По данным юридической фирмы DAC Beachcroft, программы-вымогатели будут по-прежнему доминировать в сфере кибербезопасности в этом году, число кибератак на критическую инфраструктуру возрастет, а новое законодательство ЕС в отношении подключенных продуктов добавит дополнительное нормативное бремя для поставщиков программного и аппаратного обеспечения.
В отчете компании о прогнозах рынка страхования на 2023 год предупреждается, что атаки программ-вымогателей становятся все более изощренными, поскольку киберпреступники совершенствуют свои методы, используя обширную инфраструктуру и множество вредоносных инструментов для эксплуатации уязвимостей.
Фишинговые атаки остаются одним из наиболее распространенных способов запуска атак программ-вымогателей на предприятия и государственные организации. По словам юридической фирмы, переход к гибридной работе и виртуальным конференциям, наряду с развитием технологии «глубокой подделки», стал решающим фактором.
«Постоянно сложный ландшафт угроз требует многоуровневого решения, которое сочетает в себе защиту от вредоносных программ, предотвращение потери данных, безопасность электронной почты, реагирование на обнаружение конечных точек, оценку уязвимостей, управление исправлениями, удаленный мониторинг и возможности резервного копирования. Обучение персонала и общественное просвещение также играют ключевую роль», — сообщила фирма специалистам по управлению рисками и директорам по информационной безопасности (CISO).
В рекомендациях указывалось, что изощренные киберпреступники все чаще атакуют жизненно важную инфраструктуру, такую как газовые, сталелитейные заводы и электростанции, оказывая максимальное воздействие.
Атака программы-вымогателя Colonial Pipeline в 2021 году закрыла ключевые каналы, доставляющие топливо с нефтеперерабатывающих заводов на побережье Мексиканского залива, что привело к паническим покупкам на бензоколонках и «взвинчиванию цен». Кибератака South Staffordshire Water в Великобритании в августе привела к отравлении воды на очистных сооружениях в разгар самой сильной засухи в стране.
«Эти примеры подчеркивают уязвимости критически важной инфраструктуры и необходимость усиленных мер кибербезопасности для быстрого смягчения потенциально опасных для жизни последствий взлома систем. Такие атаки создают системные риски как для киберстраховщиков, так и для страховщиков, которые не пишут киберриски», — сказал DAC Beachcroft.
Фирма добавила, что использование продуктов, подключенных к Интернету, будет продолжать расти, и предупредила, что эти продукты часто упускают из виду элемент кибербезопасности и риска.
«Хотя ожидается, что подключенные продукты будут иметь некоторый базовый элемент встроенной кибербезопасности, это обоснованное беспокойство, которого нет у многих. Чтобы исправить это, требуется законодательство», — сказал DAC Beachcroft.
Закон Великобритании о безопасности продуктов и телекоммуникационной инфраструктуре недавно получил королевскую санкцию. Этот закон, наряду с предложениями ЕС по Закону о киберустойчивости, налагает дополнительное нормативное бремя на производителей программного и аппаратного обеспечения для усиления кибербезопасности цифровых продуктов.
«Закон Великобритании в соответствии с положениями, которые еще предстоит установить, возлагает обязанности, связанные с требованиями безопасности и соблюдением, на производителей и импортеров подключаемых продуктов, которые будут использоваться в Великобритании. Модель ЕС введет общие правила для производителей, разработчиков и дистрибьюторов для обеспечения безопасности подключенных продуктов. Для страховщиков и бизнеса возможные денежные санкции в соответствии с обоими законодательными актами имеют большое значение. Законодательство и последующие правила в Великобритании необходимо тщательно изучить, чтобы обеспечить наличие постепенного плана соблюдения», — предупредил DAC Beachcroft.
Но субъектам данных ЕС, требующим компенсации в соответствии со статьей 82 GDPR, будет все труднее получить ее, если они смогут доказать только «простое расстройство», а не реальный нематериальный ущерб, предупреждают юристы.
Недавнее мнение генерального адвоката Санчеса Бордоны по делу UI против Österreichische Post AG , хотя в настоящее время оно не является обязательным для Европейского суда, указывает на четкую точку зрения по этому вопросу, соответствующую позиции, занятой британскими судами в аналогичных случаях, говорится в сообщении.
«Порог, предложенный в деле, представляет собой прагматичный подход к вопросу о нематериальном ущербе, в то время как конкретные характеристики чего-то большего, чем «простое расстройство», оставляются на усмотрение государств-членов. Тонкая грань между понятиями «простое» и «подлинное» расстройство, вероятно, станет причиной споров, и интерпретация неизбежно будет различаться между государствами-членами. Тем не менее, для страховщиков и корпораций заключение дает дополнительный позитив в отношении перспективы компенсационного режима, который не вознаграждает тривиальные претензии», — заключил DAC Beachcroft.
Подготовлено порталом Allinsurance.kz