- 采取步骤验证和维护关键数据库的完整性。
- 泄露信息的完整性成为企业风险评估的一体化的方案;涉及整个组织的规业务影响适当的利益相关者。
- 与同行协作,共享有关攻击信息完整性的情报。
- 在公布任何提供事实证据以反驳虚假申索的资料前,应谘询法律专业人士。
- 监控访问和使用像联合身份和访问管理(FIAM)系统和内容管理系统(CMS)工具的敏感信息进行更改。
颠覆blockchains破碎的信任
许多组织正在探索区块链技术,因为它承诺确保事务的完整性,而不需要位于交换中心的受信任的第三方。
在一篇文章哈佛商业评论去年,唐·塔普斯科特和儿子Alex塔普斯科特的作者区块链革命:比特币背后的技术如何改变货币、商业和世界,认为,“我们的为期两年的研究项目,涉及数百个blockchain专家的采访,提供了强有力的证据表明,blockchain可能在或许更深刻的方式改变商业,政府和社会。”
该Tapscotts表明全球顶级银行的65%将在2019年有大规模blockchain实施到位。
但德宾指出,像任何技术一样,区块链也很容易妥协。潜在的漏洞包括弱加密、哈希和密钥管理;写得很糟糕的代码;不正确的权限;以及不完善的业务规则。ISF说,如果区块链遭到破坏,客户、高级管理人员和用户对受影响流程的信任将被破坏,需要付出巨大的努力来重建。
一个妥协blockchain可能会导致未经授权的交易或数据泄露,资金,欺诈挪用,甚至验证欺诈交易。
为了避免这种命运,德宾说,必须注意将信息安全纳入基于区块链的应用程序的设计、构建、实现和操作阶段。业务经理、开发人员和信息安全专业人员之间需要密切合作。
ISF建议你做以下事情:
- 指定一个赞助者或指导委员会广泛咨询并决定在整个组织中采用和使用区块链。
- 培训员工如何安全使用区块链,并发现可疑活动。
- 使用区块链评估外部各方的安全控制(例如,审计其安全控制的力度,如加密密钥管理和访问控制措施)。
- 参与行业论坛和专家,为制定安全实施的良好实践指南和标准做出贡献。
- 咨询法律,了解使用区块链的合同含义。
- 要求在基于区块链的应用程序的设计、实现和操作过程中纳入信息安全要求。
- 考虑分散的区块链系统对现有治理和变更管理过程的影响
主题3:当恶化的控制是通过法规和技术蚕食
在接下来的两年中,ISF认为,智能技术和提高国家安全和个人隐私造成的相互矛盾的要求迅速进步会侵蚀组织的控制自己的信息的能力。
德宾说,旨在改善国家安全的新监视法将要求通信提供商大量收集可能泄露公司机密的数据。组织将无法定义这些数据存储库周围的安全安排,并且它们可能成为有知识和能力提取和利用存储在其中的数据的攻击者的有吸引力的目标。
与此同时,德宾说,新的数据隐私条例,如欧盟的《一般数据保护条例》(GDPR),将使受其约束的组织更难监测内部人士的行为。GDPR要求组织在使用工具监控用户行为时保持透明,德宾说这将给恶意的内部人士提供绕过这些控制所需的信息。
与此同时,技术创新将继续超越监管。德宾表示,自动化系统中日益成熟的人工智能将开始做出独立决策,这些决策将与已定义的业务规则相抵触,扰乱运营,并产生新的安全漏洞。
虽然许多这些因素将是您的组织的直接控制的了,德宾说,业务和安全领导人可以通过考虑风险评估,与通信服务提供商开放和诚实的谈判,这些威胁做好准备,采取法律顾问,了解新规的影响并建立员工准备采用先进的技术。
监视法揭露公司机密
一些政府已经开始制定监控法规,要求通信提供商收集和存储与电子和语音通信相关的数据。ISF预计这一趋势将在未来两年内继续下去。
这类立法的目的可能是查明和监测恐怖主义分子和其他这类团体,但收集数据必然会收集更多的信息,包括来自各组织的敏感数据。
该票据ISF的攻击者会很快认识到这个值数据,知道它在哪里以及如何获得它,并有分析能力,解释和利用它。这些信息可以揭示之类的东西正在开发的兼并和收购,知识产权和新产品的详细信息,在管道的计划。
ISF认为,五个因素结合在一起,就构成了一个问题:从通信提供商窃取的数据何时会泄露机密,而不是是否会泄露:
- 任何组织都无法避免收集其数据;这将是一项法律要求。
- 数据可能由多个外部方存储在多个位置——每个外部方应用不同的安全级别。
- 量的不断增加和全球各地的数据泄露事件的影响,表明该数据将不会得到充分的保护。
- 寻求利用数据的攻击者可能比负责保护数据的人有更好的资金和更大的动机。
- 分析这些数据的潜在价值将使其成为资源充足、技能高超和意志坚定的攻击者的明显目标,这些攻击者包括有组织犯罪集团、竞争对手、恐怖组织和民族国家。
为了保护您的组织,ISF建议您采取以下行动:
- 对通信服务提供商必须依法保存,在您操作的每管辖权的元数据获取建议。
- 跨组织协作并进行风险评估,以了解通信提供者丢失元数据的影响。
- 与通信提供商搞同意责任和元数据的安全存储设定的最低要求。
- 确定通信供应商是否会、如何以及何时通知您发生了违约,并共同努力将影响降到最低。
隐私法规阻碍了内部威胁的监测
根据McAfee在2015年发布了一项研究用户,管理人员,IT专业人士和承建商:在这一年的数据泄露的43%是由内部人士造成的。它应该是毫不奇怪,这标志异常的用户行为,已经变得越来越受欢迎,用户行为分析(UBA)工具,:市场和市场研究公司2016年的一份报告预计到2021年,UBA工具的销售额将从2016年的1.317亿美元增长近600%,达到9.083亿美元。
但ISF表示,韩国《个人信息保护法》(PIPA)、香港《个人数据(隐私)条例》(Personal Data (privacy)条例)和新加坡《个人数据保护法》(Personal Data Protection Act)等新的隐私法规,有可能限制此类工具的使用。他们规定,雇主对此类工具的使用必须受到控制,并对用户透明。例如,在GDPR下,除非员工被告知支撑流程的逻辑,否则禁止所有对员工的分析。尽管德宾指出,透明度和创造一种信任的文化是好的,但这些规定将使恶意的内部人士绕过UBA。
为了解决内部威胁和新法规的影响,在ISF建议您做到以下几点:
- 在您的组织所处的每个司法管辖区,就有关用户分析的限制听取法律建议。
- 建立严格的程序(依赖于工艺纪律)是透明的任何雇员监视活动。
- 让员工意识到内部风险,并培训他们识别可疑行为。
- 对内部人员的访问特权进行更定期和更严格的审计,确保适当的基于角色的访问。
一头扎进急于部署AI导致意外的结果
人工智能系统代表了自动化领域的一项重大创新。独立学习的能力将使他们在从制造到营销和咨询等领域自动化越来越复杂和非重复性的任务。但德宾指出,虽然人工智能不再处于婴儿期,但它们可能只会在未来两到三年内进入青春期。这使他们容易出错:例如,从错误或不完整的信息中学习可能导致不准确的结论。
在结果可能影响组织声誉或绩效的环境中,人工智能可以发挥不可预测的作用。例子包括:
- 脆弱的介绍。人工智能系统可以主动与客户或供应商,并连接到不安全的外部网络的新关系。
- 命令的误解。智能助手可以拿起错谈话或误解指令,导致其处理不正确的订单。
为了保护您的组织免受这种威胁,ISF建议您采取以下三个步骤:
- 跨组织协作,确定哪些领域将从AI的部署中受益,以及何时受益
- 招聘、开发和留住具有理解和管理人工智能系统技能的人才
- 与业界同行和学术机构合作,开发部署人工智能系统的最佳实践
- 更新治理结构,以有效地管理AI(例如,在设计将安全,提供由AI系统作出的决定的监督,保证系统能在发生严重事故被手动关闭)
这篇题为《到2019年9大信息安全威胁》的文章最初由《中国日报》发表首席信息官 。