Недорегуляция
Хакеры выложили в интернет крупный комплект данных, угнанных у компании Leidos Holdings, одного из крупных ИТ-подрядчиков министерства обороны и внутренней безопасности США, а также NASA и ряда других государственных и частных организаций. Речи о взломе систем Leidos, однако, не идет. Успешной атаке в 2022 г. подверглась сетевая инфраструктура фирмы Steele Compliance, компании, которая оказывает другим организациям услуги по приведению их деятельности в полное соответствие с регуляционными требованиями.
В 2021 г. Steele Compliance была приобретена корпорацией Diligent, поставщиком решений «программное обеспечение как услуга». Leidos является одним из клиентов Diligent. В информационных ресурсах последнего хранятся данные внутренних расследований, проводившихся в Leidos, и некоторые другие данные.
Атака на ресурсы Steele/Diligent состоялась 21 мая; ее обнаружили только через два дня, а заблокировать смогли еще сутки спустя. В 2023 г. корпорация Diligent с явным запозданием, но все-таки признала факт кибератаки и утечки данных.
В Leidos признали подлинность опубликованных хакерами данных. В компании уверены, что источником утечки стал как раз тот самый взлом 2022 г., хотя расследование еще не завершено. При этом в Leidos заявили, что к числу чувствительных клиентских данных украденная информация не относится.
Единый подход не работает
Издание SiliconANGLE приводит слова Ильи Колоченко, исполнительного директора ИБ-компании ImmuniWeb SA и профессора кафедры информационной безопасности и законодательства в цифровой сфере при Университете Capital Technology. Эксперт считает, что современные требования законодательства к кибербезопасности и подходы к обеспечению соответствия им обладает системными изъянами.
Соответствующие процедуры, единые для всех, могут забирать массу ресурсов и времени у отдельно взятого вендора, но не учитывать ни сферу рисков, с которыми он сталкивается, ни степень ответственности данной компании, ни уровень доверия к ней.
«В итоге всеединый подход приводит к провалу, и несмотря на драконовские, порой, процедуры оценки рисков вендоров и поставщиков, предсказуемые, но непроработанные риски продолжают приводить к массивным утечкам данных», – отметил Колоченко.
«Имеющаяся информация заставляет предположить, что Leidos пострадал от серии ошибок, имевших накопительный эффект, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – Конфиденциальные данные попали не туда, куда должны были, и оказались в руках злоумышленников практически случайно. Но последствия у случайных и неслучайных утечек будут одни и те же».
Эксперт добавил, что значимость данной утечки с равной вероятностью может оказаться очень низкой или катастрофической.
Поделиться