През последните месеци стана пределно ясно, че мащабът на киберзаплахите,

През последните месеци стана пределно ясно, че мащабът на киберзаплахите, свързани с китайските хакерски групировки Volt Typhoon и Salt Typhoon надалеч надвишава шпионските интервенции против държавни организации. При тези офанзиви не става въпрос за кражба на данни – тук става дума за навлизане. Бавно, незабележимо, стратегическо. Целта им е да си обезпечат непрекъснат достъп до системите на сериозната инфраструктура, с цел да могат да го употребяват за оказване на напън върху цели промишлености и страни в точния миг.

Въпреки че до момента най-голяма интензивност е записана в Съединени американски щати, други страни – изключително съдружниците в разследващия алианс „ Five Eyes “ (Пет очи), в това число Обединеното кралство и страни в Европа също са изложени на риск.

Volt Typhoon прониква в енергийните, транспортните, водните и информационните мрежи, до момента в който Salt Typhoon се концентрира върху телекомуникациите – жизненоважна промишленост с световен обсег. Ако вашата компания има нещо общо с тези браншове, считайте, че към този момент сте на прицел.

Съвременният бизнес от дълго време живее в обвързвана екосистема, в която офанзива в една страна може да окаже влияние върху световната верига. Компаниите, които са обект на офанзива в Съединени американски щати постоянно имат офиси и снабдители в Европа и Азия. Китай, със своята мощна киберпрограма и интерес към нарушение на интернационалния продан на разследващи данни разумно уголемява дейностите си към други райони. Вече видяхме сходни подходи в акцията Flax Typhoon против Тайван. Така че въпросът към този момент не е дали нещо сходно ще се случи в Европа, а дали някой е подготвен за това.

Спонсорираните от страната хакери не търсят откупи или бързи облаги. Те се интересуват от надзор, от прикрито наличие, от опцията за прикрито манипулиране. Те търсят уязвимости не за експлоатиране, а за фундаментално въздействие – изключително в браншове като енергетика, превоз, водоснабдяване, обучение и връзки.

Последиците от сполучлива офанзива могат да бъдат опустошителни – от спиране на водоснабдяването и електрозахранването до сривове в телекомуникационните мрежи.

Въпреки това доста компании към момента не преглеждат киберсигурността като въпрос от стратегическо значение. На равнище директорски съвет тя постоянно се възприема като вътрешен ИТ проблем, а не като систематичен риск. Междувременно даже от доставчиците и изпълнителите, които поддържат огромни инфраструктури към този момент се изисква да мислят за устойчивостта на своите системи – в противоположен случай те отварят вратата за враждебна интервенция.

Важно е да се разбере, че макар че от ден на ден се приказва за киберзаплахи, основани на изкуствен интелект, в реалност Volt Typhoon и Salt Typhoon работят по същия демодиран метод – употребяват известни уязвимости, методично преследват задачите си, от време на време доста по-ефективно, в сравнение с могат да създадат корпоративните служби за сигурност. Но и Китай не стои на едно място: автоматизацията, анализът на данни и ускоряването на работните процеси към този момент се употребяват интензивно като част от техните интервенции. Дори и без вируси от ново потомство, нападателите към този момент работят по-бързо, в сравнение с множеството компании могат да реагират.

И това единствено се утежнява от слабата техническа отбрана: класическите решения като антивирусни стратегии, защитни стени и разкриване на навлизане са незадоволителни. Основната накърнимост е неналичието на бистрота и видимост в мрежите. Това е изключително правилно за устройствата на интернет на нещата (IoT), индустриалните системи за ръководство и мрежовото съоръжение, които просто не поддържат стандартни отбрани. Това дава на нападателите съвсем цялостна независимост: те могат да обхванат, да се закрепят и да се движат в мрежата, като остават невидими.

Volt Typhoon е известна със своята тактичност на „ живот от системата “, при която злонамерената активност е маскирана като естествена и не може да бъде проследена с стандартни способи. Единственият метод за разкриване на такава активност е непрекъснатото наблюдаване на мрежата в действително време, анализиране на отклоненията от нормата и консолидиране на разследваща информация за заканите. Да се разчита на периметровата отбрана е безсмислено.

Компаниите в сериозни браншове би трябвало да признаят, че киберсигурността към този момент е толкоз значима, колкото и финансовата непоклатимост.

Не става въпрос единствено за отбрана от евентуални офанзиви, а и за различаване на това, че офанзива може към този момент да е осъществена и да се има подготвеност за деяние. Това значи засилено наблюдаване на веригата за доставки, присъединяване в стратегии за продан на разследваща информация, непрекъснато образование на чиновниците и симулационни извършения.

Точно в този момент едвам започваме да разбираме обсега на акцията Salt Typhoon и уязвимостите, които тя разкри, само че едно е ясно: това не е локален проблем – това е фронтовата линия на световна кибервойна, в която залогът е сигурността на страните и стабилността на стопанските системи. Когато фирмите разполагат с десетки и стотици хиляди свързани устройства, е невероятно да се оправят без усъвършенствани технологии за наблюдаване, а без тях е невероятно да се спрат офанзиви, които към този момент са почнали, само че към момента не са видяни.