跨国保险公司Mapfre 2020年应答敲诈软件的阅历
安保总监Guillermo Llorente探讨了指导Mapfre这家西班牙跨国企业应答2020年网络攻打的阅历,以及他从将这一事情转化为安保控制完成案例中所吸取的阅历经验。
2020年夏天,保险公司Mapfre遭受了一次性敲诈软件攻打,影响了该公司在西班牙的数千台主机和上班站。过后的状况复杂至极——正值疫情暴虐,又是在一个许多西班牙公民都在度假、对Mapfre的路线接济服务需求参与的假期前夕。
但公司完成地从这次事情中变得愈增弱小。西班牙数据包全局起初也强调,这家跨国公司采取了适当的安保措施来应答网络攻打,使其能够踊跃执行,将攻打的影响降到最低,该局还赞扬了保险公司能够透明地沟通这一状况。
Mapfre的CSO兼危机控制担任人Guillermo Llorente不只亲自阅历了这一状况,还指导了保险公司的应答上班。他向CSO Spain讲述了自己吸取的经验,以及Mapfre是如何将一次性敲诈软件攻打转变为安保控制完成案例的。
让咱们回到2020年夏天。Mapfre是如何阅历公司有史以来最大规模的网络攻打的?事情出现后最后的那段时期是怎么的?你又做出了哪些最后的决策?
Llorente:像这类事情中通常出现的那样,突然间灯焚烧了,而CISO或危机控制人员肯定让灯从新亮起。
如今,咱们对那天出现的事情有了更多的了解。例如,网络攻打在一年前就开局酝酿,过后有人购置了与Mapfre相似的互联网域名,用意发起敲诈软件攻打,而这一切出当初2020年8月14日,也就是疫情暴虐那年,又正值西班牙和环球上许多国度的假期——而且还是在周末的早晨9点。因此,那一天是Mapfre历史上办公室人数起码的一天,而次日,即8月15日,是西班牙自驾游出行人数最多的一天,关于咱们这样一家过后领有20%市场份额的抢先车险公司来说,这是一个关键日子,有着泛滥潜在客户须要关注。
这不是某个车库里的家伙发起的攻打,而是一个行业发起的,这是一次性经过常年预备且精心设计的攻打,正如咱们在法务剖析中所了解到的,攻打者重复引爆病毒,而咱们的杀毒软件阻止了这些病毒,直到其中一个病毒打破了安保屏障。
虽然攻打机遇如此复杂,但他们还是完成了。他们是如何做到的?
首先,是由于咱们有些幸运,其次,是由于咱们有所预备,由于得益于疫情情势,咱们领有一个运转良好的危机控制系统。从这个意义上说,虽然没有任何业务延续性和危机控制方案能够思考到一切或者的状况——比如在疫情时期遭受大规模网络攻打,迫使大规模远程办公——但那些没有这样方案的人就遭殃了……第三,是由于咱们团队的才干,第四,是由于团队具有高效上班并吸纳公司后续提供的增援的才干。
在遭受此类攻打时,公司会面临能否支付赎金的抉择,但在Mapfre的状况下……
咱们选择不支付,假设你选用这样做,就别无选用,只能透明处置,而咱们也正是这么做的。咱们之所以能做出这个选择,是由于咱们有安保的备份,并且可以在安保的空间里树立正本以继续提供服务。诚恳说,我肯定说,我并不青睐透明这个选项。那天早晨我曾经焦头烂额了,不想再添上沟通的疑问。
做出这样的选择须要付出渺小的代价,首先是媒体曝光,咱们的总裁和副总裁露面向媒体解释,咱们宣布申明称自己遭到了攻打,但咱们无法提供更多消息,由于咱们自己也不清楚状况。咱们知道没有出现大规模数据暴露,但咱们不知道攻打者在咱们的系统中潜伏了多久,咱们只知道他们破坏了咱们的系统并加密了数据。理想上,咱们花了几个月的时期才确认没有数据被窃取。
当然,沟通局部肯定是一大应战……
我并没有齐全看法到这一事情的重大性。此外,这一事情不只有报告给西班牙监管机构,还要报告给23个不同国度的23个监管机构,并且肯定不时向他们通报状况。咱们还肯定与Mapfre协作同伴公司的安保控制人员——以及这些公司外部各个层级的人员——以及与客户坚持不时沟通。能够在公司堕入凌乱时坚持消息分歧,是咱们的完成之一。
另一方面,由于这种透明度和沟通,全环球都知道咱们存在破绽,当然,那一周咱们遭受了泛滥试图发起的攻打。举个例子:8月15日,我为此感到十分自豪,没有一位Mapfre客户得不到服务,虽然从逻辑上讲,服务品质无法到达平时的规范——无法防止地出现了更多延误等——所以咱们在他们续保时提供了提价活动,但是,许多客户收到了一条带有虚伪链接的手机短信,试图诈骗他们。
你们能否查出了网络攻打面前的黑手?
是乌克兰、俄罗斯或白俄罗斯的集团,它们是泛滥此类集团中的几个。通常,其中几个集团协同上班,每个集团担任网络攻打的一个方面,直到最后的敲诈。由于咱们选择切断一切通讯和互联网,他们无法继续攻打。其中一个集团甚至取得了特权用户凭据,这迫使咱们在事情出现后数月内,对互联网访问和远程上班实施了十分严厉的限度条件。
这一事情能否标记着Mapfre安保政策的转机点?
假设咱们能够幸存上去,那是由于咱们之前曾经做了很多上班,而且咱们曾经做好了预备,但这一事情强化了一些咱们虽然有所思考但并未深化了解的方面,比如沟通的关键性,这是咱们吸取的关键经验之一,还有基线的分歧性,即一切国度都有相反的安保要求,以及对日益复杂的攻打的监控和照应才干的清楚优化。
公司目前能否正在遭受少量攻打?
咱们所面临的要挟状况与疆土安所有、国度明码学核心(NCC)甚至环球经济论坛的任何报告所述分歧:网络要挟继续增长。这是一场永无止境的比赛,其处置方案与目前企业大幅参与安保投资的做法不同。从久远来看,这是无法继续的,由于咱们面对的是准国度机构,甚至可以说是国度机构。企业还肯定依托国度的进攻。肯定扭转这种形式,这须要国度间接干预网络的控制和安保,以及大型科技公司承当责任,其中许多公司在其软件方面处于垄断位置,为此他们不时颁布安保更新,而通常上这些软件本应是安保的。是的,软件开发商、网络公司以及政府都有责任。
Mapfre在网络安保方面的投资是多少?
咱们在本行业内的安保投资中处于抢先平均水平。此外,疫情带来的一个好处是,没有人再探讨网络安保估算了。在Mapfre,当然,人们对安保的关键性有着高度的看法,这是至关关键的,由于这不只仅关乎金钱。
在选用安保供应商时,能否对经常使用来自中国或俄罗斯等某些国度制作商的技术存在限度?
这些都是须要思考的疑问。假设大少数攻打来自某些地域和团伙,那么用来自某个特定起源的系统来危害你的网络会带来结果。咱们有一个流程,从供应商审批开局,而后对建议启动危险剖析。此外,咱们还思考了欧盟和咱们国度特意收回的建议,咱们以CCN同意的产品为指点。
另一个应战是接受来自欧洲的一切法规,如《数字业务韧性法案》(DORA)。
是的,作为一家在欧盟许多国度都有业务且规模庞大(保费超越300亿欧元)的欧洲保险集团,咱们遭到监管机构的重点关注,肯定顺应这种复杂的局面。咱们的指标当然是恪违法规。
CIO和CISO之间的协作至关关键。你与公司的CIO相关如何?
我很幸运能与像Vanessa Escrivá这样杰出的CIO同事,我和她树立了良好的专业相关。咱们的致力朝着同一个指标迈进:为Mapfre提供最可继续和最安保的系统,虽然咱们的职责不同,她的职责是提供服务,而我的职责是确保服务安保启动。咱们的相关是亲密而终身的协作,虽然咱们在独立畛域上班——受同一个老板指导——遵照职责分别的准则,这是介绍的做法。
你分开军队进入私营部门。你如何评价自己职业生涯的这一阶段?
确实,我是一名休假中的步兵中尉。我十分珍爱在私营部门的这些年,这是一段让我生长的阅历,如今我比以前更专业、更丰盛了。另一方面,我以为我曾经完成地将自己在军队中造就的在危机状况下不时作战的预备融入到了上班中,这十分有用,由于如今的公司在终身性的危机环境中运营,在这种状况下,安保不只是技术疑问,更是控制疑问,而安保担任人给公司带来的关键价值是使它们具有韧性。