Ландшафт кибербезопасности на этой неделе стал свидетелем двух значительных событий, подчеркивающих сохраняющуюся уязвимость критической инфраструктуры и развивающийся регуляторный ответ. На Ближнем Востоке Royal Bahrain Hospital подтвердил крупную утечку данных, в то время как в США штат Нью-Йорк принял первый в своем роде закон, обязывающий соблюдать стандарты кибербезопасности для систем общественного водоснабжения. Эти события, хотя и географически удаленные, тематически связаны и предлагают важные уроки для руководителей по информационной безопасности (CISO) по всему миру в отношении приоритизации рисков, нормативного соответствия и растущих угроз для основных услуг.
Утечка в Royal Bahrain Hospital, известном частном медицинском учреждении, подчеркивает неослабевающее внимание злоумышленников к сектору здравоохранения. Хотя полные детали еще проясняются, подобные инциденты обычно связаны с компрометацией конфиденциальных данных пациентов, включая медицинские записи, личную информацию (PII) и финансовые данные. Последствия серьезны: от кражи личных данных и медицинского мошенничества для отдельных лиц до значительных операционных сбоев, финансовых штрафов и репутационного ущерба для учреждения. Для CISO этот инцидент является суровым напоминанием о том, что здравоохранение остается главной целью из-за высокой стоимости его данных на черном рынке. Это подтверждает необходимость надежного шифрования данных, строгого контроля доступа, постоянного обучения сотрудников фишинговым угрозам и комплексных планов реагирования на инциденты, которые отдают приоритет конфиденциальности пациентов и нормативным обязательствам в рамках таких стандартов, как HIPAA и GDPR.
С другой стороны, законодательная инициатива в Нью-Йорке представляет собой проактивный, инициированный государством подход к укреплению другого аспекта критической инфраструктуры: коммунальных предприятий водоснабжения. Новый закон требует от всех систем общественного водоснабжения проводить оценку уязвимостей, разрабатывать планы реагирования на киберинциденты и сообщать о значительных киберинцидентах государственным органам. Этот шаг признает, что системы очистки и распределения воды все чаще подключаются к системам промышленного контроля (ICS) и сетям SCADA, что делает их потенциальными целями для атак программ-вымогателей или даже диверсий, поддерживаемых государством, которые могут угрожать общественному здоровью и безопасности. Для CISO в коммунальном секторе и за его пределами этот закон сигнализирует о растущей тенденции отраслевого регулирования кибербезопасности. Он предписывает переход от рассмотрения кибербезопасности как чисто ИТ-задачи к императиву безопасности операционных технологий (ОТ) и общественной безопасности, требующему сотрудничества между командами ИТ-безопасности и инженерно-эксплуатационным персоналом.
Вместе эти события рисуют комплексную картину современных киберрисков. Утечка в бахрейнской больнице иллюстрирует продолжающиеся прибыльные атаки на организации, богатые данными, в то время как закон Нью-Йорка предвосхищает и стремится смягчить разрушительные атаки на физическую инфраструктуру. Для CISO двойной мандат очевиден: они должны одновременно защищаться от эксфильтрации данных в целях финансовой выгоды *и* защищаться от атак, направленных на причинение ощутимых сбоев в реальном мире. Это требует такой позиции безопасности, которая является одновременно глубокой, с продвинутым обнаружением угроз и контролем, ориентированным на данные, и широкой, охватывающей безопасность ОТ/ IoT и межведомственное управление кризисами. Развивающаяся нормативная среда, как видно в Нью-Йорке, добавляет еще один уровень сложности, делая соответствие требованиям ключевым драйвером стратегии безопасности, а не второстепенной задачей.
