Autor: David Strom
S obzirom da se približava krajnji rok u oktobru, direktorima za bezbednost informacija bi bilo dobro da počnu da planiraju migraciju na druge bezbednosne proizvode.
Vlada SAD je uvela nova ograničenja za klijente kompanije Kaspersky, kad su u junu optužili 12 njegovih rukovodilaca i zabranili dalju prodaju njihovog softvera i usluga. Propisi pojačavaju postojeće zabrane američkim federalnim agencijama da koriste taj softver od pre nekoliko godina i proširuju se na slične zabrane federalnim agencijama u mestima kao što su Litvanija i Holandija.
Akcija je koordinirala napore odeljenja za trgovinu i finansije, na osnovu rizika po nacionalnu bezbednost od bilo kakve potencijalne saradnje sa ruskim obaveštajnim agentima.
Među 12 rukovodilaca koje navodi Trezor ne spada Eugene Kaspersky, osnivač i izvršni direktor kompanije i njen najvidljiviji portparol i nije navedena sama kompanija niti bilo koja od njenih podružnica. Optužnice uključuju šefa ljudskih resursa, razne potpredsednike i tehničkog direktora.
Prve zabrane, koje su počele 2017. godine, dovele su do premeštanja glavnog korporativnog centra podataka kompanije Kaspersky iz Moskve u Švajcarsku. Od tada su otvorili 12 onoga što kompanija naziva „centrima za transparentnost“ širom sveta gde se pregledi izvornog koda i metoda otkrivanja pretnji dele sa partnerima, vladinim agencijama i klijentima. Deo obrade podataka je još uvek u Moskvi, što izaziva nervozu američkih regulatora i dovodi do junskih ograničenja. „Kada su federalni organi prvi put zabranili da sami koriste Kaspersky, to je pokrenulo talas kupaca prema konkurentima“, kaže Greg Schaffer, koji je virtuelni direktor za bezbednost informacija brojnih preduzeća. „Mislim da je ova najnovija zabrana mudra, iako nisam video nijedan dokaz o potencijalnim korišćenjima.“
Kaspersky odgovara na najnoviju zabranu SAD
Kaspersky odbija optužnice Državnog trezora, rekavši da su „neopravdane i neosnovane“. Kompanija je takođe izjavila da se nova pravila Odeljenja za trgovinu ne primenjuju na one delove njenih operacija koji nemaju veze sa pitanjima nacionalne bezbednosti i da bi trebalo da budu izuzeti od zabrane, kao što je obimni niz kurseva obuke o obaveštajnim podacima o pretnjama, incidentima reagovanja, i digitalnoj forenzici.
Kaspersky tvrdi da bi svi proizvodi za obaveštavanje o pretnjama trebalo da budu izuzeti, iako je ta funkcija deo mnogih njihovih proizvoda i nije je lako izolovati od upravljanog otkrivanja ili alata za otkrivanje krajnjih tačaka. To potencijalno znači buduće sudske sporove oko toga šta jeste, a šta nije deo zabranjenih proizvoda i usluga koji potpadaju pod uredbe Ministarstva trgovine.
Šta direktor za bezbednost treba da uradi sada
Kaspersky tvrdi da ima 270.000 korporativnih klijenata, iako, da bude jasno, to obuhvata sve kupce na svetu. Dok su mnogi njegovi prethodni korisnici već prešli na druge bezbednosne proizvode, oni u SAD koji još uvek koriste njihov softver moraju sada da naprave planove. „Ne čekajte oktobar, poslednji trenutak za prebacivanje, jer to može da postane problem kontinuiteta poslovanja. Sada je vreme da procenite svoj rizik i utvrdite koji delovi vaše infrastrukture mogu biti ugroženi ili treba da budu zamenjeni“, kaže Schaffer.
Tim Crawford, osnivač istraživačke i savetodavne firme Avoa, takođe se zalaže za hitnu akciju. „Morate brzo da delujete, nemojte čekati ili rizikovati da se približite tom oktobarskom roku, jer će ti neažurirani sistemi postati potpuno ranjivi, a hakeri samo čekaju“, kaže on za CSO.
Deo problema potiče od toga koliko su proizvodi za zaštitu od zlonamernog softvera duboko usađeni u OS i mrežnu infrastrukturu. „Potrebno je mnogo vremena i truda za zamenu ove vrste proizvoda“, kaže Matthew Rosenquist, direktor za bezbednost informacija u Mercury Risk and Compliance. „Pronalaženje API-ja koji su pogođeni, koja se telemetrija šalje i kompatibilnost sa drugim bezbednosnim alatima, kao što su SIEM i drugi izvori vesti o upravljanim pretnjama, biće potrebno vreme da se sve to ispravno testira.“
Jedna od taktika je da se prelazak sa Kasperskog posmatra kao „samo još jedan oblik reagovanja na incidente“, kaže Keri Pearlson, izvršna direktorka istraživačkog konzorcijuma CAMS u školi MIT Sloan. „Samo što umesto incidenta izazvanog kršenjem, imamo incident je izazvan novim pravilima. Direktor za bezbednost koji razmišlja o otpornosti prepoznaće ovo kao još jednu vežbu o stepenu otpornosti organizacije. Sa ovim novim direktivama koje zabranjuju korišćenje tehnologije određenog dobavljača, direktor za bezbednost sada mora da smisli kako da pređe na nešto novo. Čini se da tehnologija dobro funkcioniše, ali nova pravila zahtevaju da se prestane sa njom.
Ovo bi trebalo da bude deo razmišljanja o tehnološkom steku iz perspektive otpornosti, kaže Pearlson. „Direktori za bezbednost informacija moraju odgovoriti. Oni moraju reagovati brzo, efikasno i efektivno. Iako prelazak na novu tehnologiju novog dobavljača može potrajati, to se mora učiniti.“ Ona dodaje da otpornost takođe treba da uključi zamenu dobavljača u kojeg se ranije imalo poverenje, „i iskreno, svaki drugi ometajući incident koji bi mogao da ometa delovanje je danas imperativ.“
Neki misle da je ovo samo vrh ledenog brega i da će stvari biti još gore. „Moramo da postanemo mnogo ozbiljniji u vezi sa sajber-bezbednošću“, kaže John Cronin, dugogodišnji IT konsultant. „Rusija je jedan od vodećih izvora sajber napada i jedan od najvećih aktera u prikupljanju podataka. Rusija će nastaviti da manipuliše kompanijama u svoju korist. Čak i ako je proizvod danas savršeno bezbedan, mogao bi se promeniti u trenu“, kaže Rozenqvist. „Ne želimo da naši protivnici imaju bilo kakvu prednost.“
S vremena na vreme državna pitanja nadmašuju pitanja trgovine i sada je takav trenutak, kaže analitičar GigaOm-a Haward Holton. „Kao bezbednosni alat koji predstavlja značajan rizik pošto ima pristup imovini na fundamentalnom nivou, to je jasno pitanje bezbednosti lanca snabdevanja. Ovo je prvi put da su SAD preduzele ovaj korak i bilo bi mudro da se svet posluša. Pretnja je stvarna, a zabrana nije doneta olako.”
Uticaj na preprodavce
Ono što je ovog puta novo je da se obim zabrane proširio na Kaspersky partnere i preprodavce, koji bi mogli biti predmet trgovinskih sankcija i krivičnog gonjenja ako nastave da prodaju proizvode i usluge te kompanije, uključujući prodaju ažuriranja softvera u oktobru. Kaspersky obavlja veliki deo svoje B2B prodaje preko ovih partnera. „Ovo će staviti određeni pritisak na njegove kupce, od kojih mnogi upravljaju velikom kritičnom infrastrukturom, kao što je Volkswagen na primer“, kaže Rozenqvist.
L3 Networks je provajder usluga kojima upravlja Kaspersky i kaže CSO-u da su prestali da prodaju njihove proizvode pre nekoliko godina. „Još uvek nas navode kao preprodavce jer nikad ne znate šta će biti u budućnosti, a mi volimo da održavamo višestruke odnose sa dobavljačima i imamo alternativne prodavce u slučaju da moramo da promenimo“, kaže suosnivač Steve Griffin. L3 iz svojih kancelarija u Kaliforniji i Jermeniji vrši kompletne SOC i NOC usluge. „Moramo da budemo u mogućnosti da se okrenemo drugim dobavljačima. Ne želimo da se previše zabetoniramo i zaljubimo u određenog prodavca i moramo da se zaštitimo i da imamo spremne i druge varijante.“
Tri velika razloga zašto je Kaspersky meta
Ovo nije prvi pokušaj zabrane računarskih proizvoda iz izvora koji nisu američki. Stručnjaci imaju pomešana osećanja u vezi sa zabranama Huaweja i TikToka, oba sa sedištem u Kini. „Teško je reći u ovim situacijama da li je politika zasnovana na stvarnim pretnjama ili zato što neko ne voli Ruse ili Kineze“, kaže Cronin.
Ali ono što je u situaciji Kasperskog drugačije je to što se ovo tiče samog bezbednosnog softvera. Schaffer pominje jedno od tri motivaciona problema iza ovih akcija protiv Kasperskog. „Deo problema je što sav softver protiv zlonamernog softvera zove svoju centralu da proveri najnovije potpise virusa i obrasce ponašanja, tako da postoji potencijal za dvosmernu komunikaciju i napade.
Larry Dietz, iskusni konsultant i instruktor za sajber bezbednost, kaže za CSO da su zato prodavci sa sedištem u Kini ili Rusiji sumnjiviji, bez obzira da li zaista nešto rade ili ne. I ironično, Kaspersky je pokušao svoje rusko nasleđe iz prošlosti da rastereti ukazivanjem na napade iz ruskih izvora, što očigledno nije prihvaćeno u Vašingtonu
Drugi problem je što softver za zaštitu od zlonamernog softvera mora blisko da sarađuje sa osnovnim operativnim sistemima Windows ili MacOS, a to otežava praćenje njegovog rada ako je deo aktivnog zlonamernog napada. „Ovi alati po svojoj prirodi ulaze duboko u vaš OS“, kaže za CSO konsultant za bezbednost David Goodman.
Treće pitanje je nešto što je neophodno za svaki savremeni bezbednosni softver: potrebna mu je stalna briga i dopunjavanje u smislu ažuriranja softvera, što je izričito zabranjeno propisima o trgovinskim sankcijama. Svaki bezbednosni proizvod koji se ne ažurira brzo postaje meta napadača, kao što je više puta viđeno sa napadima koji konkretno traže starije verzije.
Izvor: CSO