“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

Ќовини »“ сигурност
бр. 12, 2017

ѕетте заплахи за »“ сигурността през 2018

√лобалната картина на »“ заплахите се измен€ вс€ка година. «а да се пребор€т със заплахите през 2018 г., компаниите тр€бва да са на€сно с пет глобални киберзаплахи

от , 21 декември 2017 0 1183 прочитани€,

ѕетте заплахи за »“ сигурността през 2018


јко си мислите, че 2017 г. беше тежка за защитата на данни, почакайте да видите 2018 г. ‘орумът по информационна сигурност (Information Security Forum, или ISF), световна независима организаци€ по киберсигурност и управление на информационни€ риск, прогнозира увеличаване на бро€ и последиците от пробивите в данните заради пет ключови глобални заплахи за сигурността, с които фирмите ще се сблъскат през идната година.

"ћащабът и темпът на развитие на заплахите за информационната сигурност застрашават репутаци€та на най-надеждните организации“, коментира —тив ƒърбин, управл€ващ директор в ISF. „ѕрез 2018 г. ще наблюдаваме все по-сложни заплахи, които са прицелени в най-слабото м€сто на жертвата или се видоизмен€т спр€мо вече съществуващите защити. ƒнес залозите са по-високи от вс€кога.“

«аедно с пробивите в данните ще се увеличава и обемът на компрометираните записи, казва ƒърбин. ѕоради това през следващата година атаките ще костват много повече на фирми от вс€какви размери. “радиционните области като почистване на мрежи и извести€ към клиентите ще съставл€ват част от тези повишени разходи, но допълнителните разходи ще дойдат от нови области като съдебни дела с нарастващ брой страни, добав€ той. —поред прогнозите на ISF недоволните потребители ще окажат натиск на правителствата да въведат по-строги закони за защита на данните.

ƒвигател на тези тенденции са следните пет глобални заплахи за сигурността, с които според ISF бизнесът ще се сблъска през 2018 г.:

  • ѕрестъплението като услуга (Crime-as-a-service, или CaaS) ще разшири предлаганите инструменти и услуги.

  • –искът ще се увеличи от широкото навлизане на »нтернет на нещата (The internet of things, или IoT).

  • ¬еригата на доставките остава най-слабото м€сто при управлението на риска.

  • «аконодателството допринас€ за сложността на управлението на ключовите активи.

  • Ќепостижимите очаквани€ на корпоративните мениджъри ще станат очевидни при големи инциденти

ѕрестъплението като услуга

ћиналата година ISF прогнозира, че CaaS ще направи гигантска крачка напред. ѕрестъпните групи развиха още по-сложна йерархи€, партньорства и сътрудничество, които имитират големи компании в частни€ сектор.

¬земете например криптовирусите, най-разпространената форма на зловреден софтуер в наши дни. ¬ миналото киберпрестъпниците разчитаха на н€каква изкривена форма на доверие: те заключваха компютъра на жертвата, ко€то от сво€ страна плащаше откуп, за да получи обратно достъп до него. Ќовите киберпрестъпници обаче разчупват и това „доверие“. ƒори и да плати, жертвата може да не получи ключ за разблокиране на машината си, а да стане жертва на същите хакери отново и отново.

¬ същото време, об€сн€ва ƒърбин, киберпрестъпниците стават все по-добри в използването на социален инженеринг. ¬ъпреки че цели са основно индивидуални потребители, а не фирми, тези атаки са заплаха и за организациите. „—поред мен границата между компани€ и индивидуален потребител все повече се размива“, казва той.

»нтернет на нещата

ќрганизациите използват широко IoT устройства, но повечето не са достатъчно защитени. ќсвен това ISF предупреждава, че ще има все по-малко прозрачност в бързо развиващата се IoT екосистема, с не€сни услови€, които позвол€ват на фирмите да използват личните данни на потребителите, без те да са на€сно. Ѕизнесът невинаги знае каква информаци€ напуска корпоратвните мрежи или какви данни се прихващат тайно и се предават от устройства като смартфони или умните телевизори.

 огато е налице пробив или се установ€т нарушени€ в прозрачността, компаниите ще бъдат държани отговорни от законодатели и потребители. ¬ най-лоши€ случай слабата сигурност на IoT устройства, вградени в системите за промишлен контрол, могат да доведат до физически наран€вани€ и смърт.

„ѕроизводител€т иска да е на€сно с промените в потребителското поведение, за да вникне по-добре в очаквани€та на отделни€ потребител“, казва ƒърбин. „Ќо всичко това откри повече у€звими места, отколкото досега.  ак да ги защитим, за да запазим контрола си над устройствата и да не позвол€ваме те да ни контролират? ўе сме свидетели на по-гол€ма информираност в тази област“, добав€ той.

¬еригата на доставки

ISF изтъква от години у€звимостта на веригата на доставки. —поред него често много ценна информаци€ се сподел€ с доставчиците.  огато това стане, преки€т контрол се губи, което означава увеличен риск от компрометиране на конфиденциалността, целостта или наличието на данните.

„ћиналата година започнахме да наблюдаваме как големи производствени компании не могат да работ€т, защото са блокирани и доставките им са засегнати“, об€сн€ва ƒърбин. „Ќ€ма значение в кой отрасъл работите. ¬сички имаме верига на доставки“, добав€ той. „ѕредизвикателството пред нас е да знаем къде се намира информаци€та ни във всеки етап от жизнени€ си цикъл и как да опазим целостта й, когато € сподел€ме.“

ѕрез 2018 г. компаниите ще тр€бва да се фокусират върху най-слабите места във веригата си на доставки, коментират от ISF. » макар не всеки удар по сигурността да е предотвратим, фирмите и доставчици им тр€бва да вземат превантивни мерки. ƒърбин препоръчва прилагането на силни, раст€щи и повтор€еми процеси, пропорционални на риска, с който се сблъсквате.  омпаниите тр€бва да внедр€т управление на информационни€ риск при веригата на доставки в съществуващите си процеси на управление на доставките и продавачите.

«аконодателство

«аконодателството добав€ към сложността, а ќбщи€т закон за защита на личните данни на ≈— (General Data Protection Regulation, или GDPR), който ще влезе в сила в началото на следващата година, добав€ нов слой към сложността на управлението на ключовите активи.

“Ќ€ма разговор, който съм водел с хора навс€къде по света, в който да не стане дума за GDPR“, казва ƒърбин. „Ќе става дума само за законосъобразност. —тава дума да се гарантира, че в рамките на ц€лото ви предпри€тие и верига на доставки във всеки един момент вие имате възможността да идентифицирате личните данни и как те се управл€ват и защитават. “р€бва да сте способни да покажете това във всеки един момент не само на законодателите, но и на потребителите.“

—поред ƒърбин прогнозата се е оказала в€рна, като се има предвид, че през 2017 г. станахме свидетели на значително увеличение в киберпрестъпността, особено в престъплението като услуга. ISF предвижда, че процесите ще продължат и догодина, като престъпните организации ще диверсифицират дейността си в нови пазари и ще предлагат услугите си на световно ниво. Ќ€кои от т€х ще произл€зат от съществуващи криминални структури, други ще се по€в€т като изц€ло киберпрестъпни организации.

 аква тогава е гол€мата разлика? ѕрез 2018 г. CaaS ще позволи на новите киберпрестъпници без много технически познани€ да закуп€т инструменти и услуги, за да провеждат атаки, които в противен случай не биха могли да направ€т, казва ƒърбин.

„ иберпрестъпността вече се цели не само в големите „гърнета с мед“ – интелектуална собственост и големите банки. јко искаме да внедрим това правилно, тр€бва да променим начина, по който извършваме дейността си“, добав€ той.

ISF отбел€зва, че необходимите допълнителни ресурси за посрещане на изисквани€та на GDPR ще увеличат разходите за осигур€ване на законосъобразност и управление на данните и ще пренасочат вниманието и инвестициите от други дейности.

Ќеудовлетворените очаквани€ на управленски€ борд

–азминаването между очаквани€та на борда и способността на информационната сигурност да дава резултати ще представл€ва заплаха през 2018 г., см€тат от ISF.

„Ѕордът по принцип разбира нещата. “ой знае, че работи в киберпространство. “ова, което не разбира в много случаи, са пълните последстви€ от това“, казва ƒърбин. „“е см€тат, че главни€т директор по »“ и сигурността държи всичко под контрол. ¬ много случаи, бордът просто не знае кои са правилните въпроси, които да зададе. ј »“ директорът от сво€ страна може да не знае как да говори с борда или бизнеса въобще.“

—поред ISF управленски€т борд ще очаква, че одобрени€т от него увеличен бюджет за информационна сигурност в миналото е дал възможност на »“ отдела да произведе незабавни резултати. Ќо абсолютно защитена организаци€ е невъзможна миси€. » дори те да разбират това, много бордове не зна€т, че осъществ€ването на значими подобрени€ в информационната сигурност отнема време, дори и компани€та да разполага с правилните хора и ресурси.

“ова разминаване означава, че когато стане сериозен инцидент, не само компани€та ще почувства удара. “ой веро€тно ще се отрази лошо на репутаци€та на членовете на борда, заедно и поотделно.

≈то защо рол€та на директора по »“ и сигурността тр€бва да се промени, казва ƒърбин.

„–ол€та на директора по »“ и сигурността в наши дни е да предвижда заплахата, а не просто да гарантира, че защитната стена работи. “р€бва да предусещате как предизвикателствата пред вас ще засегнат бизнеса и да го представите в разбираем вид пред борда. ƒобри€т »“ директор тр€бва да бъде продавач и консултант. ћога да съм най-добри€ консултант в света, но ако не мога да продам идеите си, н€ма да имам никакъв успех пред управленски€ борд“, добав€ той.

Tор ќлавзурз, CIO, —јў

ѕревод и редакци€ ёли€ ”ршева

 ќћ≈Ќ“ј–» ќ“  

ѕолезни страници
    «а нас | јудитори€ | –еклама |  онтакти | ќбщи услови€ | ƒеклараци€ за поверителност | ѕолитика за бисквитки |
    ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов