Οι προβλέψεις της Aon για την κυβερνοασφάλεια το 2018
Καθώς οι επιθέσεις στον κυβερνοχώρο απειλούν ολοένα περισσότερο κάθε επιχειρηματική πτυχή και αυξάνονται σε όγκο και σε κλίμακα, οι επιχειρήσεις θα υποχρεωθούν να λάβουν νέα μέτρα για την ολιστική αντιμετώπισή τους. Η τάση αυτή αποτυπώνεται στην έκθεση της Aon σχετικά με τις προβλέψεις για την κυβερνοασφάλεια το 2018, η οποία σκιαγραφεί συγκεκριμένες δράσεις για τις επιχειρήσεις, καθώς και άλλες τάσεις που αναμένονται να εμφανιστούν στον κυβερνοχώρο.
Οι προβλέψεις της Aon για το 2018 σχετικά με την κυβερνοασφάλεια, εξετάζουν τους τρόπους με τους οποίους η αυξανόμενη κλίμακα των επιθέσεων στον κυβερνοχώρο και οι επιπτώσεις τους, σε συνδυασμό με τις επιχειρήσεις που αναγκάζονται να δεχτούν περισσότερη ευθύνη και λογοδοσία για επιθέσεις στον κυβερνοχώρο, θα οδηγήσουν σε σημαντικές αλλαγές στο επιχειρηματικό περιβάλλον. Η έκθεση προβλέπει την επέκταση του ρόλου του υπεύθυνου διαχείρισης κινδύνων (CRO), τη σημασία του ελέγχου πολλαπλής ταυτοποίησης, τον αυξημένο κίνδυνο από τις εσωτερικές απειλές και την επέκταση των προγραμμάτων αναφοράς σφαλμάτων και ευπάθειας λογισμικού έναντι αμοιβής.
Σύμφωνα με την έκθεση:
✻ Καθώς τα διοικητικά συμβούλια και τα στελέχη βιώνουν και παρακολουθούν τον αντίκτυπο των επιθέσεων στον κυβερνοχώρο, συμπεριλαμβανομένων των μειωμένων κερδών, της διακοπής εργασιών και των απαιτήσεων που εμφανίζονται λόγω ευθύνης των μελών ΔΣ & στελεχών επιχείρησης (D&O), οι επιχειρήσεις θα στραφούν στην επιλογή προσαρμοσμένων ασφαλιστικών καλύψεων έναντι των κυβερνοκινδύνων σε εταιρικό επίπεδο, αντί άλλων επιλογών.
Η τάση αυτή θα επεκταθεί, πέρα από τους παραδοσιακούς λήπτες ασφάλισης στον κυβερνοχώρο, όπως τον κλάδο λιανικού εμπορίου, τον χρηματοπιστωτικό κλάδο και τον κλάδο υγειονομικής περίθαλψης, σε άλλους κλάδους που είναι ευάλωτοι στη διακοπή εργασιών λόγω επιθέσεων στον κυβερνοχώρο, όπως η μεταποίηση, οι μεταφορές, οι υποδομές, το πετρέλαιο και το φυσικό αέριο.
✻ Καθώς οι εξελιγμένες επιθέσεις στον κυβερνοχώρο δημιουργούν απτές συνέπειες που επηρεάζουν τις επιχειρηματικές δραστηριότητες σε αυξανόμενη κλίμακα, τα ανώτατα στελέχη θα αντιληφθούν την επιχειρηματική διάσταση των κυβερνοκινδύνων. Το 2018, αναμένεται ότι οι υπεύθυνοι διαχείρισης κινδύνων (CROs) θα έχουν αυξημένο ρόλο και θα συνεργαστούν στενά με τους επικεφαλής ασφάλειας πληροφοριακών συστημάτων (CISOs), προκειμένου να βοηθήσουν τις επιχειρήσεις να κατανοήσουν τις ολιστικές επιπτώσεις των κυβερνοκινδύνων.
✻ Το 2018, οι ρυθμιστικές αρχές σε διεθνές και εθνικό επίπεδο θα εφαρμόσουν αυστηρότερα τους υφιστάμενους κανονισμούς για την ασφάλεια στον κυβερνοχώρο και θα αυξήσουν τις πιέσεις για συμμόρφωση στις επιχειρήσεις, εισάγοντας νέες ρυθμίσεις. Η Ευρωπαϊκή Επιτροπή αναμένεται να υποχρεώσει διεθνείς επιχειρήσεις να λογοδοτήσουν σε περίπτωση παραβίασης του GDPR. Στις Ηνωμένες Πολιτείες, οργανισμοί που συλλέγουν δεδομένα σε μεγάλη κλίμακα (aggregators και μεταπωλητές), θα εξεταστούν λεπτομερώς για τον τρόπο με τον οποίο συλλέγουν, χρησιμοποιούν και προστατεύουν τα δεδομένα. Υπό το βάρος των σημαντικών και ολοένα αυξανόμενων κανονιστικών πιέσεων, οι κλαδικές οργανώσεις θα ασκήσουν πίεση με τη σειρά τους στις ρυθμιστικές αρχές, ζητώντας την ευθυγράμμιση των κανονισμών στον κυβερνοχώρο.
✻ Το 2018, οι παγκόσμιοι οργανισμοί θα πρέπει να εξετάσουν την αυξημένη πολυπλοκότητα του τρόπου με τον οποίο χρησιμοποιούν το διαδίκτυο των πραγμάτων (IoT), αναφορικά με τη διαχείριση κινδύνων προερχόμενων από τους εξωτερικούς τους συνεργάτες. Ωστόσο, η έκθεση προβλέπει ότι αυτό δεν θα συμβεί και ως εκ τούτου, εκτιμάται ότι μια μεγάλη επιχείρηση μπορεί να υποστεί επίθεση που στοχεύει στο διαδίκτυο των πραγμάτων, μέσω ενός μικρού προμηθευτή ή ανάδοχου, χρησιμοποιώντας τον τρόπο αυτό ως μέσο διείσδυσης στο δίκτυό της. Ανάλογα γεγονότα θα αποτελέσουν σημείο αφύπνισης για μεγάλους οργανισμούς, ώστε να επικαιροποιήσουν τις πρακτικές διαχείρισης κινδύνων που σχετίζονται με τους εξωτερικούς τους συνεργάτες. Παράλληλα, θα δώσει την ευκαιρία σε μικρές και μεσαίες επιχειρήσεις να εφαρμόσουν αποτελεσματικότερα μέτρα ασφάλειας, ώστε να αποφύγουν απώλειες στις επιχειρηματικές τους δραστηριότητες.
✻ Καθώς οι κωδικοί πρόσβασης εξακολουθούν να παραβιάζονται και οι επιτιθέμενοι παρακάμπτουν τα μέτρα βιομετρικής ασφάλειας, ο έλεγχος πολλαπλής ταυτοποίησης γίνεται πιο σημαντικός από ποτέ. Οι νέες μέθοδοι πιστοποίησης που εφαρμόζονται, όπως αναγνώριση προσώπου και δακτυλικά αποτυπώματα εξακολουθούν να είναι ευάλωτες και ως εκ τούτου, η έκθεση προβλέπει ότι ένα νέο κύμα επιχειρήσεων θα συμπεριλάβει τον έλεγχο πολλαπλής ταυτοποίησης για την καταπολέμηση της επίθεσης σε κωδικούς πρόσβασης και βιομετρικά στοιχεία. Αυτό θα απαιτήσει από τα άτομα να παρουσιάσουν διάφορα αποδεικτικά στοιχεία σε ένα μέσο επαλήθευσης ταυτότητας.
✻ Οι επιχειρήσεις πέρα από τους κλάδους της τεχνολογίας, της αυτοκινητοβιομηχανίας και των χρηματοπιστωτικών υπηρεσιών, θα εισαγάγουν προγράμματα αναφοράς σφαλμάτων και ευπαθειών λογισμικού έναντι αμοιβής, ως μέρος των γενικότερων τακτικών ασφαλείας τους έναντι κυβερνοαπειλών. Οι επιχειρήσεις με προγράμματα επιβράβευσης, όπως οι αεροπορικές εταιρείες, οι επιχειρήσεις λιανικού εμπορίου και οι επιχειρήσεις φιλοξενίας, θα είναι το επόμενο κύμα που θα υιοθετήσουν ανάλογα προγράμματα, καθώς οι εγκληματίες του κυβερνοχώρου στοχεύουν σε συναλλαγές που χρησιμοποιούν πόντους ως νόμισμα. Καθώς περισσότεροι οργανισμοί υιοθετούν τα προγράμματα, θα χρειαστούν υποστήριξη από εξωτερικούς ειδικούς για να αποφευχθεί η εμφάνιση νέων κινδύνων από ελλιπή διαμορφωμένα προγράμματα
✻ Το κακόβουλο λογισμικό που ζητάει λύτρα (λυτρισμικό) είναι πλέον στο στόχαστρο και τα κρυπτονομίσματα βοηθούν τη βιομηχανία λυτρισμικού να ανθίσει. Το 2018, οι εγκληματίες λυτρισμικού θα εξελίξουν την τακτική τους. Η έκθεση προβλέπει ότι οι εισβολείς που χρησιμοποιούν μορφές κακόβουλου λογισμικού, όπως το λογισμικό που έχει σχεδιαστεί για να προκαλέσει επιθέσεις DDoS ή να εκκινήσει προβολή διαφημίσεων σε χιλιάδες συστήματα, θα προκαλέσουν νέα μεγάλα κρούσματα. Ενώ οι επιτιθέμενοι θα συνεχίσουν να εκτοξεύουν επιθέσεις για να διαταράξουν όσο το δυνατόν περισσότερα συστήματα, η έκθεση προβλέπει αύξηση των επιθέσεων που στοχεύουν σε συγκεκριμένες εταιρείες και απαιτούν πληρωμές σε λύτρα, ανάλογα με την αξία των κρυπτογραφημένων περιουσιακών τους στοιχείων.
✻ Οι εσωτερικές απειλές (κακόβουλες ή λανθασμένες ενέργειες που οφείλονται σε εργαζόμενους ή συνεργάτες) πλήττουν τις επιχειρήσεις καθώς αυτές υποτιμούν την ευπάθεια και την ευθύνη τους, με αποτέλεσμα αρκετές επιθέσεις να πραγματοποιούνται χωρίς να γίνονται αντιληπτές. Το 2017, οι επιχειρήσεις δεν επένδυσαν επαρκώς σε προληπτικές δράσεις μείωσης των κινδύνων που προέρχονται από εσωτερικές απειλές και η εικόνα δεν αναμένεται να αλλάξει το 2018. Σύμφωνα με την έκθεση, η συνεχιζόμενη έλλειψη κατάρτισης στον τομέα της κυβερνοασφάλειας και των τεχνικών ελέγχων, σε συνδυασμό με τη μεταβαλλόμενη δυναμική του σύγχρονου εργατικού δυναμικού, έχουν ως αποτέλεσμα οι επιθέσεις στον κυβερνοχώρο να μην γίνονται επαρκώς αντιληπτές.
Για να κατεβάσετε την πλήρη έκθεση, πατήστε εδώ.