Στο άρθρο «Η νέα κανονικότητα στην κυβερνοασφάλεια: Εξετάζοντας τις 3 κορυφαίες τάσεις του 2021 (1ο Μέρος)», εξετάσαμε τις τρεις κορυφαίες τάσεις στην κοινότητα του κυβερνοασφάλειας κατά το προηγούμενο έτος. Στο 2ο μέρος, θα ρίξουμε μια ματιά στο μέλλον και θα κάνουμε προβλέψεις για το προς τα που κατευθύνεται το τοπίο της κυβερνοασφάλειας το 2022 και πιο πέρα.
# 1: Νέοι Νόμοι και Κανονισμοί
Στο μέλλον, είναι πολύ πιθανό να θεσπιστεί νέα νομοθεσία και κανονισμοί, καθώς η Αμερικανική κυβέρνηση επικεντρώνεται όλο και περισσότερο στις δραστηριότητες της κυβερνοασφάλειας, συμπεριλαμβανομένης της αυστηρότερης νομοθεσίας περί απορρήτου δεδομένων, των αυξημένων εκτελεστικών ευθυνών, των κανονισμών γύρω από τις πληρωμές λύτρων σε περιπτώσεις επίθεσης με ransomware και τους κανόνες εμπλοκής με κακόβουλους φορείς/ παράγοντες απειλής καθώς και με τις ευθύνες των ασφαλιστικών εταιρειών στον κυβερνοχώρο κ.ά. Ας ρίξουμε μία ματιά σε κάθε ένα από αυτά τα στοιχεία ξεχωριστά.
Έχει ήδη εφαρμοστεί η εκτελεστική εντολή από τον Πρόεδρο των Ηνωμένων Πολιτειών,Joe Biden με στόχο τη βελτίωση της ασφάλειας των δικτύων της Ομοσπονδιακής Κυβέρνησης. Με τους παράγοντες απειλών να δίνουν έμφαση στο να χτυπούν και να «κατεβάζουν» υποδομές ζωτικής σημασίας, το πιθανότερο είναι η κυβέρνηση να εντατικοποιήσει τις προσπάθειές της για να αντιμετωπίσει τις επιθέσεις και να αυστηροποιήσει τις απαιτήσεις όσον αφορά την παραβίαση των προσωπικών δεδομένων. Ειδικότερα για το 2022 και μετά, από ότι φαίνεται θα δοθεί μεγαλύτερη έμφαση στις πτυχές των χρηματοοικονομικών αναφορών, συμπεριλαμβανομένου και τους κόστους της παραβίασης ενός οργανισμού.
Μια άλλη πιθανή εκτίμηση για το μέλλον είναι η αύξηση της ευθύνης. Κοιτάζοντας σε όλες τις εταιρείες πληροφοριών και τι κατέχει η κυβέρνηση των ΗΠΑ, είναι κρίσιμης σημασίας να καθορίσετε τα βήματα που μπορούν να κάνουν οι οργανισμοί για να βοηθήσουν ο ένας τον άλλον – και πως αυτό θα επηρεάσει την ευθύνη. Για παράδειγμα, όταν πρόκειται για την ανταλλαγή πληροφοριών, πώς μπορούν οι επαγγελματίες από τον χώρο της ασφάλειας και η οργανωτική ηγεσία να διασφαλίσει τα συμφέροντα της εταιρείας τους αν μοιράζονται πληροφορίες; Μπορούν οι μέτοχοι και το ατομικό δικαίωμα παροχής έννομης προστασίας να χρησιμοποιήσουν τέτοιες πληροφορίες εναντίον της εταιρείας; Στο προσεχές μέλλον, θα δοθεί σημαντική έμφαση στην αντιμετώπιση της ευθύνης που σχετίζεται με την κοινοχρησία των δεδομένων, οπότε και η κοινότητα της κυβερνοασφαλείας μπορεί να συλλέξει από κοινού πληροφορίες και να βρεθεί μπροστά από την καμπύλη χωρίς να αντιμετωπίσει σημαντικά εμπόδια ευθύνης. Ακούστε περισσότερα σχετικά με αυτό το θέμα από τον Chris Reffkin, Επικεφαλής Ασφάλειας Πληροφοριών της Helpsystems.
Πιθανότατα στο μέλλον επίσης, θα δούμε ακόμα περισσότερα εκτελεστικά στελέχη να στέκονται απέναντι σε ελεγκτικούς μηχανισμούς, ρυθμιστικούς φορείς ή ακόμα και απέναντι από δικαστικούς λειτουργούς επειδή δεν εντόπισαν εγκαίρως τι σημαίνουν αυτά τα σημεία δεδομένων και οι «κόκκινες σημαίες» για τον οργανισμό τους στην περίπτωση μίας παραβίασης δεδομένων. Η κοινωνία γενικότερα θα κρίνει αυστηρότερα τις εταιρείες που δεν έλαβαν τα κατάλληλα μέτρα ή που γνώριζαν για ζητήματα ασφαλείας εντός του οργανισμού χωρίς να κάνουν κάτι για αυτό. Και καθώς οι οργανισμοί αναπτύσσονται, τα εκτελεστικά ή διευθυντικά στελέχη οφείλουν να αναλάβουν αρκετά πιο ενεργό ρόλο στην κυβερνοασφάλεια – και στην περίπτωση που συμβεί κάτι, θα πρέπει να έχουν φροντίσει για την εφαρμογή συγκεκριμένων πολυεπίπεδων στρατηγικών που θα αποτελούν -σχεδόν από μόνες τους- απόδειξη, ότι παρά τις καλές προθέσεις και προσπάθειές τους, δεν κατέστη δυνατόν να αποφευχθεί το συμβάν.
Τέλος, με τα συμβόλαια ασφάλισης στον κυβερνοχώρο να εκτοξεύονται, είναι σημαντικό για τους οργανισμούς να επιδεικνύουν καλή υγιεινή στον κυβερνοχώρο για να διατηρήσουν τις πολιτικές τους σε προσιτά επίπεδα. Αν οι εταιρείες εφαρμόζουν κακές πρακτικές κυβερνοασφαλείας, πιθανότατα δεν θα έχουν μελλοντική κάλυψη ή θα αναγκαστούν να βρεθούν αντιμέτωπες -από πλευράς κόστους- με πολιτικές που δεν μπορούν να αντέξουν οικονομικά. Με τις ασφαλιστικές εταιρείες να αποχωρούν με ανησυχητικούς ρυθμούς από την αγορά, ενδέχεται να δούμε μία στροφή από τις εταιρείες και τους οργανισμούς προς κάποιο μοντέλο αυτασφάλισης αντί να βασίζονται σε τρίτες εταιρείες.
#2: Οξυμένο τοπίο κυβερνοαπειλών
Σήμερα και μέσα στο επόμενο έτος, οι οργανισμοί οφείλουν να δεσμευτούν στα βασικά στοιχεία της κυβερνοασφάλειας για να προστατευτούν από κακούς φορείς και παράγοντες. Και η πρόληψη αποτελεί πράγματι το κλειδί για κάτι τέτοιο. Μόλις λάβει χώρα μια επίθεση, οι οργανισμοί «τρέχουν» να ανταποκριθούν αντιδραστικά (reactively) στην κατάσταση. Οι εταιρείες πρέπει να υιοθετήσουν μια προληπτική προσέγγιση επικεντρώνοντας τις προσπάθειές τους στα βασικά στοιχεία κυβερνοασφαλείας. Με το βλέμμα στο 2022 και μετά, πιθανότατα θα δούμε:
- Αυξημένες επιθέσεις στην εφοδιαστική αλυσίδας
- Αυξημένες επιθέσεις OT/IoT
- Αύξηση του Ransomware-as-a-Service
- Αυξημένη χρήση μοναδικών και προσαρμοσμένων συνόλων εργαλείων κυβερνοασφάλειας
Ας εξετάσουμε σε μεγαλύτερο βάθος δύο από αυτά τα σημεία. Μελλοντικά, το ransomware-as-a-service θα αυξηθεί σε μεγάλο βαθμό. Γιατί; Επειδή η παραβίαση και η απόκτηση ερείσματος εντός του εταιρικού δικτύου εξακολουθεί να αποτελεί βιώσιμη επιλογή για τους κακόβουλους φορείς (π.χ. επιτιθέμενους χάκερ). Με τόσα πολλά κενά και ελαττώματα να βρίσκονται στη στάση ασφαλείας ενός οργανισμού, οι παραβιάσεις είναι συχνό φαινόμενο. Στην πραγματικότητα, το ransomware απλώς αυτοματοποιεί μία σειρά βημάτων που ακολουθούν του exploit. Επομένως, μέχρι να εφαρμοστούν -τουλάχιστον- τα θεμελιώδη στοιχεία κυβερνοασφάλειας, τέτοιες παραβιάσεις θα εξακολουθήσουν να γίνονται, ειδικά σε μικρομεσαίες επιχειρήσεις.
Τέλος, από το 2022 και μετά, ενδέχεται να παρατηρήσουμε την άνοδο φορέων ακόμα πιο εξειδικευμένων απειλών, οι οποίοι προσαρμόζουν τα εργαλεία τους για συγκεκριμένους στόχους. Αν και τέτοιες περιπτώσεις είναι δυσκολότερο να εντοπιστούν, τουλάχιστον αποκτούν μία προσαρμοσμένη υπογραφή. Πιθανό είναι επίσης να γίνουμε μάρτυρες περισσότερων κακόβουλων φορέων που έχουν κάνει μία επικερδή επιχείρηση τις επιθέσεις, τις παραβιάσεις, τις κλοπές δεδομένων ή περιουσιακών στοιχείων κ.ά. Επειδή έχουν εξειδικευμένα toolkits και έχουν αποκτήσει έρεισμα -όπου η παραβίαση μπορεί να κάνει μέρες, εβδομάδες, μήνες ή ακόμα και χρόνια να εντοπιστεί- οι κακόβουλοι φορείς δημιουργούν μία βιώσιμη προσφορά, παρέχοντας παράνομη πρόσβαση ως μέσο για την εισαγωγή πρόσθετου κακόβουλου λογισμικού, ransomware, trojans, backdoors και βεβαίως να αποσπάσουν περισσότερα λύτρα από τον οργανισμό.
#3: Αλλαγές στην αγορά και στην οργανωτική συμπεριφορά
Με όλες τις αλλαγές και τα διαφορετικά εργατικά δυναμικά (π.χ. στο γραφείο ή στο σπίτι), πολλοί οργανισμοί έχουν αρχίσει να ασφυκτιούν από την πίεση. Έχουν πάρα πολλές λύσεις ασφαλείας να παρακολουθούν και αδυνατούν να συμβαδίσουν με τη ζήτηση για ειδοποιήσεις/ συναγερμούς και μετριασμό. Αναγκαστικά στο μέλλον, οι εταιρείες θα επιχειρήσουν να ενοποιήσουν τους προμηθευτές λύσεων κυβερνοασφαλείας τους και θα επιδιώξουν να λάβουν εργαλεία και υπηρεσίες ασφάλειας από μία μόνο πηγή ή από λιγότερες πηγές. Σε μία πρόσφατη μελέτη της IBM διαπιστώθηκε ότι κατά μέσο όρο οι εταιρείες χρησιμοποιούν 45 διαφορετικά εργαλεία κυβερνοασφάλειας στα δίκτυά τους. Με τη τεχνολογική στοίβα κυβερνοασφάλειας να ξεφεύγει από τον έλεγχο, οι οργανισμοί θα προσπαθήσουν να απλοποιήσουν την προσέγγισή τους και να συνεργαστούν με παρόχους ασφάλειας που μπορούν να ενοποιήσουν τον μεγαλύτερο αριθμό υπηρεσιών υπό μία ομπρέλα.
Τέλος, και ίσως καθυστερημένα, η κυβερνοασφάλεια θα κερδίσει επιτέλους μια θέση στην τράπεζα του διοικητικού συμβουλίου. Οι οργανισμοί δεν μπορούν πλέον να κάνουν τα στραβά μάτια σε όσα έχουν συμβεί τα τελευταία χρόνια. Πλέον, υπάρχει μεγαλύτερη αναγνώριση -και χρηματοδότηση- για στρατηγικές και λύσεις κυβερνοασφάλειας. Αυτό σημαίνει ότι πιθανότατα θα αντιμετωπίσουμε μια αξιοσημείωτη μεταστροφή στους οργανωτικούς οδηγούς. Πιο συγκεκριμένα, από την πλευρά των δραστηριοτήτων διαχείρισης κινδύνου, οι εταιρείες θα αλλάξουν τη στάση τους, και από την προστασία των περιουσιακών τους στοιχείων θα επικεντρωθούν στην πρόληψη της ζημιάς. Θα επενδύσουν στην ικανότητα πρόληψης απωλειών, προσλαμβάνοντας υπαλλήλους ασφαλείας και προστασίας δεδομένων και ενισχύοντας τις ομάδες ασφαλείας τους. Τα στελέχη και τα μέλη του διοικητικού συμβουλίου πιθανότατα θα ασχοληθούν περισσότερο με την κυβερνοασφάλεια, καθώς αυτή η ανάγκη άλλωστε πρόκειται μόνο να ενταθεί τα επόμενα χρόνια.
Προσαρμογή σε ένα πιο αβέβαιο μέλλον
Η ευέλικτη διαχείριση κινδύνου θα εξακολουθήσει να διαδραματίζει ακόμη μεγαλύτερο ρόλο καθώς οι οργανισμοί προσαρμόζονται στις μεταβαλλόμενες συνθήκες και τα παγκόσμια γεγονότα. Αν και επί του παρόντος δεν υπάρχει καμία εγγύηση ότι οι προβλέψεις για το 2022 και μετά θα υλοποιηθούν, εντούτοις ένα πράγμα είναι σίγουρο: η κυβερνοασφάλεια είναι πλέον σημαντικότερη από ποτέ. Στην HelpSystems, συνδυάζουμε λύσεις κυβερνοασφάλειας, συμπεριλαμβανομένης της προστασίας υποδομής, της ασφάλειας δεδομένων και της διαχείρισης ταυτότητας και της πρόσβασης, με λύσεις πληροφοριών και αυτοματισμού, συμπεριλαμβανομένων λύσεων threat intelligence, αυτοματισμού πληροφορικής και ασφάλειας και κεντρικής ανάλυσης, για να βοηθήσουμε τις εταιρείες να προστατεύσουν ζωτικής σημασίας δεδομένα και να οικοδομήσουμε πιο ασφαλείς, αυτόνομους οργανισμούς.
Πηγή: HelpSystems