Firmy provedou strukturální změny proti kybernetickým rizikům

Vzhledem k tomu, že se kybernetické útoky stávají rostoucí hrozbou, která ovlivňuje všechny aspekty podnikání a roste co do objemu a intenzity, budou společnosti nuceny přijmout nová opatření, která jim umožní řídit kybernetická rizika z holistického hlediska a agresivněji je integrovat do svých rizik. zásady řízení, podle specialistů Aon Cyber ​​​​Solutions ve zprávě „Předpovědi kybernetické bezpečnosti pro rok 2018“. Zpráva poukazuje na konkrétní kroky, které Aon věří, že společnosti podniknou v roce 2018, aby se vypořádaly s kybernetickými hrozbami, stejně jako další trendy, které očekává v novém roce.

Firmy budou nuceny přijmout nová opatření, která jim umožní řídit kybernetická rizika z holistického hlediska

„V roce 2017 způsobili kyberzločinci spoušť různými prostředky, od phishingových útoků ovlivňujících politické kampaně až po kryptočervy pronikající do operačních systémů v masovém měřítku. S růstem IoT (Internet of Things) jsme také byli svědky šíření různých útoků denial-of-service (DDoS) na zařízení IoT, což ochromilo jejich funkčnost,“ řekl Jason J. Hogg, CEO, Aon Cyber ​​​​Solutions. . „V roce 2018 očekáváme zvýšenou kybernetickou expozici kvůli konvergenci tří trendů: za prvé, rostoucí závislost podniků na technologiích; za druhé, větší koncentrace regulačních orgánů na ochranu údajů spotřebitelů; a za třetí, rostoucí hodnota nehmotného majetku. Větší expozice bude vyžadovat integrovaný přístup kybernetické bezpečnosti k obchodní kultuře i rámcům řízení rizik. Lídři musí přijmout koordinovaný přístup k řízení kybernetických rizik založený na C-Suite, který jim umožní lépe vyhodnocovat a zmírňovat rizika napříč obchodními funkcemi.“

Prognózy na rok 2018 analyzují, jak rostoucí rozsah a dopad kybernetických útoků spolu se skutečností, že společnosti za ně musí přijmout větší odpovědnost, vygenerují významné změny v podnikovém prostředí. Zpráva předpovídá rozšiřující se roli Chief Risk Officer (CRO), důležitost implementace vícefaktorové autentizace, nárůst vnitřních hrozeb a rozšíření programů odměňování chyb do nových sektorů.

Zpráva zdůrazňuje 8 hlavních předpovědí pro prevenci kybernetického rizika:

1. Uzavření kybernetických politik bude narůstat s tím, jak si manažeři uvědomí kybernetickou odpovědnost svých společností. Zatímco členové představenstva a manažeři jsou svědky a zkušenostmi s dopady kybernetických útoků, včetně ztráty příjmů, provozních výpadků a nároků vůči nim, společnosti se budou stále více obracet na zakázková řešení kybernetického pojištění, než aby se spoléhaly pouze na klauzule. To se rozšíří nad rámec tradičních kupujících kybernetického pojištění ze sektorů, jako je maloobchod, finance a zdravotnictví, i do dalších, které jsou rovněž náchylné k narušení podnikání v důsledku kybernetických útoků, jako je výroba, doprava, veřejné služby, ropa nebo plyn.
2. Chief Risk Officers (CRO) se postaví tak, aby řídili kybernetická rizika jako obchodní riziko. Vzhledem k tomu, že sofistikované kybernetické útoky generují skutečné důsledky, které ovlivňují obchodní operace ve stále větším měřítku, členové C-suite si budou stále více uvědomovat obchodní rizika. Očekává se, že v roce 2018 budou CRO zasedat ve výboru pro kybernetickou bezpečnost a budou úzce spolupracovat s CISO (Chief Information Security Officers), aby pomohli organizacím pochopit holistický dopad kybernetického rizika na podnikání.
3. Legislativa bude stále přísnější (GDPR, NIS, SPD…). V roce 2018 budou regulátoři na mezinárodní, národní a místní úrovni přísněji prosazovat stávající předpisy v oblasti kybernetické bezpečnosti a zavedením nových zvýší tlak na dodržování předpisů na společnosti. Očekává se, že Evropská komise ponese hlavní americké a světové společnosti k odpovědnosti za porušení GDPR. Na druhé straně Atlantiku budou velké datové organizace pod drobnohledem, jak shromažďují, používají a zajišťují data. Pod tíhou stále se zvyšujících regulačních tlaků budou průmyslové organizace vyvíjet tlak na regulační orgány a vyzývat k jejich sladění.
4. Malé a střední podniky, které poskytují služby velkým korporacím, budou v hledáčku kyberzločinců. V roce 2018 budou muset globální organizace zvážit rostoucí složitost, pokud jde o to, jak společnosti využívají IoT ve vztahu k řízení rizik třetích stran. Zpráva však předpovídá, že se to nestane, a v důsledku toho se očekává, že některé velké společnosti budou napadeny malým poskytovatelem nebo dodavatelem IoT a použijí to jako způsob, jak se proniknout do své sítě. To bude znamenat, že velké korporace budou náročnější v odpovědnosti vyžadované od svých dodavatelů.
5. Hesla i fyzické biometrické údaje jsou zranitelné, což pomůže podpořit vícefaktorovou autentizaci. Zpráva předpokládá, že stále více společností bude používat vícefaktorovou autentizaci k boji proti prolamování hesel a útokům na biometrický faktor. To bude vyžadovat, aby lidé předkládali autentizačnímu systému různé důkazy. Vzhledem k této potřebě a poptávce spotřebitelů nepoužívat rušivé bezpečnostní vrstvy se očekává implementace behaviorálních biometrických faktorů.
6. Zločinci se zaměří na transakce, které používají body jako měnu, což podnítí široké přijetí programů odměn za chyby. Společnosti z jiných sektorů než jsou technologie, veřejná správa, automobilový průmysl a finanční služby zavedou do svých bezpečnostních programů platformy bug bounty, včetně společností s věrnostními programy, dárky a odměnami, jako jsou letecké společnosti, maloobchodníci a poskytovatelé pohostinství, protože zločinci se zaměřují na transakce využívající body jako měna. Čím více organizací přijme programy, budou potřebovat podporu externích odborníků, aby zabránily zavádění nových rizik v důsledku nesprávně nakonfigurovaných programů.
7. Kryptoměny budou nadále pohánět ransomwarový průmysl. V roce 2018 vyvinou zločinci ransomwaru nové taktiky kybernetického vydírání. Zprávy předpovídají, že útočníci používající formy neškodného malwaru, jako je software navržený tak, aby způsoboval DDoS útoky nebo zveřejňoval reklamy na tisících systémů, zahájí velké ransomwarové útoky. Přestože útočníci budou pokračovat ve spouštění rozptýlených útoků, aby narušili co nejvíce systémů, zpráva předpokládá nárůst útoků zaměřených na konkrétní společnosti a požadujících platby za ransomware úměrné hodnotě šifrovaných aktiv. Kryptoměny budou i nadále obecně podporovat rozvíjející se průmysl ransomwaru, přestože úřady pokročily ve svých možnostech sledování prostřednictvím bitcoinových peněženek atd.
8. Vnitřní rizika budou i nadále problémem pro organizace, které podceňují svou velkou zranitelnost a odpovědnost, protože nejdůležitější potenciální útoky zůstávají neodhaleny. V roce 2017 společnosti nedostatečně investovaly do proaktivních strategií zmírňování rizika zasvěcených osob a rok 2018 nebude jiný. Podle zprávy nebude rozsah kybernetických útoků a incidentů způsobených zasvěcenými osobami plně zveřejněn kvůli přetrvávajícímu nedostatku školení v oblasti bezpečnosti a technických kontrol spolu s měnící se dynamikou dnešní pracovní síly. Mnoho společností bude i nadále reagovat na incidenty za zavřenými dveřmi, aniž by si byly vědomy skutečných nákladů a dopadu vnitřního rizika na organizaci.