和往年一样,2016年也不乏数据泄露事件。展望2017年,美国国家航空航天局(nasa)表示信息安全论坛(ISF),一个全球性的,独立的信息安全机构,专注于网络安全和信息风险管理,预测企业将面临在2017年四个关键的全球安全威胁。
ISF董事总经理史蒂夫•德宾(Steve Durbin)表示:“2016年当然没有辜负预期。”“我们看到各种各样的裂缝似乎越来越大。我们跌跌撞撞地从一个走到另一个。我们总是在一定程度上预料到它,但从来没有预料到它的全部程度。我认为没有人会预料到我们最近看到的俄罗斯人介入最近的选举。”
该ISF表示,全球四大安全威胁的企业将在2017年面临如下:
- 超负荷的连接和物联网将带来失控的风险。
- 犯罪集团将采取飞跃犯罪作为一种服务。
- 新规将带来合规风险。
- 品牌美誉度和信任将是一个目标。
“信息安全威胁的速度和规模的不断加快,危及诚信,值得信赖的组织的声誉,”德宾说。“2017年,我们将看到增加了复杂的威胁环境与威胁正符合其目标的薄弱点或突变考虑到已经到位的防御威胁。网络空间是充满机会的黑客分子,恐怖分子和犯罪分子的动机土地肆虐,诈骗,窃取信息或取下来的企业和政府。解决的办法是对未知有知情的威胁前景做准备。更好的准备将提供灵活性所有规模的企业抵御突发,高影响力的安全事件“。
由ISF确定的四大威胁并不相互排斥。他们可以结合起来,创造更大的威胁概况。
增压连接和物联网带来的非托管风险
千兆连接是在路上,它将使物联网(IOT)和一类新的,这会利用大数据,GPS位置,天气,个人健康监控设备,工业生产和更多的组合应用。德宾说,因为连接现在是如此的实惠和普遍的,我们是嵌入传感器无处不在,创造了几乎不可能确保嵌入式设备的生态系统。
德宾说,这将提高超出了隐私和数据访问问题:它会呈指数级增长的威胁环境。
“2017年跟我的事情是我把它描述为一个‘眼睛,开放的姿态:’我们需要采取”德宾说。"We're talking about devices that never ever had security designed into them, devices that are out there gathering information. It's relatively simple to hack into some of these things. We've seen some moves, particularly in the U.S., to encourage IoT manufacturers to engineer some level of security into their devices. But cost is an issue, and they're designed to link."
德宾认为,许多企业没有意识到的规模和互联网设备的渗透,没有充分考虑到风险管理和安全部署物联网解决方案。这并不是说组织应该从物联网解决方案,扯远了,但他们确实需要思考的问题,其中用于连接的设备,他们所拥有的数据和记住,理解访问,然后建立安全。
“关键的基础设施是关键的担忧领域之一,”德宾说。“我们关注智能城市、工业控制系统——它们都使用嵌入式物联网设备。我们必须意识到这意味着什么。”
“你永远不会来保护整个环境,但我们不打算摆脱嵌入式设备的,”他补充道。“他们已经在那里。让我们把一些安全,使我们能够应对和包含尽可能多的。我们需要睁眼,关于我们可以管理物联网设备的应用程序的方式现实。”
犯罪集团采取与犯罪作为一种服务的质的飞跃
杜宾说,多年来,犯罪集团一直像创业公司一样运作。但就像其他成功的初创公司一样,它们也在不断成熟,变得越来越复杂。2017年,犯罪集团将进一步发展复杂的层级、伙伴关系和协作,模仿大型私营部门组织。他说,这将促进他们进入新市场的多元化,以及他们的活动在全球范围内的商品化。
“我原本形容他们的创业企业,创业公司,”德宾说。。“我们看到的是什么一个整体成熟是空间他们从车库到与企业基础设施的办公室搬到军事集团他们一直在做的事情就变得非常的好,我们是在不好的:协作,共享,与合作合作伙伴堵塞缺口在他们的服务。”
而对于许多人来说,它是一个服务产品。尽管一些组织的根源在于现行刑法结构,其他组织仅关注网络犯罪,专门从事特定领域从写恶意软件托管服务,测试,钱骡服务等。
“他们感兴趣的任何可以被货币化,”德宾说。“不要紧,无论是知识产权或个人资料。如果有一个市场,他们会走出去,收集信息。”
他补充说,流氓国家利用一些服务和笔记的ISF预计在未来一年内所产生的网络事件会更持久,损害比企业以前经历。
新规带来的合规风险
该ISF认为,数据泄露的数量将在2017年成长,等会而受到损害的记录容量。该数据泄露会成为远为各种规模的组织更加昂贵,德宾说。该费用将来自传统领域如网络清理和客户通知,但也从类似的诉讼涉及到越来越多的合作伙伴的新领域。
此外,公众舆论将向世界各国政府施压,要求它们出台更严格的数据保护立法,而这反过来又会带来无法预见的新成本。改革已经在欧洲出现,欧盟一般数据保护条例(GDP)和已经生效的网络信息安全指令。在欧洲开展业务的组织必须立即掌握他们在收集欧洲个人的哪些数据、这些数据来自哪里、用于什么、存储在哪里、如何存储、谁对此负责以及谁有权访问这些数据。没有这样做的组织,也不能通过设计证明安全,将面临潜在的巨额罚款。
“对于组织在2017年面临的挑战将是2倍,”德宾说。“首先是要及时了解整个你在运行许多,许多司法法规的变化。第二部分是那么你怎么了,如果你有清晰如GDP,你如何确保遵守了吗?”
“它的范围实在太大了,”他补充道。“你需要彻底重新考虑收集和保护信息的方式。如果您是一个经营了相当一段时间的组织,并且持有个人身份信息,那么您需要证明您知道它在生命周期的每个阶段的位置,并且您正在保护它。即使是与第三方合作伙伴,你也需要采取合理的措施。我采访过的任何一个信息委员会都不认为,到2018年5月,每个组织都将遵守规定。但是你需要证明你是认真对待它的。信息丢失的性质将决定他们对你的罚款水平。这些都是巨额罚款。可获得的罚款规模是在一个完全不同的领域,任何人都习惯。”
品牌的美誉度和信任是一个目标
2017年,犯罪分子的目标将不仅仅是个人信息和身份盗窃。敏感的企业信息和关键的基础设施都是重点。您的员工以及他们识别安全威胁并作出正确反应的能力将决定此趋势如何影响您的组织。
“随着攻击者更有组织,攻击更加复杂和威胁更危险,有比以往组织的声誉更大的风险,”德宾说。“此外,品牌美誉度和存在之间的客户,合作伙伴和供应商的信任动态都成为目标,网络罪犯和黑客行动主义者。赌注比以往更高,而且我们不再谈论仅仅是个人信息和身份盗窃。高层次的企业机密和关键基础设施经常受到攻击,而企业需要注意的是已经出现在过去的一年中比较重要的趋势,以及那些我们在来年的预测。”
虽然大多数信息安全专业人员将指向人在一个组织的安全最薄弱的环节,这并不一定如此。人们可以是一个组织最强大的安全控制,德宾说,但是这需要改变你如何看待安全意识和培训。
而不是仅仅让人们意识到自己的信息安全责任,以及他们如何应对应,德宾说,答案是,这将导致职工开展“停下来思考”的行为和习惯嵌入正面信息安全的行为。
德宾说:“2017年,组织必须意识到,人不一定是安全链中最薄弱的一环。”“如果我们能更好地理解人们如何使用科技,人类行为的心理学,它们可以成为最强的联系。”
成功地这样做需要了解不同的角色所面临的员工的各种风险和定制他们的工作流程,以嵌入的安全流程适合自己的角色。
这个故事,“4信息安全的威胁,将主导2017年”最初发表CIO 。