Главные задачи в области информационной безопасности в 2018 году
Отношения между компаниями, государственными органами и злоумышленниками по линии информационной безопасности в 2018 г. обретают новые формы и углубляются. Мы попытались проследить основные тенденции и предлагаем ознакомиться с ними.
В своем анализе мы выделили четыре основных направления, которые станут задачами на 2018 год для области информационной безопасности.
- Какие вопросы возникнут перед компаниями после вступления в силу новых нормативных актов в области информационной безопасности
- Какие будут способы и области осуществления кибер-атаки.
- От кого ожидать усиления угрозы информационной безопасности.
- На какие изменения в стратегии безопасности стоит обратить внимание компаниям в 2018 г.
Регуляторы: имплементация GDPR и NIS; клиенты-как-регуляторы
Итак, 25 мая вступает в силу постановление Европейской комиссии о защите данных (GDPR), устанавливающее требования к компаниям по вопросам защиты данных граждан ЕС, обработке и хранению этой информации. Постановление касается любых организаций, которые собирают или обрабатывают личные данные жителей ЕС, независимо от того, находятся ли эти компании в Европейском Союзе или за его пределами. Это добавляет новый уровень сложности к управлению информационными ресурсами компании. Потребуется решать перечень технологических и финансовых проблем: отсутствие осведомленности, увеличение расходов на управление данными, нехватка квалифицированных специалистов, отвлечение внимания и инвестиций от других важных инициатив и т.д.
Казалось бы, часть рассматриваемых тенденций и нормативных актов является исключительно локальной историей и не распространяются на страны СНГ. Однако, во-первых, уже в самом содержании акты содержат положения, расширяющие свое действие на нерезидентов, а во-вторых, компании ИТ-сферы зачастую работают вне границ государств. А также, что еще более существенно, законотворчество происходит на рынках крайне привлекательных для преступников, и даже если ваша компания не подпадает под их действие, конкуренция между хакерами и офицерами безопасности приведет к усложнению технологий – т.е. кто не пойдет в ногу, станет легкой добычей злоумышленников.
Следующий важный момент здесь - поведение регулирующих органов. Организации, которые не относятся серьезно к GDPR и у которых происходят инциденты, провоцирующие расследование, получат реальную опасность серьезного штрафа - четыре процента годового оборота или 20 млн. евро.
Существуют эксперты, которые полагают, что контролеры не будут проводить аудит на соответствие GDPR. Компании понесут ответственность только в случае явных нарушений законодательства или по жалобам граждан ЕС. И даже в этом случае регуляторы отнесутся к ним мягко, если компании смогут документально подтвердить свои добросовестные усилия по соблюдению положений.
Однако, руководству компаний, полагающимся на такое мнение, стоит обратить вниманию на современную тенденцию, согласно которой конечные клиенты будут требовать соблюдения положений наравне с контролирующими органами. Крупные корпоративные клиенты сегодня все чаще проверяют, как их поставщики и партнеры защищают их данные. Также набирает обороты интересная гражданская инициатива.
Некоммерческая организация NOYB будет создана в Вене и будет включать технических специалистов и юристов, которые будут заниматься мониторингом нарушений конфиденциальности и обеспечивать соблюдение положений GDPR посредством суда либо через органы защиты персональных данных (DPA).
Несмотря на актуальную природу угроз сетевой безопасности, менее известная, но не менее важная, директива по безопасности сетевых и информационных систем (NIS) не получила такой широкой известности как GDPR. Директива должна стать частью национальных законодательств в мае 2018 и вводит такие же жесткие санкции в отношении компаний за ее несоблюдение. NIS сосредоточена на создании общего уровня кибербезопасности в ЕС. Вводится национальный надзор за безопасностью в критических секторах экономики, таких как энергетика, транспорт, водоснабжение, здравоохранение, финансы и т. д. и за поставщиками цифровых услуг (точки обмена интернет-трафиком, системы доменных имен и т. д.).
Области и способы атак: здравоохранение; уязвимости в процессорах и Wi-Fi; интернет-устройства и сетевые черви.
1. Усиление атак с помощью взломанных устройств интернета вещей (IoT). Миллионы подключенных устройств практически не защищены от хакеров. На самом деле, злоумышленникам с каждым годом становится даже легче получить доступ к множеству интернет-устройств. Все, что им нужно сделать, это купить комплект ботнета. По оценкам, три лучших набора ботнета - Andromeda, Gamarue и Wauchos нападают на более миллиона устройств в месяц.
Проблема в том, что мы еще не знаем, что намерены делать хакеры, которые контролируют бот-сети. Могут быть запущены атаки типа «отказ в обслуживании» (DDoS) или отправлено огромное количество спама, возможно возникнут новые, неожиданные способы злоумышленного поведения.
Производители чаще всего спустя рукава относятся к проблемам безопасности — в IoT-сфере высокая конкуренция, а действительно качественная защита устройств требует больших издержек. Кроме того, очень сложно исправлять обнаруженные уязвимости — обновления на большинство устройств просто технически невозможно установить, поэтому уже сейчас по всему миру огромное количество устройств подвержено опасности заражения.
2. Сетевые черви. Некоторые из крупнейших кибер-инцидентов в 2017 году связаны с проблемой самовоспроизводящихся вредоносных программ, которые распространялись между сетями. Примерами этого были WannaCry и NotPetya. Можно ожидать, что подобное вредоносное ПО продолжит свою работу в 2018 году.
3. Беспроводная связь. Одной из самых тревожных новостей 2017 года было обнаружение фундаментального недостатка в вездесущем протокол безопасности Wi-Fi WPA2, который вряд ли будет устранен на большинстве устройств с поддержкой WiFi. Существует высокая вероятность атаки в 2018 году.
4. Уязвимости Meltdown и Spectre. Уязвимости, недавно найденные в процессорах, - одни из самых критичных за последние годы. Учитывая широкую распространенность таких процессоров, угрозе подвергается огромное количество пользователей. И хакеры еще только работают над тем, как это использовать.
5. Увеличатся атаки на здравоохранение. Наиболее заметной жертвой вспышки вредоносного ПО WannaCry в начале 2017 года стала Национальная служба здравоохранения Великобритании (NHS). Развитие телемедицины и разносторонность хранимых персональных данных и дальше будет привлекать злоумышленников. А внедрение IoT в качестве медицинских устройств, подключенных к сети, усиливает риск дальнейших атак. Пока эта сфера не настолько актуальна для стран СНГ, однако развитие телемедицины усиливается, и стоит понимать, что злоумышленники уже подготовлены, поэтому внедрение новых технологий должно осуществляться с учетом этого.
Качественно новый уровень атак: государственные хакеры, преступление-как-услуга(CaaS)
1. Увеличится количество атак, спонсируемых государствами. Все больше происходит кибер-атак, в которые вовлечены государства. Большинство правительств не признается в этом, однако есть веские основания полагать, что у многих стран есть целые спецподразделения, осуществляющие подобную деятельность, для которой также нанимаются профессиональные хакеры. Последствия для государств, по крайней мере те, о которых мы знаем, были минимальными. Исходя из этого, они продолжат свои попытки вымогать, красть, шпионить и разрушать, проникая в информационные системы. Что может привести к широкомасштабным сбоям или потере персональных данных.
2. Преступление-как-услуга (CaaS) расширяет инструменты и услуги. Преступные организации будут продолжать свое постоянное развитие и становиться все более изощренными. Комплексные иерархии, партнерские отношения и сотрудничество будут способствовать их выходу на новые рынки и коммерциализации деятельности на глобальном уровне. Некоторые организации будут иметь корни в существующих криминальных структурах, а другие будут сосредоточены исключительно на киберпреступности. В результате кибер-атаки станут в большей степени непрерывными и разрушительными, чем это было ранее.
Выработка новой стратегии: интеграция безопасности; ставка на эффективность; автоматизация безопасности
1. Программы, изначально разработанные с учетом угрозы, начнут улучшать безопасность автоматизированных систем управления (АСУ). Напомним, что АСУ применяется для управления различными процессами в рамках технологического процесса в различных отраслях промышленности, энергетике, транспорте и т. п. Т.е. в областях, критических для человеческой жизнедеятельности. Недостатки в обеспечении безопасности приводят к инцидентам, подобным кибератаке на украинскую энергосистему в 2015 г. Чуть более года спустя произошла вторая и менее известная атака с использованием полностью автоматизированного вредоносного ПО, способного нанести более масштабный ущерб за меньшее время. Подобные вещи приводят к повышенному осознанию проблем безопасности. Все больше разработчиков автоматизированных систем управления создают программное обеспечение, изначально учитывающее вредоносные способы воздействия. Еще многое предстоит сделать, чтобы это вошло в норму, но законодатели всего мира все более ужесточают правила и наказывают за слабые стороны в системе безопасности.
2. Переход к реальной эффективности вместо декларирования. Руководство компании зачастую ждет от ИБ немедленных выгод, однако безопасность — это процесс, а не результат. Полностью безопасная организация - это цель, и она требует времени.
Таким образом, ожидания топ-менеджеров превосходят реальные возможности системы. И несоответствие между ними проявятся при возникновении крупного инцидента. Мало того, что организация столкнется с существенной проблемой, ее последствия также отразятся на личной и коллективной репутации всех заинтересованных лиц компании.
В 2018 году все больше организаций осознают, что атаки не избежать, она произойдет не «если», а «когда». Соответственно компании начнут уделять больше внимания результатам, а не успокаиваться, проверив наличие всех необходимых, как им кажется, инструментов. В результате технология обеспечения безопасности должна будет доказать, как она поддерживает бизнес-инициативы.
3. Автоматизация безопасности. По прогнозам Frost & Sullivan, нехватка квалифицированных специалистов в области безопасности может достигнуть 1,5 миллионов к 2020 году. Это приводит к увеличению инвестирования в альтернативные способы обеспечения безопасности. Ожидаются инновационные продукты, осуществляющие мониторинг и тестирование информационной безопасности систем на основе искусственного интеллекта.
Подводя итог, стоит еще раз напомнить о необходимости изменить отношение к информационной безопасности как дополнительной опциональной услуге, включение которой не является обязательным условием успешного бизнеса. Информационная среда растет и структурируется и то, на что можно было ранее не обращать внимание, сейчас не возможно игнорировать. В этом причина введения новых правовых актов и появления новых регуляторов как государственных, так и частных. В этом же и причина усложнения преступного мира как по способам атак, так и по участникам сообществ. Сейчас безопасность – становится частью структуры организаций и их продуктов. И на рынке останутся лишь те компании, которые это осознали.