NIS2 kommer att införlivas i lag i alla EU:s medlemsländer om tre månader. Den kräver förbättrad baslinjesäkerhet, incidentrespons, säkerhet i försörjningskedjan och mycket mer för att göra operatörer av viktiga tjänster mer cybermotståndskraftiga. Om organisationer var i tvivel om varför sådana regler är nödvändiga, behöver du inte leta längre än den senaste NHS ransomware-katastrofen.
Lyckligtvis kan branschens bästa praxis räcka långt för att både effektivisera NIS 2-efterlevnaden och minska risken för en livshotande cyberincident.
Sjukvård under eld
I slutändan riktades ransomware-attacken som hade en sådan katastrofal inverkan på NHS-patienter mot en föga känd vårdleverantör av patologitjänster och i skrivande stund hade den orsakat att över 800 planerade operationer och 700 polikliniska möten ställdes in och omarrangeras, inklusive några potentiellt livräddande procedurer. Dessa siffror avser de två mest drabbade NHS Trusts - King's College Hospital NHS Foundation Trust och Guy's and St Thomas' NHS Foundation Trust - och endast för 3-9 juni, så den faktiska störningen kommer sannolikt att bli ännu större.
Förutom avbokningarna var NHS tvingas överklaga för blodgivare och frivilliga i spåren av händelsen. Även om leverantören i fråga, Synnovis, planerar att återställa viss IT-funktionalitet "under de kommande veckorna", varnade den för att "full teknisk återställning" skulle ta längre tid, och störningar kommer troligen att ske i "månader".
Ransomware-aktörer riktar in sig på hälso- och sjukvård med ökande frekvens, och varje gång de gör det finns det en potential för att tjänsteavbrott kan ha en potentiellt livshotande inverkan på patienter. I Alabama 2021, lämnade mamman till en nio månader gammal in en stämningsansökan mot sjukhuset där hennes dotter föddes och hävdade att den inte avslöjade att den hade drabbats av en ransomware-attack vid tillfället. Eftersom cyberattacken störde kritiska operativa teknologier (OT)-enheter, kunde läkare inte övervaka barnets tillstånd ordentligt, enligt mamman. Tyvärr lämnades hon med svåra hjärnskador och dog nio månader senare.
25 % risk för dödsfall
Naturligtvis är hälso- och sjukvård bara en av många sektorer för kritisk nationell infrastruktur (CNI) där cyberattacker kan få ödesdigra återverkningar. Regeringens National Risk Register 2023-rapport uppskattar att en allvarlig cyberattack mot CNI har 5–25 % chans att inträffa under de följande två åren. Det hävdar det att detta kan leda till dödsfall på upp till 1000 personer och dödsoffer på upp till 2000.
I många sådana organisationer är det användningen av OT- och IoT-teknik som kan utsätta dem för attacker med farliga kinetiska effekter. Detta kan ses inom vattenreningsindustrin, där en Attacken 2016 resulterade i att hotaktörer ändrade halten av kemikalier i dricksvattnet fyra gånger innan attacken flaggades.
Enligt Anton Shipulin, cybersäkerhetsevangelist på OT-säkerhetsspecialist Nozomi-nätverk, att genomföra riktade livshotande cyberattacker är utmanande men genomförbart.
"Det kräver flera villkor för hotaktören, inklusive processkunskap, tid, pengar, personal och ett sårbart mål", säger han till ISMS.online.
"Men när livskritiska eller farliga processer är starkt beroende av digital teknik, kan till och med oriktade attacker eller tekniska fel äventyra dessa system, vilket potentiellt kan orsaka dödsfall eller skador. Detta gäller särskilt inom sektorer som hälsovård, industriell robotik och kemikalier.”
Sean Tufts, managing partner för kritisk infrastruktur på Optiv, håller med om att ransomware fortfarande är det mest potenta hotet mot CNI, med tanke på det stora antalet grupper i stort och den lätthet med vilken många kan utnyttja luckor i skyddet.
"En hacker som spränger en transformatorstation eller ett raffinaderi är inte omöjligt, men väldigt svårt. Du skulle behöva en mycket avancerad hackningsorganisation i kombination med ett team som vet hur kraftverk fungerar”, säger han till ISMS.online.
"Det mer sannolika scenariot är att en hackare på låg nivå lägger ett ransomware-paket på ett system och stoppar en fysisk process. Om den processen är ett transportband, oljepump, elektrisk brytare eller styrsystem för berg- och dalbana, kan saker och ting bokstavligen snurra ur kontroll. Vår branschs nuvarande motto är "cybersäkerhet är säkerhet. Säkerheten är cybersäker”. Vi vill att utrustningen nära vår teknikers fingrar ska vara under deras kontroll.”
Avvärja hot och rädda liv
Alla dessa faktorer ökar insatserna avsevärt för cybersäkerhetsledare som verkar i sådana branscher. Frågan blir då, hur kan de förbättra cyberresiliens till den punkt där risken för livet hanteras på ett adekvat sätt?
"CISO:er bör tänka på hur de skulle kunna fortsätta tillhandahålla räddningstjänsten i händelse av ett långvarigt nätverksavbrott och införliva detta i en incidentresponsplan", råder S-RM-medarbetare för incidentrespons, James Tytler.
"De bör också genomföra regelbundna bordsövningar för att se till att alla relevanta parter är medvetna om sina roller och ansvar i förväg", säger han till ISMS.online.
Enligt Optivs Tufts kommer NIS 2 att tillhandahålla en användbar uppsättning säkerhetsmetoder att arbeta mot.
"NIS2s fokus på att sätta en cybersäkerhetsbaslinje som företag kan växa in i är mycket viktigt för att frigöra budget från historiskt lågmarginalföretag", hävdar han.
Men med tanke på Storbritanniens utträde ur EU kommer förordningen inte att gälla för alla organisationer. Ändå är NIS2 inte det enda spelet i stan, enligt Nozomi Networks Shipulin.
"Nästan alla kritiska infrastrukturindustrier som använder cyberfysiska system styrs av lokala bestämmelser eller internationella standarder som tar upp säkerheten för dessa system", förklarar han. "Därför är det bästa tillvägagångssättet att börja med att granska riktlinjerna för cybersäkerhet som tillhandahålls av branschregulatorn eller sektorspecifika internationella föreningar."
Best practice-standarder som ISO27001 och IEC 62443 kan också hjälpa. Det förra kommer att mildra säkerhetsproblem i IT-system som kan utnyttjas av ransomware-aktörer, och det senare är särskilt användbart eftersom det är designat specifikt för OT-miljöer som industriella kontrollsystem.
"Denna standard byggdes av utövare, inte regulatorer. Dess tillämpbarhet är mycket hög och anpassad till våra branschbehov”, säger Optivs Tufts.
Med insatserna så höga måste CISO:er i CNI-sektorer komma tillbaka på den främre foten.
