El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y la Oficina del Comisionado de Información (ICO) se han unido para instar a los afectados por incidentes cibernéticos, especialmente ransomware, a ser más abiertos sobre los problemas y poner fin a una cultura de secretos y encubrimientos que, según ellos, están obstaculizando la capacidad de la sociedad en general para montar una respuesta eficaz.
Eleanor Fairford, subdirectora de gestión de incidentes en el NCSC, y Mihaela Jembei, directora de regulación cibernética en el ICO, dijeron que estaban cada vez más preocupadas por la cantidad de ataques que no se informan y pasan silenciosamente, se hacen a un lado y los rescates se pagan rápidamente. para que el problema desaparezca.
“El NCSC apoya a las víctimas de incidentes cibernéticos todos los días, pero estamos cada vez más preocupados por las organizaciones que deciden no presentarse”, dijo Fairford.
“Mantener en secreto un ataque cibernético no ayuda a nadie excepto a los perpetradores, por lo que recomendamos encarecidamente a las víctimas que informen los incidentes y busquen apoyo para ayudar a lidiar con las consecuencias de manera efectiva.
“Al responder abiertamente y compartir información, las organizaciones pueden ayudar a mitigar el riesgo para sus operaciones y su reputación, así como romper el ciclo del crimen para evitar que otros sean víctimas”, dijo.
“Es crucial que las empresas sean conscientes de sus propias responsabilidades en lo que respecta a la seguridad cibernética”, dijo Jembei. “El hecho es que existe un requisito regulatorio para reportar incidentes cibernéticos al ICO, pero la transparencia es más que simplemente cumplir con la ley. El delito cibernético es una amenaza global y sin fronteras, y es a través del intercambio de conocimientos que podemos ayudar a las organizaciones a ayudarse a sí mismas.
“También es muy importante que las empresas no pierdan de vista sus prácticas básicas de higiene cibernética en un mundo en el que siempre escuchamos sobre tecnologías nuevas y emocionantes y los riesgos que pueden presentar”.
La importancia de compartir datos
Raj Samani, vicepresidente senior y científico jefe de Rapid7, dijo: “El último informe del NCSC y el ICO es una advertencia adecuada para alertar a las empresas sobre la importancia del intercambio de datos y la colaboración cruzada. Es una gran responsabilidad de las empresas participar en el intercambio de datos para ayudar a reducir la probabilidad de futuros ataques.
“Con el NCSC y el ICO disipando los mitos comunes en los que creen las organizaciones, tal vez se pueda aumentar la cooperación, lo que a su vez hace que sea más rápido llegar al fondo de los ataques e identificar los problemas e indicadores clave que acompañan al delito cibernético. Esto ayudará a las organizaciones a desarrollar planes efectivos de respuesta a incidentes para ayudar en futuras investigaciones sobre ataques cibernéticos.
“Cuando las organizaciones se ven afectadas por un ataque cibernético, alentaríamos el intercambio de indicadores del ataque de modo que pueda beneficiar las defensas de otras organizaciones para mitigar futuros incidentes que afecten a otras empresas”, dijo.
Esos mitos en su totalidad
El NCSC y el ICO están ansiosos por abordar seis mitos comunes a los que muchas organizaciones aún se adhieren:
- Si cubro el ataque, todo estará bien;
- Informar a las autoridades hace que sea más probable que su incidente se haga público;
- Pagar un rescate hace que el incidente desaparezca;
- Tengo buenas copias de seguridad fuera de línea, no tendré que pagar un rescate;
- Si no hay evidencia de robo de datos, no necesita informar al ICO;
- Solo recibirá una multa si se filtran sus datos
Fairford dijo que era comprensible que a las personas les resulte difícil ponerse de pie y admitir que han sido víctimas, pero que deberían imaginar que llegaron a casa para descubrir que les habían robado y no hacer nada al respecto.
Cada ciberataque que se silencia sin investigación ni intercambio de información hace que más ataques sean inevitables porque nadie, excepto los ciberdelincuentes, ha aprendido nada de él.
Para aquellos que pueden tener miedo de los informes públicos, dijo que existen entornos seguros y confiables donde esto se puede hacer de manera segura: el NCSC en sí tiene CISP para compartir información entre organizaciones, así como intercambios de información del sector y grupos de confianza. Otros organismos de la industria pueden operar foros similares.
También señaló que informar sobre la experiencia de un ataque cibernético permite a las víctimas acceder a más asistencia del propio NCSC o de las fuerzas del orden, así como a un apoyo continuo. Para las víctimas en las que la noticia de los ataques puede llegar al público a través de los medios sociales y tradicionales, como el incidente en curso del ransomware Capita, también ofrece soporte de comunicaciones para navegar por la cobertura de los periódicos nacionales y las relaciones públicas de crisis.
“Alentamos a las organizaciones a estar abiertas cuando ocurre un incidente, pero en última instancia, es su elección y lo apoyaremos de cualquier manera”, dijo.
El director ejecutivo de Hackuity, Darren Williams, dijo que el retraso en la presentación de informes se ha vuelto muy común a medida que las organizaciones tratan de mantenerse fuera de los periódicos y evitar el estigma de convertirse en una víctima pública, pero la realidad es que esconder un incidente debajo de la alfombra no es una opción.
“Las organizaciones con planes sólidos de respuesta a incidentes y una buena comunicación pueden limitar el daño y evitar un golpe catastrófico a su reputación, ya que cuanto antes las organizaciones anuncien una violación de datos, más rápido podrán responder las fuerzas del orden y ayudar a guiar la situación hacia la resolución”, dijo.
“La mayoría de los líderes empresariales llamarían inmediatamente a la policía si su sede fuera saqueada, pero cuando los ciberdelincuentes roban sus activos digitales, dudan.
Responsabilidades regulatorias
El NCSC y el ICO instaron a las organizaciones a considerar y recordar sus responsabilidades regulatorias. Esto se aplica incluso si inicialmente no cree que haya evidencia de robo de datos, según el mito número cinco.
De hecho, dijo Fairford, el NCSC ha visto muchos casos de víctimas de ransomware que estaban completamente convencidas de que no se habían robado datos, incluso llegando al extremo de decírselo a los medios, solo para tener que retroceder con el rabo entre las piernas cuando sus datos aparecieron. en la web oscura semanas o meses después.
Buscar soporte temprano y comunicarse abiertamente no solo reducirá el riesgo de una sorpresa desagradable más adelante, sino que también lo ayudará mejor con el ICO, que debe ser informado desde el principio. También es importante tener en cuenta que las víctimas no siempre serán multadas si se filtran datos.
Además, el enfoque del ICO para decidir una respuesta regulatoria tiene en cuenta cuán proactivas son las organizaciones para responder a los incidentes. Si finalmente se impone una multa, incluso puede reducirse sobre esta base.
Jembei también señaló que la ICO no funciona como un mecanismo para revelar los detalles de un incidente y, si se le pregunta, solo confirmará que se ha producido.
“Los reguladores no se dejarán engañar”, dijo Williams de Hackuity a Computer Weekly. “La mayoría de los países tienen políticas muy claras que estipulan lo que se requiere para las organizaciones que son víctimas de ataques cibernéticos, y muchos, incluidos CISA y GDPR, requieren notificación dentro de las 72 horas.
“Los reguladores eventualmente descubrirán los informes retrasados. No existe tal cosa como un secreto cuando se trata de ransomware. Si está en Internet, cualquiera puede descubrirlo. De hecho, BlackFog recopila estos datos a diario y, a menudo, sabe del ataque antes de que la víctima haya sido notificada. El mejor enfoque es siempre la divulgación completa lo antes posible para limitar el daño y las consecuencias del ataque”.
No hagas caso a las pandillas de ransomware
Las pandillas de ransomware son operadores con mucha experiencia y, a menudo, tienen un conocimiento notable de la ley de protección de datos del Reino Unido a pesar de que generalmente tienen su sede en Rusia. También son negociadores hábiles tácticamente, y es importante que las víctimas recuerden que intentarán aprovecharse de algunos de estos mitos y conceptos erróneos si decide iniciar una conversación de negociación con ellos.
Fairford dijo que el NCSC ha estado al tanto de múltiples negociaciones de ransomware en las que el negociador de la pandilla trató de convencer a la víctima de que valía la pena pagar una cierta cantidad de dinero sobre la base de que la ganancia de su organización era tan alta que la multa de la ICO será mayor. LockBit probó esta táctica en Royal Mail, aunque, como señaló el negociador de Royal Mail en ese momento, los ciberdelincuentes parecían haber hecho mal sus sumas. En cualquier caso, dijeron Fairford y Jembei, la guía es “no los escuches”.
“Ser abierto sobre un ataque buscando apoyo y comunicándose abiertamente con el NCSC y el ICO en los días posteriores solo puede ayudarlo, mientras que compartir información sobre el ataque con sus comunidades de confianza más adelante mejorará el panorama de amenazas para todos”, dijeron. dicho.
“Y no se fíe sólo de nuestra palabra; otros están diciendo lo mismo. En los EE. UU., la directora de CISA, Jen Easterly, ha escrito sobre cómo la reticencia a informar al gobierno crea una carrera hacia el abismo, mientras que el presidente de asuntos globales de Google habla sobre la necesidad de “entrelazar la transparencia” en una respuesta de seguridad cibernética.
“Asegúrese de que se aprendan las lecciones de seguridad cibernética para protegerse y ayudar a prevenir futuros ataques para todos”, continuaron. “Y recuerde que el servicio de informes de incidentes cibernéticos ayuda a las organizaciones del Reino Unido a acceder al soporte adecuado si lo necesita”.