
Отношения между компаниями, государственными органами и злоумышленниками по линии информационной безопасности в 2018 г. обретают новые формы и углубляются. Мы попытались проследить основные тенденции и предлагаем ознакомиться с ними.
В своем анализе мы выделили четыре основных направления, которые станут задачами на 2018 год для области информационной безопасности.
- Какие вопросы возникнут перед компаниями после вступления в силу новых нормативных актов в области информационной безопасности
- Какие будут способы и области осуществления кибер-атаки.
- От кого ожидать усиления угрозы информационной безопасности.
- На какие изменения в стратегии безопасности стоит обратить внимание компаниям в 2018 г.
Регуляторы: имплементация GDPR и NIS; клиенты-как-регуляторы
Итак, 25 мая вступает в силу постановление Европейской комиссии о защите данных (GDPR), устанавливающее требования к компаниям по вопросам защиты данных граждан ЕС, обработке и хранению этой информации. Постановление касается любых организаций, в том числе российских, которые собирают или обрабатывают личные данные жителей ЕС, независимо от того, находятся ли эти компании в Европейском Союзе или за его пределами. Это добавляет новый уровень сложности к управлению информационными ресурсами компании. Потребуется решать перечень технологических и финансовых проблем: отсутствие осведомленности, увеличение расходов на управление данными, нехватка квалифицированных специалистов, отвлечение внимания и инвестиций от других важных инициатив и т.д.
Казалось бы, часть рассматриваемых тенденций и нормативных актов является исключительно локальной историей и не распространяются на Россию и страны СНГ. Однако, во-первых, уже в самом содержании акты содержат положения, расширяющие свое действие на нерезидентов, а во-вторых, компании ИТ-сферы зачастую работают вне границ государств. А также, что еще более существенно, законотворчество происходит на рынках крайне привлекательных для преступников, и даже если ваша компания не подпадает под их действие, конкуренция между хакерами и офицерами безопасности приведет к усложнению технологий – т.е. кто не пойдет в ногу, станет легкой добычей злоумышленников.
Следующий важный момент здесь - поведение регулирующих органов. Организации, которые не относятся серьезно к GDPR и у которых происходят инциденты, провоцирующие расследование, получат реальную опасность серьезного штрафа - четыре процента годового оборота или 20 млн. евро.
Существуют эксперты, которые полагают, что контролеры не будут проводить аудит на соответствие GDPR. Компании понесут ответственность только в случае явных нарушений законодательства или по жалобам граждан ЕС. И даже в этом случае регуляторы отнесутся к ним мягко, если компании смогут документально подтвердить свои добросовестные усилия по соблюдению положений.
Однако, руководству компаний, полагающимся на такое мнение, стоит обратить вниманию на современную тенденцию, согласно которой конечные клиенты будут требовать соблюдения положений наравне с контролирующими органами. Крупные корпоративные клиенты сегодня все чаще проверяют, как их поставщики и партнеры защищают их данные. Также набирает обороты интересная гражданская инициатива.
Некоммерческая организация NOYB будет создана в Вене и будет включать технических специалистов и юристов, которые будут заниматься мониторингом нарушений конфиденциальности и обеспечивать соблюдение положений GDPR посредством суда либо через органы защиты персональных данных (DPA).
Несмотря на актуальную природу угроз сетевой безопасности, менее известная, но не менее важная, директива по безопасности сетевых и информационных систем (NIS) не получила такой широкой известности как GDPR. Директива должна стать частью национальных законодательств в мае 2018 и вводит такие же жесткие санкции в отношении компаний за ее несоблюдение. NIS сосредоточена на создании общего уровня кибербезопасности в ЕС. Вводится национальный надзор за безопасностью в критических секторах экономики, таких как энергетика, транспорт, водоснабжение, здравоохранение, финансы и т. д. и за поставщиками цифровых услуг (точки обмена интернет-трафиком, системы доменных имен и т. д.).
Области и способы атак: здравоохранение; уязвимости в процессорах и Wi-Fi; интернет-устройства и сетевые черви.
Проблема в том, что мы еще не знаем, что намерены делать хакеры, которые контролируют бот-сети. Могут быть запущены атаки типа «отказ в обслуживании» (DDoS) или отправлено огромное количество спама, возможно возникнут новые, неожиданные способы злоумышленного поведения.
Производители чаще всего спустя рукава относятся к проблемам безопасности — в IoT-сфере высокая конкуренция, а действительно качественная защита устройств требует больших издержек. Кроме того, очень сложно исправлять обнаруженные уязвимости — обновления на большинство устройств просто технически невозможно установить, поэтому уже сейчас по всему миру огромное количество устройств подвержено опасности заражения.
2. Сетевые черви. Некоторые из крупнейших кибер-инцидентов в 2017 году связаны с проблемой самовоспроизводящихся вредоносных программ, которые распространялись между сетями. Примерами этого были WannaCry и NotPetya. Можно ожидать, что подобное вредоносное ПО продолжит свою работу в 2018 году.
3. Беспроводная связь. Одной из самых тревожных новостей 2017 года было обнаружение фундаментального недостатка в вездесущем протокол безопасности Wi-Fi WPA2, который вряд ли будет устранен на большинстве устройств с поддержкой WiFi. Существует высокая вероятность атаки в 2018 году.
4. Уязвимости Meltdown и Spectre. Уязвимости, недавно найденные в процессорах, - одни из самых критичных за последние годы. Учитывая широкую распространенность таких процессоров, угрозе подвергается огромное количество пользователей. И хакеры еще только работают над тем, как это использовать.
5. Увеличатся атаки на здравоохранение. Наиболее заметной жертвой вспышки вредоносного ПО WannaCry в начале 2017 года стала Национальная служба здравоохранения Великобритании (NHS). Развитие телемедицины и разносторонность хранимых персональных данных и дальше будет привлекать злоумышленников. А внедрение IoT в качестве медицинских устройств, подключенных к сети, усиливает риск дальнейших атак. Пока эта сфера не настолько актуальна для России, однако развитие телемедицины усиливается, и стоит понимать, что злоумышленники уже подготовлены, поэтому внедрение новых технологий должно осуществляться с учетом этого.
Качественно новый уровень атак: государственные хакеры, преступление-как-услуга(CaaS)
2. Преступление-как-услуга (CaaS) расширяет инструменты и услуги. Преступные организации будут продолжать свое постоянное развитие и становиться все более изощренными. Комплексные иерархии, партнерские отношения и сотрудничество будут способствовать их выходу на новые рынки и коммерциализации деятельности на глобальном уровне. Некоторые организации будут иметь корни в существующих криминальных структурах, а другие будут сосредоточены исключительно на киберпреступности. В результате кибер-атаки станут в большей степени непрерывными и разрушительными, чем это было ранее.
Выработка новой стратегии: интеграция безопасности; ставка на эффективность; автоматизация безопасности
2. Переход к реальной эффективности вместо декларирования. Руководство компании зачастую ждет от ИБ немедленных выгод, однако безопасность — это процесс, а не результат. Полностью безопасная организация - это цель, и она требует времени.
Таким образом, ожидания топ-менеджеров превосходят реальные возможности системы. И несоответствие между ними проявятся при возникновении крупного инцидента. Мало того, что организация столкнется с существенной проблемой, ее последствия также отразятся на личной и коллективной репутации всех заинтересованных лиц компании.
В 2018 году все больше организаций осознают, что атаки не избежать, она произойдет не «если», а «когда». Соответственно компании начнут уделять больше внимания результатам, а не успокаиваться, проверив наличие всех необходимых, как им кажется, инструментов. В результате технология обеспечения безопасности должна будет доказать, как она поддерживает бизнес-инициативы.
3. Автоматизация безопасности. По прогнозам Frost & Sullivan, нехватка квалифицированных специалистов в области безопасности может достигнуть 1,5 миллионов к 2020 году. Это приводит к увеличению инвестирования в альтернативные способы обеспечения безопасности. Ожидаются инновационные продукты, осуществляющие мониторинг и тестирование информационной безопасности систем на основе искусственного интеллекта.
Подводя итог, стоит еще раз напомнить о необходимости изменить отношение к информационной безопасности как дополнительной опциональной услуге, включение которой не является обязательным условием успешного бизнеса. Информационная среда растет и структурируется и то, на что можно было ранее не обращать внимание, сейчас не возможно игнорировать. В этом причина введения новых правовых актов и появления новых регуляторов как государственных, так и частных. В этом же и причина усложнения преступного мира как по способам атак, так и по участникам сообществ. Сейчас безопасность – становится частью структуры организаций и их продуктов. И на рынке останутся лишь те компании, которые это осознали.
Источник: