Обзор лондонского Gartner Security & Risk Management Summit

1. Гартнер предложил CISO уйти от стратегии «нулевой толерантности к сбоям и инцидентам» и призвал уравнять важность реагирования и восстановления с профилактическими мерами.
   • Строительство системы, устойчивой к сбоям.
   • Минимизация используемых инструментов до наиболее эффективного набора.
   • Развитие устойчивой киберкоманды, способной избегать выгорания, и стимулировать инновации.

     

2. 45% организаций столкнулись с увеличением киберинцидентов, связанных с подрядчиками, но дополнительные инвестиции не приводят к снижению этих рисков. Для повышения устойчивости рекомендуется:
   • Создание четких планов на случай завершения работы с поставщиками.
   • Проведение регулярных киберучений по реагированию на инциденты, включая и штабных.
   • Усиление сотрудничества с третьими сторонами, а не просто контроль.

     

3. Zero Trust заменяет статическую и подразумеваемую модель ИБ на динамическую и четко определенную.
   1. Начинайте с кто, а не где. Заведите каталог активов. Учитывайте уже сделанные сетевые инвестиции
   2. ZT базируется на идентификации и контексте; особенно динамических!

      

4. Gartner прогнозирует, что к 2026 году более 500 миллионов пользователей смартфонов будут использовать цифровые идентификационные кошельки, что подчеркивает быстрое развитие цифровых методов идентификации. Гартнер отмечает, что восстановление учетных записей становится уязвимым местом для атак, и IDV (Identity Verification) может снизить этот риск. Однако нынешние подходы к верификации имеют следующие проблемы:
   • Высокая стоимость и неэффективность для каждой организации, проводящей верификацию самостоятельно.
   • Плохой пользовательский опыт (UX), когда каждый сервис требует повторной верификации.
   • Недостаток механизмов согласия и контроля со стороны пользователей за их данными.

   Гартнер предложил двигаться в сторону переносимых цифровых идентичностей, которые могут сосуществовать с существующими решениями. Это может улучшить безопасность и упростить процессы аутентификации.

   

5. Gartner предлагает, чтобы CISO трансформировались из тактических лидеров в бизнес-экспертов и рассказчиков (сторителлинг наше все). Они подчеркивают важность использования технологий, таких как ИИ, для принятия быстрых и обоснованных решений, но при этом надо учитывать:
   • Конфликт целей и высокую нагрузку на CISO.
   • Этические вопросы, связанные с использованием ИИ для оптимизации процессов.
   • Необходимость создания бизнес-кейсов перед запуском программ по внедрению дополненных технологий.
6. Аналитики Гартнера сделали сенсационное заявление, что не каждый внутренний риск превращается в угрозу, но каждая угроза начинается с риска. А к ссновным причинам внутренних угроз отнесли:
   • 63% — невнимательные пользователи.
   • 23% — злонамеренные пользователи.
   • 14% — компрометация учетных данных.

   Поэтому предлагается автоматизировать меры по предупреждению ошибок пользователей, такие как мгновенные уведомления и обучение политике безопасности.

   

7. Большое внимание было уделено теме ИИ. Гартнер перечисляет ключевые риски, связанные с использованием генеративного ИИ:
   • Потерю данных, генерацию ложной информации (галлюцинации), и вредоносный контент.
   • Рекомендовано применять разделение GenAI-приложений и LLM для минимизации рисков при смене моделей.
   • Упомянута необходимость проводить тесты на проникновение (red-team) для внешних GenAI-приложений, чтобы выявить уязвимости до того, как это сделают злоумышленники.
   • Перед внедрением GenAI важно обеспечить харденинг облаков, данных и приложений, а затем добавить GenAI-специфические меры защиты.

     

8. В Лондоне рассказали о важности защиты инфраструктуры разработки программного обеспечения, которая часто остается незамеченной. Основные моменты:
   • Безопасности цепочки поставок ПО требует учета компонентов, зависимостей и окружения разработки.
   • Для защиты цепочки поставок нужно:
     • Проводить анализ состава ПО на постоянной основе.
     • Обеспечить многофакторную аутентификацию и защиту от утечек конфиденциальных данных.
     • Проверять целостность компонентов в процессе разработки.

       

9. Gartner также дал рекомендации для CISO, как управлять внедрением GenAI:
   • Установить четкие ожидания и цели использования GenAI, включая управление рисками и измерение динамики внедрения ИИ.
   • Разработать правила и политику использования GenAI для прозрачного управления, а также наказания за неправильное использование.
   • Обеспечить прозрачность процессов GenAI, включая отслеживание отправляемых в ИИ данных и сгенерированных на их основе решений.
   • Управлять навыками и ожиданиями команды — GenAI поддерживает сотрудников, но не заменяет их.
   • Измерять успешность внедрения GenAI с помощью показателей эффективности, таких как бизнес-ценность, риски и затраты.

Скажу прямо, не ахти какие прозвучали сенсации и выводы. Все достаточно стандартно и не так чтобы интересно. По крайней мере мне так показалось из того, что рассказал Gartner в паблике. Исключая тему IDV все остальное не ново и уже озвучивалось либо Gartner’ом ранее, либо просто звучит из каждого утюга (например, тема ИИ или погружения в бизнес-контекст).