Autor: Notes de seguretat

EU publishes definitive guide to combat #ransomware

Notes de seguretatDeixa un comentari

This Guide is an update to the Ransomware Guide published in 2020 by the Cybersecurity and Infrastructure Security Agency (CISA) and the Multi-State Information Sharing and Analysis Center (MS-ISAC). It was developed through the so-called Joint Ransomware Task Force and forms part of the #StopRansomware effort.

Ransomware is a kind of malware designed to encrypt files on a device, rendering them and the systems that depend on them unusable. Subsequently, malicious actors demand a ransom in exchange for decryption.

Over time, malicious actors have adjusted their ransomware tactics to be more destructive and impactful and have also taken advantage of obtaining data from victims by pressuring them to pay with threats to release illicitly obtained data to the public. When these tactics are carried out hand in hand with cybercriminals, this is known as double extortion. In some cases, malicious actors may exfiltrate data and threaten to disclose it as the only form of extortion without using ransomware.

These ransomware and associated data breach incidents can severely impact, for example, business processes or medical management, leaving organisations or entities stranded and unable to access data needed to manage and deliver basic or essential services.

Moreover, the economic and reputational impact of ransomware and data extortion has proven to be very costly and challenging for organisations of all sizes during the initial disruption and, at times, has led to a very complex recovery.

This guide to combating ransomware includes two main resources:

  • Part 1: Best practices for ransomware and data extortion prevention.

This part provides guidance for all organisations to reduce the impact and likelihood of ransomware and data extortion incidents, including best practices for preparing for, preventing and combating these incidents. Best prevention practices are grouped by common initial access vectors.

  • Part 2: Ransomware and data extortion response checklist.

Part 2 includes a checklist of best practices for responding to these incidents. These best practices and recommendations for preventing and responding to data extortion and ransomware are based on operational insights from CISA, MS-ISAC, the National Security Agency (NSA) and the Federal Bureau of Investigation (FBI).

The audience for this guide would include IT professionals, as well as others within an organisation involved in the development of cyber incident response policies and procedures.

_____

Aquest apunt en català / Esta entrada en español / Post en français

Les États-Unis publient le guide définitif pour lutter contre les rançongiciels (#ransomware)

Notes de seguretatDeixa un comentari

Ce guide est une actualisation du guide sur les rançongiciels publié en 2020 aux États-Unis par l’Agence de cybersécurité et de sécurité des infrastructures (CISA) et le Centre d’échange d’informations et d’analyse entre les états (MS-ISAC). Il a été développé par la Joint Ransomware Task Force et fait partie de l’effort connu sous le nom de #StopRansomware.

Les rançongiciels (ransomwares) sont des logiciels malveillants conçus pour crypter les fichiers d’un dispositif, les rendant inutilisables, ainsi que les systèmes qui en dépendent. Les acteurs malveillants demandent ensuite une rançon en échange du décryptage.

Au fil du temps, les malfaiteurs ont adapté leurs tactiques de ransomware pour les rendre plus destructives et plus percutantes, et ont également profité de l’occasion pour obtenir des données des victimes en les pressant de payer et en menaçant de rendre publiques les données obtenues de manière illicite. Lorsque ces tactiques sont mises en place conjointement avec des cybercriminels, on parle de double extorsion. Dans certains cas, les malfaiteurs peuvent filtrer des données et menacer de les divulguer, ce qui constitue une seule forme d’extorsion, sans utiliser de ransomware.

Ces ransomwares et les filtrations de données qui en découlent peuvent gravement affecter, par exemple, les procédures commerciales ou la gestion médicale, laissant les organisations ou les entités bloquées et incapables d’accéder aux données nécessaires pour gérer et fournir des services de base ou essentiels.

En outre, l’empreinte des ransomwares et de l’extorsion de données sur la situation économique et la renommée de l’entreprise s’est avéré très coûteux et difficile pour les organisations de toute taille non seulement au moment de la perturbation initiale mais aussi dans le cadre de la récupération de données qui peut devenir très complexe.

Ce guide de lutte contre les ransomwares comprend deux ressources principales :

  • Première partie : bonnes pratiques pour empêcher l’utilisation de ransomwares et l’extorsion de données.

Cette partie fournit des conseils à toutes les organisations pour réduire l’impact et la probabilité des incidents liés aux ransomwares et à l’extorsion de données, y compris les meilleures pratiques pour se préparer à ces incidents, les prévenir et les combattre. Ces bonnes pratiques de prévention sont regroupées par vecteurs d’accès initiaux communs.

  • Partie 2 : liste de contrôle des mesures à prendre en réponse à une demande de rançon et une extorsion de données.

La deuxième partie comprend une liste de contrôle des bonnes pratiques pour répondre à de tels incidents. Ces bonnes pratiques et recommandations pour prévenir et répondre à l’extorsion de données et aux ransomwares sont basées sur l’expertise opérationnelle de la CISA, du MS-ISAC, de la Agence nationale de la sécurité (NSA) et du Bureau fédéral d’enquête (FBI).

Ce guide s’adresse aux professionnels responsables des technologies de l’information, ainsi qu’aux autres membres d’une organisation impliqués dans l’élaboration de politiques et de procédures de réponse aux incidents cybernétiques.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Acord europeu en favor de la ciberseguretat

Notes de seguretatDeixa un comentari

Per intentar una millora de la resiliència cibernètica de la Unió Europea, permetent l’adopció futura d’esquemes de certificació europeus per als anomenats serveis de seguretat gestionats, els representants dels estats membres (Coreper) van assolir una posició comuna sobre la proposta de modificació específica de la normativa sobre ciberseguretat (CSA) de la UE de 2019.

Els serveis de seguretat gestionats, prestats als clients per empreses especialitzades, són crucials per a la prevenció, detecció, resposta i recuperació dels incidents de ciberseguretat. Poden consistir, per exemple, en la detecció o la resposta a incidències, les anomenades proves de penetració o les auditories de seguretat, o la consultoria.

Presentada juntament amb una proposta d’acte de cibersolidaritat de la Unió per reforçar les capacitats de ciberseguretat a la UE, l’esmena dirigida a la CSA pretén incloure els esquemes europeus de certificació de ciberseguretat per als serveis de seguretat gestionats en l’àmbit d’aplicació del reglament CSA de 2019.

Per tant, aquesta modificació permetrà establir esquemes europeus de certificació per a aquests serveis. Ajudarà a augmentar la seva qualitat i comparabilitat, a afavorir l’aparició de proveïdors de serveis de ciberseguretat de confiança i evitar la fragmentació del mercat interior atès que alguns estats membres ja han iniciat l’adopció d’esquemes nacionals de certificació de serveis de seguretat gestionats.

La posició del Consell conté les esmenes principals següents a la proposta de la Comissió:

• Aclareix la definició de serveis de seguretat gestionats i l’alineació amb la directiva revisada de sistemes d’informació de xarxa (NIS 2).

• El text alinea els objectius de seguretat d’aquests esquemes de certificació amb els objectius de seguretat d’altres esquemes d’acord amb l’actual Llei de ciberseguretat.

• El text inclou modificacions a l’annex de la Llei de ciberseguretat, que conté una llista de requisits que han de complir els organismes d’avaluació de la conformitat.

• S’han introduït una sèrie de modificacions tècniques i de redacció per garantir que totes les disposicions rellevants de la normativa CSA vigent s’apliquen també als serveis de seguretat gestionats.

La Llei de ciberseguretat, aprovada el 2019, va establir el primer marc de certificació de ciberseguretat per a tots els estats membres. La certificació de ciberseguretat és voluntària, llevat que la legislació de la Unió o dels estats membres n’especifiqui el contrari.

La proposta de la Comissió, aprovada el 18 d’abril del 2023, té com a objectiu una modificació específica de l’àmbit d’aplicació de l’acta de ciberseguretat, que permetria a la Comissió adoptar actes d’execució sobre esquemes europeus de certificació de ciberseguretat per als serveis de seguretat gestionats, a més de la informació i la tecnologia, productes (TIC), serveis TIC i processos TIC, que estan coberts per l’actual Llei de ciberseguretat.

Com a informació complementària per a aquest acord, s’annexen els documents previs:

Reglament que modifica la CSA pel que fa als serveis de seguretat gestionats, mandat de negociació del Consell, 15 de novembre de 2023

Modificació específica del CSA (CSA+), proposta de la Comissió, 18 d’abril de 2023

Informació general de la Comissió, 18 d’abril de 2023

Directiva revisada de xarxes i sistemes d’informació (NIS 2), 27 de desembre de 2022

_____

Esta entrada en español / This post in English / Post en français

Acuerdo europeo en favor de la ciberseguridad

Notes de seguretatDeixa un comentari

Para intentar una mejora de la resiliencia cibernética de la Unión Europea, permitiendo la adopción futura de esquemas de certificación europeos para los llamados servicios de seguridad gestionados, los representantes de los estados miembros (Coreper) alcanzaron una posición común sobre la propuesta de modificación específica de la normativa sobre ciberseguridad (CSA) de la UE de 2019.

Los servicios de seguridad gestionados, prestados a los clientes por empresas especializadas, son cruciales para la prevención, detección, respuesta y recuperación de los incidentes de ciberseguridad. Pueden consistir, por ejemplo, en la detección o respuesta a incidencias, las llamadas pruebas de penetración o las auditorías de seguridad, o la consultoría.

Presentada junto con una propuesta de acto de cibersolidaridad de la Unión para reforzar las capacidades de ciberseguridad en la UE, la enmienda dirigida a la CSA pretende incluir los esquemas europeos de certificación de ciberseguridad para los servicios de seguridad gestionados en el ámbito de aplicación del reglamento CSA de 2019.

Por tanto, esta modificación permitirá establecer esquemas europeos de certificación para estos servicios. Ayudará a aumentar su calidad y comparabilidad, a favorecer la aparición de proveedores de servicios de ciberseguridad de confianza y a evitar la fragmentación del mercado interior dado que algunos estados miembros ya han iniciado la adopción de esquemas nacionales de certificación de servicios de seguridad gestionados.

La posición del Consejo contiene las siguientes enmiendas principales a la propuesta de la Comisión:

• Aclara la definición de servicios de seguridad gestionados y la alineación con la directiva revisada de sistemas de información de red (NIS 2).

• El texto alinea los objetivos de seguridad de estos esquemas de certificación con los objetivos de seguridad de otros esquemas de acuerdo a la actual Ley de ciberseguridad.

• El texto incluye modificaciones en el anexo de la Ley de ciberseguridad, que contiene una lista de requisitos que deben cumplir los organismos de evaluación de la conformidad.

• Se han introducido una serie de modificaciones técnicas y de redacción para garantizar que todas las disposiciones relevantes de la normativa CSA vigente se apliquen también a los servicios de seguridad gestionados.

La Ley de ciberseguridad, aprobada en 2019, estableció el primer marco de certificación de ciberseguridad para todos los estados miembros. La certificación de ciberseguridad es voluntaria, salvo que la legislación de la Unión o de los estados miembros especifique lo contrario.

La propuesta de la Comisión, aprobada el 18 de abril de 2023, tiene como objetivo una modificación específica del ámbito de aplicación del acta de ciberseguridad, que permitiría a la Comisión adoptar actos de ejecución sobre esquemas europeos de certificación de ciberseguridad para los servicios de seguridad gestionados, además de la información y la tecnología, productos (TIC), servicios TIC y procesos TIC, que están cubiertos por la actual Ley de ciberseguridad.

Como información complementaria para este acuerdo, se anexan los documentos previos:

Reglamento que modifica la CSA en lo que se refiere a los servicios de seguridad gestionados, mandato de negociación del Consejo, 15 de noviembre de 2023

Modificación específica del CSA (CSA+), propuesta de la Comisión, 18 de abril de 2023

Información general de la Comisión, 18 de abril de 2023

Directiva revisada de redes y sistemas de información (NIS 2), 27 de diciembre de 2022

_____

Aquest apunt en català / This post in English / Post en français

European agreement in favour of cybersecurity

Notes de seguretatDeixa un comentari

In order to improve the European Union’s cyber resilience, enabling the future adoption of European certification schemes for so-called ‘managed security services’, Member States’ representatives (Coreper) reached a common position on the proposal for a targeted amendment to the EU Cybersecurity Act (CSA) of 2019.

Managed security services, which are provided to customers by specialised companies, are essential for the prevention, detection, response, and recovery from cybersecurity incidents. They may involve, for example, incident detection or response, so-called penetration testing or security audits, or consultancy.

Presented together with a proposal for a Union cybersolidarity act to strengthen cybersecurity capabilities in the EU, the amendment addressed to the CSA aims to include European cybersecurity certification schemes for managed security services in the scope of the 2019 CSA regulation.

This amendment will therefore make it possible to establish European certification schemes for these services. It will help to increase their quality and comparability, promote the emergence of trusted cybersecurity service providers and avoid fragmentation of the internal market, as some Member States have already initiated the adoption of national certification schemes for managed security services.

The Council’s position entails the following main amendments to the Commission’s proposal:

– It clearly explains the definition of managed security services and the alignment with the revised Network and Information Systems (NIS 2) directive.

– The text aligns the security objectives of these certification schemes with the security objectives of other schemes under the current Cybersecurity Act.

– The text includes amendments to the Annex to the Cybersecurity Act, which contains a list of requirements to be met by conformity assessment bodies.

– A number of technical and editorial changes have been introduced to ensure that all relevant provisions of the current CSA regulations also apply to managed security services.

The Cybersecurity Act, which entered into force in 2019, established the first cybersecurity certification framework for all member states. Unless otherwise specified by Union or Member State legislation, the cybersecurity certification is voluntary.

The Commission’s proposal, adopted on April 18, 2023, targets a specific amendment to the scope of the Cybersecurity Act, which would allow the Commission to adopt implementing acts on European cybersecurity certification schemes for managed security services, in addition to information and technology, (ICT) products, ICT services and ICT processes, which are covered by the current Cybersecurity Act.

As complementary information for this agreement, the previous documents are attached:

Regulation amending the CSA as regards managed security services, Council negotiating mandate, 15 November, 2023

Specific modification of the CSA (CSA+), proposed by the Commission, 18 April, 2023

General Commission Information, 18 April, 2023

Revised Network and Information Systems Directive (NIS 2), 27 December, 2022

_____

Aquest apunt en català / Esta entrada en español / Post en français

Accord européen en faveur de la cybersécurité

Notes de seguretatDeixa un comentari

Afin d’améliorer la cyber-résilience de l’Union européenne en permettant l’adoption future de schémas de certification européens pour les services de sécurité gérés, les représentants des États membres (Coreper) sont parvenus à adopter une position commune sur la proposition d’un amendement spécifique au règlement de l’UE sur la cybersécurité (CSA) 2019.

Les services de sécurité gérés, que les entreprises spécialisées fournissent à leurs clients, sont essentiels pour la prévention, la détection, l’intervention et la récupération en cas d’incidents de cybersécurité. Il peut s’agir, par exemple, de détection ou de réponse à un incident, de tests de pénétration ou d’audits de sécurité, ou encore de services de conseil.

Présenté en même temps qu’une proposition d’acte législatif sur la cybersolidarité de l’Union ayant pour but de renforcer les capacités de cybersécurité dans l’UE, l’amendement relatif au CSA vise à inclure les schémas européens de certification de la cybersécurité pour les services de sécurité gérés dans le champ d’application du règlement CSA de 2019.

Par conséquent, cet amendement permettra d’établir des schémas de certification européens pour ces services. Cette modification contribuera ainsi à améliorer la qualité et à accroître la comparabilité des services, à favoriser l’émergence de fournisseurs de services de cybersécurité de confiance et à éviter la fragmentation du marché intérieur, étant donné que certains États membres ont déjà commencé à adopter des schémas de certification nationaux pour les services de sécurité gérés.

La position du Conseil englobe les principales modifications suivantes relatives à la proposition de la Commission :

• Elle clarifie la définition des services de sécurité gérés et l’alignement sur la directive révisée sur les systèmes d’information en réseau (directive SRI 2).

• Le texte aligne les objectifs de sécurité de ces schémas de certification sur les objectifs de sécurité des autres systèmes prévus par l’actuelle loi sur la cybersécurité.

• Le texte comprend des modifications à l’annexe de la loi sur la cybersécurité, qui contient une liste d’exigences à respecter par les organismes d’évaluation de la conformité.

• Un certain nombre de modifications d’ordre technique et rédactionnel ont été introduites afin de garantir que toutes les dispositions pertinentes du règlement CSA actuel s’appliquent également aux services de sécurité gérés.

La loi sur la cybersécurité, adoptée en 2019, a établi le premier cadre de certification de la cybersécurité pour tous les États membres. La certification en matière de cybersécurité est volontaire, sauf disposition contraire de la législation de l’Union ou des États membres.

La proposition de la Commission, adoptée le 18 avril 2023, vise à modifier spécifiquement le champ d’application de la loi sur la cybersécurité, permettant ainsi à la Commission d’adopter des actes d’exécution sur les schémas européens de certification de la cybersécurité pour les services de sécurité gérés, en plus des produits basés sur les technologies de l’information et de la communication (TIC), des services TIC et des processus TIC, qui sont couverts par l’actuelle loi sur la cybersécurité.

Les documents susmentionnés sont annexés à titre d’information complémentaire concernant cet accord :

Règlement modifiant le CSA en ce qui concerne les services de sécurité gérés, mandat de négociation du Conseil, 15 novembre 2023.

Modification ciblée du CSA (CSA+), proposition de la Commission, 18 avril 2023

Informations générales de la Commission, 18 avril 2023

Directive révisée sur les réseaux et des systèmes d’information (SRI 2), 27 décembre 2022

_____

Aquest apunt en català / Esta entrada en español / This post in English

Avui és dia festiu a Catalunya.

Notes de seguretatDeixa un comentari

No publiquem apunt. Ens veiem dilluns.

_____

Esta entrada en español / This post in English / Post en français

Hoy es dia festivo en Cataluña.

Notes de seguretatDeixa un comentari

No publicamos entrada. Nos vemos el lunes.

_____

Aquest apunt en català / This post in English / Post en français

Today is bank holiday in Catalonia.

Notes de seguretatDeixa un comentari

We don’t publish any post. See you on Monday.

_____

Aquest apunt en català / Esta entrada en español / Post en français

Aujourd’hui c’est un jour férié en Catalogne.

Notes de seguretatDeixa un comentari

Nous ne publions pas la note. Rendez-vous lundi.

_____

Aquest apunt en català / Esta entrada en español / This post in English