Aonova prognoza – promjene cyber prijetnji i poslovne sigurnosti

Datum objave: 7.2.2018., 14:09
S obzirom da cyber napadi sve više prijete poslovanju rastući i količinom i razmjerom, tvrtke će biti prisiljene primijeniti nove mjere kako bi se s rizicima suočile holistički i integrirale agresivnije upravljanje poslovnim rizicima, prenose Aonovi cyber stručnjaci u svom izvješću o cyber sigurnosti za 2018.
Izvješće navodi konkretne akcije za koje Aon vjeruje da će tvrtke poduzeti u ovoj godini da bi odgovorili na cyber prijetnje kao i druge cyber trendove koje nas očekuju u ovoj godini.

"Cyber napadači su u 2017. godini stvorili kaos – od mrežnih krađa identiteta koje su utjecale na političke kampanje do ucjenjivačkih virusa koji su se infiltrirali u operacijske sustave na svjetskoj razini. Uz rast interneta stvari (IoT), svjedoci smo proliferacije napada odbijanja usluge (engl. denial-of-service ili DDoS) koji onesposobljavaju IoT uređaje," rekao je Jason J. Hogg, izvršni direktor tvrtke Aon Cyber Solutions.

Hogg je izjavio kako Aonovi stručnjaci prognoziraju povećanu cyber izloženost zbog približavanja triju trendova: povećanja ovisnosti kompanija o tehnologiji, pojačanog usmjeravanja regulatora na zaštitu podataka potrošača i rastuće vrijednosti nematerijalne imovine.
"Povećana izloženost zahtijevat će integrirani pristup cyber sigurnosti i u poslovnoj kulturi i u okvirima upravljanja rizicima," kazao je. "Direktori i menadžeri moraju usvojiti koordiniran pristup upravljanja cyber rizicima koji je u skladu s njihovom visokom pozicijom kako bi bolje procijenili i ublažili rizik na svim razinama poslovanja.“

Aonova prognoza za cyber sigurnost u 2018. opisuje načine na koje će povećanje opsega i utjecaja cyber napada dovesti do značajnih promjena u poslovnom svijetu. Izvješće predviđa širenje uloge voditelja upravljanja rizicima i važnosti provođenja provjere autentičnosti pomoću više faktora, povećanje prijetnji od napada iznutra i širenje „bug bounty“ programa u nove sektore.

Prema Aonovim stručnjacima, ovo je osam načina na koje bi se mogla odvijati borba između cyber rizika i cyber sigurnosti:
1. Tvrtke će uzimati samostalne police cyber osiguranja, jer odbori i rukovoditelji postaju svjesniji cyber odgovornosti. Kako odbori i rukovoditelji postaju svjesni utjecaja cyber napada kroz smanjenje zarade, operativnu dezorganizaciju i potraživanja od direktora i službenika, tvrtke će se okrenuti policama prilagođenima cyber sigurnosti poduzeća, a ne se oslanjati na popratne komponente u drugim policama. Usvajanje će se proširiti izvan kruga tradicionalnih kupaca cyber osiguranja, kao što su sektor maloprodaje, financijski i zdravstveni sektor, do drugih djelatnosti ugroženih dezorganizacijom povezanoj sa cyberom, uključujući proizvodnju, prijevoz, komunalnu potrošnju te naftu i plin.

2. U sudaru fizičkog i cyber svijeta, voditelji upravljanja rizicima morat će početi tretirati cyber rizik kao potencijalni rizik u poslovanju. Kako sofisticirani cyber napadi stvaraju posljedice u stvarnom svijetu koji utječu na poslovanje u sve većim razmjerima, voditelji C-razine (direktori i menadžeri) morat će postati svjesni opasnosti koju oni predstavljaju. Očekuje se da će u 2018. godini upravitelji rizicima imati svoje mjesto na IT sastancima, usko surađujući s voditeljima informatičke sigurnosti kako bi pomogli kompanijama da shvate holistički utjecaj cyber rizika na poslovanje.

3. Središte pozornosti regulatora će se dodatno proširiti i postati složenije tražeći mjere za usklađivanje. EU će kažnjavati tvrtke za kršenje Opće uredbe o zaštiti podataka (GDPR) dok u SAD-u pod povećalo dolaze načini prikupljanja, korištenja  i osiguranja podataka u segmentu big data. U 2018. regulatori na međunarodnoj, nacionalnoj i lokalnoj razini strože će provoditi postojeće propise o cyber sigurnosti i uvesti nove propise.

4. Kriminalci će napadati tvrtke koje koriste internet stvari, a fokus će biti na malim i srednje velikim tvrtkama koje pružaju usluge velikim svjetskim kompanijama i organizacijama. U 2018. godini će svjetske organizacije morati uzeti u obzir složenost načina na koji tvrtke koriste internet stvari u odnosu na upravljanje rizicima od treće strane. Izvješće predviđa da će napadači do velikih kompanija doći preko malih dobavljača ili izvođača, koristeći internet stvari kao put u njihovu mrežu. Velike kompanije moraju brinuti o upravljanju rizicima od treće strane, a male i srednje tvrtke moraju provoditi bolje sigurnosne mjere ili riskiraju gubitak posla.

5. Budući da se zaporke mogu hakirati, a napadači lako zaobilaze biometrijske provjere, provjera autentičnosti pomoću više faktora postat će važnija nego ikad prije. Osim lozinki, tvrtke provode nove metode provjere autentičnosti kao što su prepoznavanje lica i otisaka prstiju. Međutim, te su tehnologije još uvijek ranjive. Zbog toga izvješće predviđa da će se tvrtke odlučiti za provjeru autentičnosti pomoću više faktora kako bi se borile protiv različitih vrsta napada. To će od korisnika zahtijevati nekoliko dokaza za provjeru autentičnosti. S novom potrebom za provjerom autentičnosti pomoću više faktora i potražnjom potrošača za nenametljivim slojevima sigurnosti, očekujemo primjenu bihevioralne biometrijske provjere.

6. Kriminalci će ciljati transakcije koje koriste bodove za nagrađivanje kao valutu, potičući prihvaćanje „bug bounty“ programa. Tvrtke izvan sektora tehnologije, vlade, automobilske i financijske industrije uvest će „bug bounty“ platforme u svoje sigurnosne programe. Budući da kriminalci ciljaju transakcije koje koriste bodove kao valutu, tvrtke s programima nagrade lojalnosti, kao što su zrakoplovne kompanije, trgovci na malo i pružatelji usluga, bit će sljedeći val tvrtki koje će implementirati „bug bounty“ programe. Kako sve više organizacija usvaja te programe, oni će zahtijevati podršku vanjskih stručnjaka kako bi se izbjeglo uvođenje novih rizika s nepravilno konfiguriranim programima.

7. U 2018. će kriminalci koji koriste ucjenjivački softver razviti nove taktike, dok samoj industriji koja razvija ucjenjivački softver pomažu kriptovalute. Izvješća predviđaju da će različiti oblici programa kao što je softver koji prouzrokuje odbijanje usluge ili pokretanje oglasa na tisućama sustava pokrenuti veliki probitak ucjenjivačkog softvera. Povećat će se i raspršeni napadi kojima je cilj poremetili što je moguće više sustava, ali povećati napadi koji ciljaju određene tvrtke i zahtijevaju isplatu otkupnine proporcionalne vrijednosti šifrirane imovine. Kriptovalute će nastaviti podržavati industriju računalne ucjene, unatoč tome što zakon postaje napredniji u sposobnosti praćenja napada, kroz bitcoin novčanike npr.

8. Zbog podcjenjivanja njihovog utjecaja, napadi iz redova same kompanije ili organizacije postat će sve opasniji. Godine 2017. neke tvrtke su ulagale u proaktivnu strategiju ublažavanja rizika od napada iznutra, a 2018. neće biti drukčije. Prema izvješću, postoji nedostatak sigurnosne obuke i tehničkih kontrola uparen s promjenom dinamike suvremene radne snage. S pravom se sumnja kako cjelokupni broj cyber napada i incidenta uzrokovanih djelovanjem zaposlenika same kompanije nije došao do javnosti. Mnoge tvrtke će nastaviti reaktivno reagirati na incidente iza zatvorenih vrata i neće osvijestiti stvarne troškove i utjecaj rizika od napada iznutra.