w odpowiedzi na rosnące napięcie między Rosją a Ukrainą. W ostrzeżeniu zwrócono uwagę na kilka słabych punktów w zakresie bezpieczeństwa cybernetycznego, które mogą zostać wykorzystane przez państwa lub cyberprzestępców, oraz przedstawiono kroki, jakie organizacje mogą podjąć w celu zminimalizowania prawdopodobieństwa groźnego cyberataku i zapewnienia gotowości do reagowania, gdyby do niego doszło. Ponadto, nie dalej niż w zeszłym tygodniu FBI i Departament Bezpieczeństwa Wewnętrznego USA ostrzegły agencje rządowe, pracowników zajmujących się bezpieczeństwem cybernetycznym oraz operatorów infrastruktury krytycznej o możliwości ataków cybernetycznych na sieci ukraińskie i amerykańskie oraz o konieczności natychmiastowego zgłaszania wszelkich podejrzanych działań. Następnie, 20 lutego, w raporcie FBI wezwano amerykański sektor prywatny do przygotowania się na potencjalne cyberataki sponsorowane przez państwo rosyjskie. W raporcie stwierdzono, że rosyjskie podmioty „stosowały phishing i ataki cybernetyczne typu brute force, wykorzystując znane luki w zabezpieczeniach kont i sieci o niskim poziomie zabezpieczeń. W dalszej części raportu sprecyzowano, że celem ataków była różnorodna amerykańska i międzynarodowa infrastruktura krytyczna, w tym podmioty z sektora obronnego, opieki zdrowotnej i zdrowia publicznego, energetyki, telekomunikacji oraz obiekty rządowe. Poinformowano nawet, że 23 lutego kilka ukraińskich stron rządowych było wyłączonych w wyniku zmasowanego rozproszonego ataku typu DDoS (rozproszona odmowa usługi) oraz, że ucierpiało wiele banków. Chociaż źródło ataku nie zostało potwierdzone, podejrzewa się, że odpowiada za niego Rosja. Jest to pokłosie ataku z poprzedzającego tygodnia, w wyniku którego ucierpiały cztery rządowe strony internetowe. Rosja zaprzeczyła, jakoby odpowiadała za ten atak.

Co należy zrobić

Pomimo znacznej niepewności co do rozwoju sytuacji, organizacje powinny mieć świadomość, że mogą stać się pośrednią ofiarą cyberataków a złośliwe oprogramowanie może rozprzestrzeniać się daleko poza zamierzone przez sprawców granice geograficzne lub organizacyjne. Potencjał ofensywny Rosji w dziedzinie cyberataków jest wysoki, a potencjalne incydenty mogą obejmować luki zero-day lub wysoce wyrafinowane metody ataku. W szczególności, destrukcyjne złośliwe oprogramowanie (takie jak Non Petya, które nieodwracalnie szyfruje dane) oraz ataki na łańcuch dostaw technologii (takie jak incydent Solarwinds ) mogą powodować znaczące skutki finansowe, operacyjne oraz negatywnie wpływać na reputację organizacji. Aby sprostać kluczowym zagrożeniom wynikającym z tego otoczenia podwyższonego ryzyka, zalecamy organizacjom skupienie się na następujących priorytetach zarządzania ryzykiem cybernetycznym:

  • Świadomość pracowników: Techniki Spear phishingu są powszechną metodą, uzyskania dostępu do sieci organizacji w celu przeprowadzania cyberataków. Należy ostrzegać pracowników, by zachowali wzmożoną czujność w przypadku podejrzanych wiadomości e-mail (zwłaszcza tych, które nawołują do pilnego działania) i nie otwierali żadnych zewnętrznych linków w wiadomościach e-mail, chyba że zostaną one zweryfikowane jako zaufane.
  • Strategia w zakresie kopii zapasowych danych i systemów: Organizacje powinny dokonać przeglądu swojej strategii zarządzania kopiami zapasowymi, aby zapewnić możliwość przywrócenia krytycznych zasobów i systemów zgodnie ze zdefiniowanymi wymaganiami biznesowymi.
  • Zarządzanie aktywami krytycznymi i uprzywilejowanymi kontami: Po zidentyfikowaniu krytycznych zasobów i uprzywilejowanych dostępów powinny być one chronione poprzez wyższe poziomy uwierzytelniania i surowsze kryteria dostępu. Ograniczenie uprzywilejowanego dostępu jedynie do krytycznych potrzeb biznesowych, wraz z aktywnym zarządzaniem kontami administracyjnymi i technicznymi, zmniejszy ryzyko eskalacji incydentu cybernetycznego i rozprzestrzenienia się na inne systemy w organizacji.
  • Zarządzanie łańcuchem dostaw technologii: Wiele ostatnich cyberataków było wymierzonych w dostawców usług technologicznych, co znacznie zwiększa wpływ incydentu na wiele organizacji. Znajomość krytycznych zewnętrznych dostawców technologii oraz zrozumienie ich wpływu na krytyczne funkcje biznesowe zapewni organizacjom większe możliwości skutecznego reagowania na incydenty dotyczące tych dostawców.
  • Strategia wykrywania incydentów i zarządzania nimi: Zapewnienie skutecznego wykrywania incydentów, zarządzania nimi i reagowania na nie może znacznie zmniejszyć wpływ cyberataku na operacje.

Implikacje z punktu widzenia ubezpieczeń

Większość, jeśli nie wszystkie, polisy ubezpieczeniowe dotyczące ryzyk cybernetycznych zawiera pewne wyłączenia dotyczące wojny. W obecnej sytuacji naturalne jest, że organizacje będą chciały zrozumieć, w jaki sposób zadziałają ich polisy cyber w przypadku szkód spowodowanych cyberatakami, co do których można podejrzewać, że zostały przeprowadzone przez państwo rosyjskie lub w jego imieniu.

Choć nie sposób udzielić prostej odpowiedzi na to pytanie, ponieważ wyłączenia dotyczące wojny mogą być różnie sformułowane, a ich interpretacja podlega prawu właściwemu dla danej umowy, z dużym prawdopodobieństwem można stwierdzić, że w przypadku podejrzeń jakiejkolwiek odpowiedzialności Rosji za cyberatak prowadzący do szkody objętej polisą, jej dostawca niemal na pewno bardzo uważnie przyjrzy się możliwości zastosowania wyłączenia dotyczącego wojny.

Uzyskanie zgody ubezpieczyciela na usunięcie wyłączenia wojennego z polisy cyber jest bardzo mało prawdopodobne z wielu powodów, w tym ze względu na potencjalne szkody systemowe związane z wojną. Istnieje jednak kilka ważnych kwestii, które należy wziąć pod uwagę przy ocenie potencjalnego zakresu wyłączenia dotyczącego wojny:

  1. Wojna i nie tylko?: Można argumentować, że wyłączenia obejmujące sformułowania wykraczające poza jedynie pojęcie „wojna” i niekoniecznie sugerujące działania zbrojne (np. „wrogie działania” lub „nałożenie sankcji”), mają szerszy zakres niż wyłączenia, w których wzmiankuje się tylko to, co można określić jako działania zbrojne (np. „interwencja zbrojna” lub „inwazja”). Zdarzenia wymienione w konkretnym wyłączeniu dotyczącym wojny wymagają starannej analizy.
  2. Związek przyczynowy: Sformułowania wyrażające związek przyczynowy użyte w wyłączeniach wojennych mogą mieć istotny wpływ na sposób ich interpretacji. Chociaż takie wyrażenia jak „wynikający z”, „w jakikolwiek sposób związany z” lub „bezpośrednio lub pośrednio wywołany przez” będą interpretowane w różny sposób w zależności od jurysdykcji, należy dokładnie rozważyć wszelkie sformułowania wskazujące na związek przyczynowo skutkowy między zdarzeniami opisanymi w wyłączeniu a szkodą. Na przykład sformułowanie „bezpośrednio lub pośrednio spowodowane przez”, w zależności od jurysdykcji, może być interpretowane jako wymagające jedynie luźnego związku przyczynowego. Język odwołujący się do bezpośredniego związku przyczynowo skutkowego ogranicza potencjalne zastosowanie wyłączenia (zawsze z zastrzeżeniem przepisów prawa właściwego).
  3. Wyodrębnienie cyberterroryzmu: Wyłączenia wojenne w polisach cybernetycznych wyodrębniają niekiedy „cyberterroryzm”. Istnieją różne definicje tego, czym jest „cyberterroryzm”, ale co do zasady, zakres ochrony jest ograniczony do ataków cybernetycznych przeprowadzanych przez osoby lub grupy mające określone cele ideologiczne, a nie przez państwa narodowe lub w ich imieniu. Oczywiście ustalenie, czy dany atak cybernetyczny jest częścią szerszych działań wojennych, czy też wynika z działalności terrorystycznej, wymaga oceny odpowiedzialności. Konieczne jest dokładne rozważenie, które zdarzenia podpadają pod wyłączenia wojenne, a które wchodzą w zakres pojęcia „cyberterroryzm”.

Zalecamy klientom dokonanie przeglądu ich polis od ryzyka cybernetycznego we współpracy z brokerem i omówienie potencjalnych opcji. Zespół FINEX działający w ramach WTW może zapewnić organizacjom dostosowane do ich potrzeb usługi konsultingowe, których celem jest dostosowanie zarządzania ryzykiem cybernetycznym do celów biznesowych i zapewnienie efektywnej kosztowo odporności na zagrożenia dla cyberbezpieczeństwa.

Autorzy

FINEX Cyber/E&O Thought and Product Coverage Leader, North America

Global Team Leader, Senior Consultant, FINEX Cyber Risk Solutions Team

Executive Director, Product Innovation Lead | Coverage Specialist, Cyber & TMT

Powiązane Rozwiązania

Contact Us