10 главных угроз информационной безопасности в течение следующих двух лет

23.04.2014 | 23:04 Аналитика

Каждый год, некоммерческая ассоциация Internet Security Forum, которая исследует и анализирует вопросы безопасности и управления рисками, выпускает доклад «Threat Horizon», отражающий перспективны крупнейших угроз безопасности на следующие два года. Вот 10 самых главных угроз до 2016 года.

Ландшафт угроз информационной безопасности постоянно меняется. Чтобы помочь вам ориентироваться на местности, каждый год Internet Security Forum (ISF) — некоммерческая ассоциация, которая оценивает вопросы безопасности и управления рисками, выпускает отчет, чтобы обеспечить своих членов перспективным взглядом на самые серьезные угрозы безопасности двухлетнего горизонта. Далее перечислены 10 самых больших угроз на горизонте до 2016 года, с которыми ваша организация может столкнуться. Комментарии Стива Дурбина, глобального вице-президента ISF.

Правительственный шпионаж становится мэйнстримом

До недавнего времени, правительственная шпионская деятельность была, в основном, скрытой. Однако серия разоблачений в прошлом году заставила раскрыться деталям многих из этих мероприятий. Это, скорее всего, стимулирует другие государства для входа в игру, говорит Стив Дурбин, глобальный вице-президент Internet Security Forum.

«Государственный кибершпионаж уже не ограничивается Китаем и Северной Кореей, сейчас этим занимаются демократические государства», говорит Дурбин. «Я думаю, что это шок для многих людей, и существенно меняет ландшафт».

ISF рекомендует организациям реагировать, участвуя в форумах по угрозам разведывательной деятельности и строить отношений внутри и между отраслями промышленности. Кроме того, обеспечить надлежащее знание информационной безопасности и осведомленность внутри организаций.

Разделённый Интернет усложняет Бизнес

Для осуществления контроля над свободной природой Интернета, государства начали использовать фильтрацию для предотвращения доступа граждан к нежелательному контенту. Они начали исследовать использование суверенных сетей, чтобы изолировать общение с иностранными шпионами — по сути локальный подход к Интернету, с помощью которого правительства надеются создать «геополитические границы в Интернете», говорит Дурбин.

«Будет интересно посмотреть, чем закончится риторика вокруг локального или закрытого интернета», говорит Дурбин. «Раздробленные части интернета не работают, насколько я могу судить».

ISF рекомендует координацию и поддержание партнерских отношений для обмена между различными промышленными секторами и поддержки кибер-устойчивости информации, а также привлечения внешних многосторонних процессов управления обмена информацией.

Непреднамеренные последствия государственного вмешательства

Поскольку власти пытаются контролировать свой угол Интернета, многие организации могут пострадать от побочного эффекта — как было с ударами по репутации многих сервис-провайдеров, пострадавших из-за шпионских программ АНБ, которые стали достоянием общественности.

Дурбин указывает на закрытие департаментом юстиции США файлообменного сайта Megaupload в 2012 году за незаконную деятельность, включая нарушение авторских прав. Но это действие также заблокировало более 11 миллионов законных файлов.

ISF рекомендует повышение сопротивляемости и реализацию пропорциональных мер безопасности против этой угрозы. Она также предполагает, подготовить сообщения для клиентов. Например, Google недавно выпустила видео, показывающее как она стремится защитить конфиденциальность и безопасность пользователей, когда ей предъявляются ордера на обыск.

Сервис-провайдеры становятся ключевой уязвимостью

Сервис-провайдеры становятся ключевой уязвимостью в цепочке поставок организаций, которой косвенно могут воспользоваться киберпреступники.

«Сегодня мы обмениваемся данными со сторонними поставщиками и нашей цепочке поставок», говорит Дурбин. «Мы должны понимать и контролировать целостность цепи поставок и как цепочка поставок собирает данные от нашего имени. Представьте себе, если кто-то получит и изменит некоторые из этих данных. Существует рынок для возможности замедлить развитие вашего конкурента или получить информацию, прежде чем её получат конкуренты, чтобы выйти на рынок первыми».

ISF рекомендует поддерживать тесные рабочие отношения с провайдерами услуг с целью партнёрства и чёткого понимания юрисдикции, регулирующей информацию организации.

Большие Данные = Большие проблемы

Аналитика данных может быть огромным благом для вашей организации, если правильно её использовать, но основание стратегических решений на ошибочных или неполных наборах данных может привести к катастрофе, говорит Дурбин.

«Задача с организационной точки зрения заключается в том, чтобы понять, откуда именно получается информация, которую вы используете», говорит Дурбин. «Вы должны убедиться, что у вас есть адекватные наборы навыков, чтобы проверить результаты заключения с использованием нескольких типов данных».

В дополнение к уверенности, что ваша организация имеет наборы навыков, необходимых для анализа больших данных, ISF также рекомендует структурировать процесс анализа больших данных с проблемой информационной безопасности.

Мобильные приложения становятся основным путем компромиссов

Мобильность продолжает оставаться одной из самых разрушительных тенденций, влияющих на технический пейзаж сегодня. Но быстрый цикл разработки и отсутствие соображений безопасности вокруг мобильных приложений сделал их главной мишенью для киберпреступников и хакеров, ищущих путь проникновения в компании.

«Всё больше сервисов компаний будет работать на смартфонах или мобильных устройствах», говорит Дурбин. «Мы знаем, что они не являются самыми безопасными устройствами. Это облегчает киберпреступникам получение доступа внутрь предприятия. Мы увидим больше компромиссных решений в этом направлении».

ISF рекомендует подстраивать пользовательские устройства под существующие стандарты управления доступом, и содействовать развитию образования и осведомленности о рисках BYOx (Bring Your Own Anything — принеси всё, что угодно) инновационными способами.

Проблемы с шифрованием

Шифрование стало подходом по умолчанию для обеспечения интернет-взаимодействия. Но растущая доступность огромного количества вычислительной мощности, в сочетании с бэкдорами в программном обеспечении, означает, что вы больше не можете чувствовать себя в безопасности только из-за наличия шифрования. Не существует такого понятия, как полная безопасность, говорит Дурбин. Шифрование должно быть составной частью плана по обеспечению безопасности, но не только оно.

«Шифрование не является панацеей. Нужно изучить шифрование, которое вы развертываете и определить какие другие формы защиты требуется ввести в действие», говорит Дурбин.

ISF рекомендует классификацию информации, чтобы выявить чувствительные активы и текущие криптографические решения, которые вы развернули, чтобы определить стратегию развития.

Руководители осознают необходимость безопасности

В течение многих лет, специалисты CISO и другие профессионалы в области безопасности звучали одинокими голосами. Но все меняется. Генеральные директора и другие руководители высшего звена теперь понимают потребность в безопасности.

«Вы должны поблагодарить Target за помощь в распространении информации», говорит Дурбин. «В течение следующих 6 — 18 месяцев, мы ожидаем, что советы директоров компаний получат данные сообщения. Теперь IT-специалисты могут делать то, что нужно было сделать для обеспечения безопасности организации. Я думаю, руководителям придётся постараться, чтобы идти в ногу со временем».

ISF рекомендует строить надёжные системы путем установки функции безопасности как центра передового опыта, и совмещать функции безопасности с управлением рисками.

Пробелы в навыках становятся пропастью

Поскольку организации ищут профессионалов в области безопасности на ключевые позиции, люди с нужными навыками будут становиться всё более дефицитным, говорит Дурбин.

«Проблема в том, что мы видим созревание групп информационной безопасности и в то же время возможность быть подвергнутыми более изощрённым кибератакам», говорит Дурбин. «Организации придется найти и удержать людей с нужными навыками и мотивировать их выполнять обязанности. Нужно быть не сотрудником, который в первую очередь сосредоточен на брандмауэрах, а специалистом, который знает, как применить навыки безопасности на корпоративной основе».

ISF рекомендует продвигать программы обучения, использовать внешние возможности коучинга и продвижения персонала изнутри. Кроме того, он рекомендует поддерживать внешние инициативы по развитию новых талантов.

Информационная безопасность не срабатывает для нового поколения

Новое поколение, выросшее в эпоху цифровых технологий имеет другой взгляд на безопасность и конфиденциальность, чем предшествующие.

«У нас есть люди, которые не знают другого способа работы, кроме сотрудничества в электронном виде», говорит Дурбин. «Они предлагают инновационные способы работы, которые они создали благодаря школьным системам обучения. Некоторые из их подходов к информационной безопасности и конфиденциальности не в ладах с существующими процессами, работающими во многих организациях. Нереально рассказать людям, которые научились, что они должны сотрудничать в киберпространстве, что: «Нет, вы не можете делать так». Как мы адаптируемся к новым поколениям?»

ISF рекомендует пытается понять подход новых поколений к работе, общение и конфиденциальность, а затем адаптировать политики и процедуры по взаимодействию с этими поколениями.