Угрозы кибербезопасности преследуют ИТ-директоров в 2017 году
Утечки данных происходят повсюду, от самых маленьких компаний до гигантских предприятий и даже от президентских выборов. И не только они становятся более частыми, они становятся все более дорогими. Согласно отчету Ponemon Institute, средняя стоимость утечки данных выросла с 3,8 млн долларов в 2015 году до 4 млн долларов в 2016 году. Ожидается, что в этом году эта стоимость снова вырастет. Как ИТ-директор может подготовиться к атакам со всех сторон? Давайте рассмотрим некоторые из наиболее вероятных векторов атаки и то, что можно сделать для выявления угроз.
Приложения с открытым исходным кодом и облачные приложения распространились даже на стартапы. Они имеют справедливую долю преимуществ и рисков. Атака или выход из строя центра обработки данных могут буквально отключить веб-приложения и веб-сайты компании, а кибератаки могут поставить под угрозу ценную финансовую и конфиденциальную информацию из хранилищ компании. В свете скорости технологических преобразований, происходящих на предприятиях, ИТ-директорам приходится выполнять свою работу, пытаясь поддерживать готовность к безопасности и готовность к стихийным бедствиям. Однако все не так просто.
Кибербезопасность: самый большой кошмар ИТ-директора
Какая постоянная проблема мешает успешному внедрению мер противодействия угрозам кибербезопасности? Хотите верьте, хотите нет, но зачастую это недостаток компетенции у многих ИТ-директоров. Исторически сложилось так, что в 1980-е годы роль ИТ-директора сводилась к тому, чтобы заниматься техническими проектами. Со временем это расширилось, но обновление необходимых наборов навыков не всегда поспевает за ним. Более того, проникновение технологий во все виды бизнеса — даже в те, которые считаются нетехническими, — предъявляет дополнительные требования к ИТ-директорам по расширению своего опыта в ранее неизвестных областях, особенно в сфере кибербезопасности.
Это оказалось проблемой с точки зрения безопасности предприятия, поскольку адекватные меры не всегда принимались. Иногда сама компания не может выделить необходимые ресурсы для обучения персонала достижению целей безопасности, не считая это достаточно важным или слишком дорогим. Согласно опросу CompTIA, HR-специалисты только трети американских организаций настаивали на обучении по вопросам кибербезопасности.
Распознавание угроз кибербезопасности и использование новейших и лучших инструментов и технологий, которые помогают предприятиям оставаться в безопасности, — это первый шаг для ИТ-директора современной организации. Вот краткий обзор некоторых растущих угроз кибербезопасности.
Уязвимость Интернета вещей
Стремясь расширить зону покрытия и досягаемость устройств IoT, производители и новаторы отодвинули вопросы безопасности на второй план. Это означает, что киберпреступники все чаще смотрят на IoT как на цель для своих гнусных действий. Подключенные к Интернету конечные точки, такие как камеры, бытовая техника, системы освещения и системы наблюдения, подвержены угрозам распределенных атак типа «отказ в обслуживании» (DDoS). Gartner прогнозирует, что к концу 2020 года 25% выявленных корпоративных атак будут сосредоточены на IoT. Совет для любых организаций, инвестирующих значительные средства в устройства и технологии IoT: сосредоточьтесь на готовности этих устройств к обеспечению безопасности, даже если это не относится к технологической отрасли.
Отношения со сторонними поставщиками, которые идут наперекосяк
Ничто не заставляет организацию чувствовать себя более беспомощной, чем столкновение с катастрофой утечки данных, взлома сети или простоя из-за нарушения безопасности на сайте подключенного поставщика. Правда в том, что каждая организация с зависимостью от ИТ (что означает большинство организаций) использует и развертывает ряд поставщиков и инструментов поставщиков. Контракты с поставщиками и политика управления рисками должны быть ужесточены, чтобы такие события не нарушали рабочий процесс вашей организации. Ознакомление поставщиков с передовыми методами обеспечения технической безопасности и тщательный контроль операций поставщиков являются ключевыми обязанностями ИТ-директоров. Американская сеть ресторанов быстрого питания Wendy's узнала об этом на горьком опыте, когда атака вредоносного ПО на точки продаж повлияла на работу более 1000 франчайзинговых заведений.
Пробел в навыках кибербезопасности
Нехватка квалифицированных специалистов по ИТ-безопасности была реальной проблемой в течение многих лет, но она приобрела огромные масштабы из-за растущей озабоченности по поводу кибербезопасности. В отчете Hacking the Skills Shortage были опрошены 775 лиц, принимающих решения в области ИТ, и 82 процента из них согласились с тем, что на рынке не хватает навыков кибербезопасности. Кроме того, 71 процент заявили, что это привело к измеримому и прямому ущербу предприятию. Эта нехватка стимулирует появление новых должностей, в том числе директора по информационной безопасности как услуга (CISOaaS) — модель по требованию, которая может помочь компаниям, у которых нет ресурсов для штатного директора по информационной безопасности.
Атаки по электронной почте продолжают оставаться угрозой
В прошлом году мы стали свидетелями роста изощренных и эффективных атак Business Email Compromise (BEC) с использованием украденных учетных данных, которые затем использовались для нанесения ущерба на миллионы долларов. В прошлом году такие атаки скомпрометировали ведущие мировые организации здравоохранения, Всемирную антидопинговую ассоциацию и команду НБА. Вероятность успеха BEC-атак может быть незначительной, но в случае успеха они наносят серьезный ущерб. Это подстегнуло и побудило мошенников расширить свои базы и предпринять новые атаки BEC. Для предприятий это требует понимания того, как эти атаки увенчаются успехом, а затем принятия средств и способов обеспечения безопасности.
Опасения по поводу безопасности мобильных устройств
Мобильные устройства распространены повсеместно, даже на корпоративном уровне, что делает их ключевой мишенью для кибератак. Управление мобильными устройствами традиционно не было частью ИТ-бюджета, но ожидается, что это очень скоро изменится. Кроме того, предприятиям необходимо будет рассмотреть возможность инвестирования в проверенных и эффективных поставщиков мобильных средств защиты, которые могут устанавливать мобильные приложения для защиты от угроз на все мобильные устройства, используемые на предприятии. Создание надежных практик управления доступом и привилегиями на мобильных устройствах, а также практики использования собственных устройств станут критически важным аспектом предотвращения мобильных угроз в будущем.
Кибербезопасность стала для многих организаций проблемой номер один. Ставки невообразимо высоки, и это требует самого пристального внимания со стороны лиц, принимающих решения в области ИТ, сотрудников службы безопасности и ИТ-директоров.