Зміст:
Відео: Настя и сборник весёлых историй (Листопад 2024)
Загальний Регламент ЄС про захист даних (GDPR) стане єдиним найважливішим фактором безпеки у 2018 році. На відміну від більшості подій у сфері безпеки, цей варіант є цілком передбачуваним. Він працює майже десятиліття, тому він не повинен здивувати тих, хто веде бізнес, який будь-яким чином впливає на Європу.
GDPR вимагає від компаній, які ведуть бізнес у Європі, захищати особисті дані людей, з якими вони працюють, від порушень чи інших видів впливу, а також повідомляти про порушення, коли вони трапляються. Незважаючи на те, що фактичний розмір штрафних санкцій може змінюватись в залежності від ступеня та типу порушення та чи вжила компанія розумні заходи щодо захисту даних, штраф може бути суттєвим.
Насправді більшість вимог GDPR щодо захисту даних полягають у тому, що організації так чи інакше повинні робити для захисту своїх клієнтів. Якби компанії відповідали пару років тому, то великих подій, таких як порушення Equifax, не було б, або втрата даних була б менш суттєвою.
Коли в травні розпочнеться примусове виконання GDPR, можна припустити, що європейські органи влади захочуть зробити приклад якоїсь компанії, яка не захищає особисті дані когось у Європі. Не дивуйтеся, якщо найбільшим прикладом є американська компанія.
Викуп і програм штучного інтелекту
Якщо величезні штрафи в рамках GDPR не є достатнім стимулом, щоб переконати компанії нарешті захистити свої дані від втрат, то нові проблеми з безпекою, які, безумовно, повинні надійти в 2018 році. Оскільки кіберзлочинці відточують свою майстерність, можна очікувати, що викуп програм стане ще більшою загрозою у 2018 році, ніж це було минулого року.
Причина, що загроза з боку викупу зростатиме, полягає в тому, що злочинці, які її використовують, знайдуть способи обійти резервні копії як спосіб відновлення без виплати викупу. Вимагання з викупу також буде важче виявити, оскільки фішинг підводного польоту стає більш досконалим і більш чітко націленим.
Кіберзлочинці зможуть зосередити свою орієнтацію, використовуючи штучний інтелект (AI) та машинне навчання (ML), щоб точно знати, кого напасти на конкретну організацію та що вони повинні зробити, щоб зробити її ефективною. Крім того, вони будуть використовувати ті самі можливості для націлювання на партнерів кінцевої цілі як спосіб подолати попередній захист.
Ці ж методи, поряд із традиційними методами крадіжок довіри, призведуть до серйозних порушень у 2018 році - той, який стане ще більшим та серйознішим, ніж порушення минулого року в Equifax. Яка компанія буде порушена? Зараз важко сказати, але шукайте великого банку з глобальними операціями чи, можливо, основним агрегатором даних. Насправді, ймовірно, що таке порушення вже відбулося, і потерпілий або не усвідомлює цього, або сподівається, що його ніхто не помітить.
Ви також можете очікувати порушення такої цільової цілі, як Зимові Олімпійські ігри, з боку нападників, які фінансуються державою. Хоча це може бути якась інша організація, Олімпіада привертає до себе найбільш глобальну увагу, і є достатньо штатів, які мають занепокоєння, пов’язані з подією, які могли б знайти задоволення від її порушення.
Порушення, спустошення та вимагання
Як би показовим не було порушення проти Олімпіади, реальна шкода в перспективі буде через перебої в щоденній торгівлі організаціями та внаслідок цього втрату доходу. Такі напади, як порушення торгових точок (POS), підробка генерального директора та цифрове вимагання значно зростуть.
Порушення POS, які можуть включати комп’ютери, які використовуються в магазинах або, можливо, в банкоматах або інших термінальних пристроях, часто досягають успіху, оскільки вони використовують комп’ютери, на яких запущені застарілі операційні системи (ОС), такі як Windows XP, які рідко оновлюються. Крім того, вони часто знаходяться там, де вони доступні громадськості.
Але відсутність оновлень буде надалі нападати на організації на всіх рівнях, оскільки ІТ-менеджери продовжують затримувати критичні оновлення безпеки, вважаючи, що вони можуть утримати роботу інших функцій. Багато успішних порушень у 2017 році сталося, коли інструменти, розроблені розвідувальними службами, застосовувались проти підприємств. Ці атаки досягли успіху, хоча вони були проти довготривалої вразливості, оскільки оновлення затримувались, іноді на роки.
Надія на горизонті
На щастя, є надія. Найбільш безпосереднім є те, що паролі почнуть своє зниження як основний засіб аутентифікації для користувачів. Microsoft вже розпочала роботу з інтеграції біометричних даних в процес аутентифікації у формі, яку можна використовувати на підприємстві. Крім того, розпізнавання обличчя, що використовується в телефонах Apple і Samsung, і розпізнавання райдужної оболонки в деяких телефонах Samsung призводять до свободи від паролів або до складу багатофакторної аутентифікації (MFA).
MFA вже є основним, оскільки його вже використовують Apple, Microsoft та Google. Зараз для автентифікації в основному використовуються коди, що надсилаються на мобільний телефон, але розширення біометричних даних вже триває. Організації, які інвестують кошти в МЗС - чи то через біометрику, смарт-карти, коди, що надсилаються на телефони, чи якийсь інший метод - зменшать їхній ризик від програмного розкрадання програмних даних.
Ще одним зниженням ризику, принаймні тимчасово, є тривалий крах криптовалюти. Біткойн вже втрачає прихильність серед злочинців через слабку безпеку в деяких блокчейнових розрахунках і тому, що правоохоронні органи знаходять способи відстеження транзакцій. Хаос у світі криптовалюти ускладнює злочинцям переказ грошей і зменшує привабливість злочинів, які використовують їх, включаючи викупне програмне забезпечення.
Але хороша новина, така, як вона є, не означає, що проблеми безпеки чомусь зменшуються; вони не є. Атаки триватимуть на більш високому рівні, ніж у попередні роки, і зловмисники знайдуть нові способи подолати вашу оборону. Боротьба буде посилюватися. Важливіше, ніж будь-коли, стало важливо зосереджувати свої ресурси на запобіганні та підтримці зусиль безпеки Головного директора з безпеки (CSO) та головного директора з інформаційної безпеки (CISO) у вашій організації.