Если вы полагаете, что 2017 год был весьма неблагоприятным с точки зрения появления брешей в системах защиты данных, дождитесь наступления 2018-го. Information Security Forum (ISF), глобальная независимая ассоциация информационной безопасности, нацеленная на обеспечение кибербезопасности и управление информационными рисками, прогнозирует увеличение числа таких брешей. И связано это будет главным образом с пятью глобальными угрозами системам безопасности, с которыми организациям предстоит столкнуться в 2018 году.
В ISF отмечают, что масштабы и темпы распространения угроз информационной безопасности порождают риски для репутации даже самых устойчивых организаций. В 2018 году мы увидим более изощренные атаки, носящие персональный и изменчивый характер, атаки будут направлены на слабые места жертв и учитывать уже предпринятые защитные меры.
Рост числа брешей в системе защиты данных прямо пропорционален объемам скомпрометированных записей. Поэтому в следующем году атаки обойдутся значительно дороже организациям любой величины. Затраты эти будут обусловлены как традиционной очисткой сетей и направлением уведомлений клиентам, так и судебными тяжбами, в которые окажется вовлечен самый широкий круг сторон. Согласно прогнозам ISF, разгневанные клиенты будут оказывать давление на правительства, требуя ужесточения законодательства о защите данных, а это, в свою очередь, повлечет за собой дополнительные расходы.
Усиление наметившихся тенденций будет сопровождаться ростом пяти основных глобальных угроз системам безопасности, с которыми компаниям предстоит столкнуться в 2018 году:
- преступления, предлагаемые в качестве сервиса (crime-as-a-service, CaaS), расширят набор доступных криминалу инструментов и сервисов;
- Интернет вещей добавит неуправляемые риски;
- цепочки поставок останутся слабейшим местом в управлении рисками;
- дополнительное регулирование усложнит управление критически важными активами;
- неоправдавшиеся ожидания руководства будут подкрепляться многочисленными инцидентами.
Преступление как сервис
В прошлом году в ISF предсказывали, что концепция CaaS совершит качественный скачок. В преступных синдикатах, как и в крупных организациях частного сектора, формируются сложная иерархия, партнерские отношения и система взаимодействия.
Прогноз сбылся: в 2017 году наблюдался существенный рост киберпреступности, особенно преступлений, предлагаемых в качестве сервиса, подчеркивают в ISF. В 2018 году этот процесс продолжится. Преступные организации будут диверсифицировать свою деятельность, охватывая новые рынки, и стандартизировать ее на глобальном уровне. Некоторые организации установят связи с существующими криминальными структурами, другие же сосредоточатся исключительно на киберпреступности.
В чем главное отличие от того, что происходит уже сейчас? В 2018 году «начинающие» киберпреступники, не обладающие глубокими техническими знаниями, будут иметь возможность покупать инструменты и сервисы, помогающие проводить атаки, которые при других условиях им бы осуществить не удалось.
Возьмем, к примеру, вирусы-шифровальщики – наиболее популярную сегодня категорию вредоносных программ. В прошлом киберпреступники использовали вирусы-вымогатели, основываясь на некой форме извращенного доверия: они блокировали компьютер, жертва выплачивала выкуп, после чего компьютер разблокировался. Но вхождение в эту сферу начинающих киберпреступников приводит к разрушению «доверия». Даже если жертва выплатит выкуп, она все равно не получит ключ для разблокирования своей собственности или же киберпреступник будет возвращаться снова и снова.
Киберпреступники становятся все более изобретательными при использовании социальной инженерии. И хотя их целями чаще всего являются индивидуальные пользователи, а не предприятия, атаки такого рода представляют угрозу и для организаций.
Интернет вещей
Применение организациями устройств Интернета вещей расширяется, но большинство таких устройств не отвечают требованиям безопасности. ISF предупреждает об отсутствии прозрачности в быстро развивающейся экосистеме Интернета вещей – возникают условия, при которых организации могут использовать персональные данные нежелательным для клиентов образом. В корпоративной среде организациям будет сложно узнать о том, что информация вышла за пределы их сети, а данные тайно захватываются и передаются на различные устройства, например на смартфоны и умные телевизоры.
При возникновении брешей в системе защиты данных или при нарушении прозрачности организации, скорее всего, будут нести ответственность перед регуляторами и клиентами. Компрометация устройств Интернета вещей в промышленных системах управления может привести к физическим повреждениям и даже гибели людей.
«Очень важно, чтобы производители знали сценарии использования, тогда они смогут лучше понять конкретные ситуации, – подчеркивают в ISF. – Но в любом случае Интернет вещей порождает гораздо больше рисков, чем имелось ранее. Как обеспечить безопасность таким образом, чтобы не только устройства, но и мы находились под контролем? Необходимо повышать уровень знаний в этой области».
Цепочки поставок
Вопросы уязвимости цепочек поставок поднимаются много лет. Организации довольно часто делятся с поставщиками весьма ценной и конфиденциальной информацией. При передаче этих сведений возникает опасность их утечки. Возрастают риски конфиденциальности, целостности и доступности информации.
В прошедшем году многие производственные организации теряли производственные возможности, когда их блокировали, затрагивая в том числе и систему поставок. Неважно, чем конкретно занимается компания. Цепочки поставок есть у всех. Вопрос заключается лишь в том, чтобы узнать, где находится информация на каждом этапе производственного цикла.
В 2018 году организациям нужно будет направить максимум внимания на самые слабые места в цепочках поставок. Необходимо действовать на упреждение. ISF рекомендует использовать надежные, масштабируемые и повторяющиеся процессы. Организации необходимо интегрировать управление информационными рисками цепочек поставок в существующие процедуры снабжения и взаимодействия с поставщиками.
Регулирование
Регулирование добавляет сложностей, и принятие Европейским союзом в начале 2018 года закона о защите данных General Data Protection Regulation (GDPR) приведет к появлению еще одного уровня сложности в управлении критически важными активами.
Речь идет не только о соблюдении нормативных требований, но и о том, чтобы иметь возможность в любое время получить доступ к любым персональным данным в масштабах предприятия и цепочек поставок и понять, каким образом осуществляются управление ими и их защита. Это нужно продемонстрировать в любой момент, причем не только регулятору, но и любому их владельцу. И если мы хотим, чтобы все было реализовано правильно, нужно менять порядок ведения дел.
ISF указывает, что выделение необходимых дополнительных ресурсов на выполнение требований GDPR приведет к увеличению сложности и стоимости управления данными, отвлекая внимание и инвестиции от других видов деятельности.
Неоправдавшиеся ожидания руководства
Расхождения между ожиданиями руководства и реальными возможностями системы информационной безопасности будут представлять в 2018 году серьезную угрозу.
Руководство компаний, как правило, не в полной мере осознает последствия работы предприятия в киберпространстве. Оно считает, что директор по информационной безопасности держит все под контролем. Зачастую руководство даже не знает, как правильно сформулировать вопросы. А директор по информационной безопасности не понимает, как разговаривать на эту тему с руководством и представителями основного бизнеса.
Руководство ждет, что одобрение увеличения бюджетов на информационную безопасность в прошлые годы даст немедленные результаты. Но полностью безопасная организация – это недостижимая цель. И даже если руководство это понимает, оно во многих случаях не понимает того, что существенное укрепление информационной безопасности требует времени.
При возникновении серьезного инцидента последствия ощутит не только организация; весьма вероятно, что они самым негативным образом отразятся на репутации членов руководства, как индивидуальной, так и коллективной.
По этой самой причине роль директора по информационной безопасности требует постоянного развития. Он должен предвидеть, каким образом появляющиеся вызовы отражаются на бизнесе, и объяснить это руководству. Хороший директор по информационной безопасности должен быть и продавцом, и консультантом.
– Thor Olavsrud. 5 information security threats that will dominate 2018. CIO. NOV 20, 2017