- Kibernetinis saugumas iš techninės problemos virto strategine rizika, turinčia įtakos organizacijų verslui, reputacijai ir veiklos tęstinumui.
- Atakos sutelktos į duomenų vagystes ir šifravimą, taikantis į vadovus, finansų sritis, inovacijas ir silpnąsias tiekimo grandinės grandis.
- Žmonės išlieka labiausiai pažeidžiama vieta, todėl mokymai, incidentų reagavimo planai ir saugos kultūra yra būtini.
- Vaikų apsauga, slapukų valdymas ir viešas informacijos atskleidimas užbaigia kibernetinio saugumo, kaip bendros atsakomybės, viziją.
La Kibernetinis saugumas tapo viena iš svarbiausių šių dienų problemųne tik techniniams skyriams, bet ir vyresniajai vadovybei, technologijos ir skaitmeninės kultūros žiniasklaida Ir tai vis dažniau taikoma visiems, kas jungiasi prie interneto. Kibernetinio saugumo ataskaitose nebesikoncentruojama vien į virusus ar paslaptingus įsilaužėlius; dabar jose daugiausia dėmesio skiriama tam, kaip ši rizika veikia verslą, ekonomiką ir kasdienį žmonių gyvenimą.
Augant skaitmeninimui, Grėsmės tampa vis sudėtingesnės ir sunkiau aptinkamos.Didelės korporacijos, MVĮ, viešojo administravimo institucijos, išorės tiekėjai, šeimos ir net vaikai, naudojantys dirbtinio intelekto pokalbių robotus, susiduria su aplinka, kurioje duomenys yra grynas auksas. Šiame kontekste kibernetinis saugumas nebėra vien techninis klausimas ir tampa strateginiu, socialiniu ir net edukaciniu klausimu.
Kibernetinis saugumas kaip strateginis įmonių prioritetas
Per pastarąjį dešimtmetį Skaitmeninimas radikaliai pakeitė nusikaltėlių veikimo būdą.Jiems nebereikia fiziškai eiti į biurą ar gamyklą: tereikia rasti tinklo pažeidžiamumą, netinkamai sukonfigūruotą debesijos sistemą ar neatsargų darbuotoją, atidariusį kenkėjišką el. laišką, kad būtų sukelta ataka, galinti paralyžiuoti visą įmonę.
Didelės korporacijos tai gerai žino, todėl Jie kibernetinį saugumą iškėlė į savo verslo strategijos centrąKalbama ne tik apie kompiuterių apsaugą, bet ir apie verslo tęstinumo užtikrinimą, reputacijos išsaugojimą ir milijonų dolerių nuostolių prevenciją. Iššūkis yra tas, kad kuo didesnės ir labiau suskaitmenintos šios organizacijos, tuo patrauklesnės jos tampa kibernetiniams nusikaltėliams.
Tokie ekspertai kaip Josepas Alborsas, ESET Ispanijos tyrimų ir informavimo vadovas, aiškina, kad Daiktų interneto įrenginių plitimas ir masinė migracija į debesį atvėrė daugybę galimų patekimo taškų.Daugelis šių prijungtų įrenginių nėra tinkamai valdomi ar atnaujinami, ir tai, kartu su prasta tinklo segmentacija ir nepakankamu pažeidžiamumų valdymu, sukuria plačią ir sudėtingą aplinką, kurioje užpuolikai gali veikti gana lengvai, jei aptinka pažeidžiamumą.
Susidūrę su tokia situacija, Didelės įmonės paprastai yra geriau pasiruošusios nei MVĮNes jie turi daugiau išteklių, specializuotas komandas ir pažangias stebėjimo bei reagavimo priemones. Tačiau jie taip pat yra pelningesnis taikinys: jie tvarko daugiau duomenų, sunaudoja daugiau pinigų ir yra susiję su plačiu tiekėjų ir partnerių tinklu. Tai verčia juos nuolat investuoti į naujas saugumo technologijas ir ankstyvo incidentų aptikimo procesus.
Kai išpuolio poveikis yra didžiulis, Atsakymas negali apsiriboti tuo, ką daro viena įmonė.Tokiais atvejais esminis tampa viešojo ir privačiojo sektorių bendradarbiavimas: dalijimasis informacija, atkūrimo koordinavimas, valdžios institucijų ir reguliavimo institucijų įtraukimas ir mokymasis iš kiekvieno incidento, siekiant sustiprinti visos skaitmeninės ekosistemos atsparumą. Europos reguliavimo institucijos ir institucijos Tai yra pagrindinis daugelio šių procesų elementas.
Duomenų vertė ir kibernetinio šantažo iškilimas
Dabartiniame grėsmių žemėlapyje Dauguma išpuolių susiję su informacijos vagysteKibernetiniai nusikaltėliai pirmiausia siekia gauti prisijungimo duomenis, slaptažodžius, asmens duomenis ir konfidencialius įmonės dokumentus. Turėdami šiuos duomenis, jie gali įsiskverbti į organizacijos vidines sistemas, didinti privilegijas ir sudaryti sąlygas vėlesniems atakos etapams.
Patekus į vidų, ataka paprastai baigiasi slaptos informacijos šifravimas ir didelių duomenų kiekių išgavimasTuomet užpuolikai griebiasi šantažo: jie reikalauja didelės išpirkos mainais už sistemų išlaisvinimą arba pavogto turinio nepublikavimą. Šis dvigubas žaidimas (šifravimas ir nutekėjimas) palieka įmones, patiriančias tiek veiklos nuostolių, tiek reputacijos nuostolių.
Kai ataka paveikia kritines sistemas, įmonė gali tiesiogine prasme sustotiPrarandamos ne tik valandos ar dienos darbo: sutrinka gamybos grandinės, stabdomos finansinės operacijos, nutrūksta santykiai su klientais ir tiekėjais, o atkūrimo išlaidos smarkiai išauga. Ypač jautriuose sektoriuose, tokiuose kaip sveikatos apsauga ar pramonė, pasekmės gali turėti net socialinį ar fizinį poveikį.
Nepaisant to, didelės įmonės paprastai turi tam tikrų pajėgumų reaguoti: incidentų reagavimo komandos, atsarginės kopijos, verslo tęstinumo planai ir komunikacijos protokolaiProblema dar labiau paaštrėja, kai atakų banga vienu metu paveikia daugelį organizacijų, nes koordinavimas tampa sudėtingesnis, o specializuoti ištekliai (vidiniai ir išoriniai) perpildomi.
Šiame scenarijuje technologijų įmonių ir konsultacinių firmų kibernetinio saugumo vadovai pabrėžia, kad Nuolatinė gynybos sistemų evoliucija yra būtina norint išlaikyti atsparumą.Neužtenka tiesiog nusipirkti sprendimą ir apie jį pamiršti: reikia peržiūrėti konfigūracijas, atnaujinti įrankius, atlikti modeliavimus ir periodiškai tikrinti, ar procedūros veikia esant realioms sąlygoms. Be to, atsiranda naujų technologijų, tokių kaip... kvantiniai procesoriai Tai verčia persvarstyti tam tikras apsaugos schemas vidutinės trukmės laikotarpiu.
Vadovai atakų taikinyje
Tarp mėgstamiausių kibernetinių nusikaltėlių taikinių yra vyresnioji vadovybė užima svarbią pozicijąFinansų skyriai ir viskas, kas susiję su generalinio direktoriaus vaidmeniu, yra atsakingi už sprendimus dėl biudžetų, mokėjimų, sutarčių ir strateginių veiksmų. Bet kokia neteisėta prieiga prie šių pranešimų atveria duris sukčiavimui, turinčiam didelį finansinį poveikį.
Dažniausias ginklas, naudojamas šiems profiliams pasiekti, yra Labai tikslinis sukčiavimasTai taip pat žinoma kaip sukčiavimas. El. laiškais, kurie labai primena vidinių arba patikimų tiekėjų laiškų stilių ir formatą, užpuolikai bando apgauti vadovus ar savo tinklo narius, kad šie spustelėtų kenkėjiškas nuorodas, atsisiųstų užkrėstus failus arba leistų pervesti pinigus į nesąžiningas sąskaitas. Be to, pastebėta papildoma praktika, dėl kurios reikia stiprinti tiesioginių pranešimų protokolus, pavyzdžiui, tobulinant... saugumas „WhatsApp“ ir „Messenger“ programose.
Be finansų sektoriaus, Dar vienu prioritetiniu taikiniu tapo inovacijų ir mokslinių tyrimų skyriai.Šiose sistemose saugoma įmonės intelektinė nuosavybė, komercinės paslaptys, naujų produktų dizainas ir strateginė informacija apie būsimas verslo linijas. Šių duomenų vagystė ar nutekinimas gali suteikti konkurentams (ar kitoms suinteresuotoms šalims) didžiulį pranašumą.
Kadangi užpuolikai puikiai supranta, kad didelės įmonės stiprina savo gynybą, Vis dažniau jie nusprendžia pulti netiesiogiai.Užuot tiesiogiai atakavę pagrindinę korporaciją, jie sutelkia dėmesį į išorės bendradarbius, technologijų tiekėjus, profesionalias įmones ar kitas skaitmeninės grandinės grandis, kurios paprastai taiko kuklesnes saugumo priemones.
Šis požiūris atitinka idėją, kad Organizacijos saugumas priklauso nuo silpniausios jos tinklo grandiesPardavėjas, turintis prastą slaptažodžių valdymą, neturintį pataisų atnaujinimo sistemos arba silpną kibernetinio saugumo kultūrą, gali tapti puikiu šliuzu patekti į didelės įmonės aplinką.
Silpniausia grandis: žmonės ir el. paštas
Nepaisant dirbtinio intelekto ir automatizavimo pažangos, El. paštas išlieka pageidaujamu daugelio atakų įėjimo taškuTai visur esantis įrankis darbe ir asmeniniame gyvenime, ir būtent dėl šios priežasties jis tapo idealiu kanalu kenkėjiškoms programoms slapta įdiegti, sukčiavimo apsimetant kampanijoms pradėti ir prisijungimo duomenims vogti.
Derinys Mokymo stoka, per didelis pasitikėjimas savimi ir spaudimas greitai reaguoti Tai sukuria puikią terpę vartotojui atidaryti kenkėjišką priedą arba pateikti savo prisijungimo duomenis netikroje svetainėje. Spąstai nebūtinai turi būti itin sudėtingi; jie tiesiog turi būti gerai užmaskuoti to asmens kasdienio gyvenimo kontekste.
Kibernetinio saugumo ekspertai sutinka, kad Žmonės išlieka silpniausia grandimi visoje apsaugos grandinėjeKad ir kokios geros būtų užkardos ir aptikimo priemonės, jei kas nors patenka į sukčių pinkles ir pateikia savo vartotojo vardą bei slaptažodį, užpuolikas gali tęsti veiklą su, regis, teisėtais prisijungimo duomenimis.
Vienintelis realus būdas sumažinti šią riziką yra Rimtai ir nuolat investuokite į informuotumą ir mokymąNereikia vesti kurso kartą per metus ir apie jį pamiršti: būtina atnaujinti turinį, pritaikyti pavyzdžius prie naujausių realių atvejų ir įvertinti, kiek darbuotojai iš tikrųjų pritaiko šias žinias savo kasdienėje veikloje.
Pramoninės programinės įrangos srityje besispecializuojančių įmonių, tokių kaip „Barbara IoT“, vadovai pabrėžia, kad Klausimas ne tas, ar organizacija patirs kibernetinę ataką, o kada ji įvyks.Šiuo požiūriu svarbiausia ne tik stengtis išvengti kiekvieno incidento, bet ir pasiruošti greitai ir efektyviai reaguoti, kai neišvengiamai ateis laikas.
Pasenę incidentų reagavimo planai ir sistemos
Kartu su žmogiškuoju faktoriumi, Kitas svarbus organizacijų saugumo aspektas yra pasenęs jų operacinių sistemų ir programų pobūdis.Pasenusios programinės įrangos priežiūra be gamintojo palaikymo ar naujausių pataisymų yra tas pats, kas palikti atviras duris, kurias kibernetiniai nusikaltėliai puikiai žino ir sistemingai išnaudoja. Štai kodėl svarbu atsižvelgti į konkrečius vadovus ir rekomendacijas konkrečioms platformoms, tokioms kaip... saugumas „Apple“ įmonėje.
Atsižvelgiant į šią realybę, ekspertai rekomenduoja gerai parengtas ir išbandytas incidentų reagavimo planasŠiame plane turėtų būti apibrėžta, ką daryti nuo to momento, kai aptinkama anomalija, kas priima pagrindinius sprendimus ir kaip atsakas koordinuojamas tarp techninių komandų, verslo vadovų, komunikacijos, teisinių ir žmogiškųjų išteklių skyrių.
Praktiškai pirmas žingsnis paprastai yra sulaikyti atakąIzoliuokite pažeistą įrangą, segmentuokite tinklus, blokuokite įtartinus prieigos taškus ir neleiskite įsilaužimui plisti už pradinių paveiktų sistemų ribų. Šis etapas yra itin svarbus, nes skubotas ar prastai suplanuotas atsakas gali pabloginti situaciją.
Kitas esminis punktas yra bendravimas su visomis susijusiomis šalimisDarbuotojai, partneriai, klientai, kompetentingos institucijos, reguliavimo institucijos ir teisėsaugos institucijos turi būti informuotos tvarkingai ir skaidriai, atsižvelgiant į incidento sunkumą ir mastą. Problemos slėpimas tik pablogina pasekmes vidutinės trukmės laikotarpiu.
Galiausiai procesas kulminuoja tuo, kad sistemų atkūrimas ir realaus poveikio vertinimasTai apima paslaugų atkūrimą, duomenų, kurie buvo pažeisti, analizę, ekonominės ir reputacijos žalos įvertinimą bei konkrečių pamokų darymą, siekiant sustiprinti apsaugą. Be šio vėlesnio mokymosi organizacija rizikuoja pakartoti tą pačią klaidą.
Kibernetinis saugumas kaip verslo rizika ir augantis sektorius
Verslo pasaulyje jau manoma, kad Kibernetinis saugumas visų pirma yra rizikos valdymo klausimasLygiai taip pat, kaip įmonės analizuoja galimą ekonomikos krizės, logistikos problemos ar reguliavimo pokyčių poveikį, jos turi įvertinti, ką rimtas skaitmeninio saugumo incidentas reikštų jų verslui.
Ši brandesnė vizija lėmė Kibernetinio saugumo klausimai turėtų būti aptariami valdybos posėdžiuose ir strateginiuose susitikimuose.Sprendimai dėl investicijų į apsaugą, kibernetinės rizikos draudimą ar paslaugų perdavimą išorės tiekėjams nebepriklauso vien nuo IT skyriaus, bet yra aptariami aukščiausiu lygiu, aplinkoje, kurioje Finansai 4.0.
Tuo pačiu metu kibernetinio saugumo rinka, kaip pramonės šaka, patiria tvarus dviženklis augimasVis labiau reikia debesijos pagrindu veikiančių saugumo sprendimų, valdomų aptikimo ir reagavimo sistemų, elgsenos analizės įrankių, daiktų interneto įrenginių apsaugos technologijų ir pažangių darbuotojų bei vadovų mokymo paslaugų.
Specializuotos organizacijos ir sektorių asociacijos pabrėžia, kad Kvalifikuotų specialistų trūkumas yra viena iš pagrindinių kliūčiųAuga kenkėjiškų programų analizės, incidentų valdymo, audito, atitikties reglamentams ir saugaus kūrimo ekspertų poreikis, o talentų ratas ne visada spėja su augančia paklausa. Šis reiškinys susijęs su iššūkiais, susijusiais su Užimtumas 4.0 technologijų sektoriuje.
Visas šis judėjimas taip pat paskatino piliečiams skirtų informavimo erdvių ir programų kūrimasŠiose iniciatyvose dalyvauja viešosios įstaigos, tyrimų centrai ir žiniasklaidos priemonės. Tikslas – pakeisti kibernetinio saugumo suvokimą iš kažko neaiškaus ir išskirtinio, skirto tik techniniams ekspertams, į esminį kasdienio skaitmeninio gyvenimo aspektą.
Platinimo ir specializuotos programos vartotojams
Geras šio edukacinio požiūrio pavyzdys yra erdvės, kurios Viešieji ištekliai ir pirmaujančios organizacijos skiria dėmesį interneto vartotojų saugumui.Bendradarbiaujant su nacionaliniais kibernetinio saugumo institutais, transliuojamos radijo programos ir skelbiamas turinys, kuriame suprantama kalba paaiškinama, kaip apsisaugoti internete. Be to, viešose diskusijose aptariamos tokios temos kaip... skaitmeninė manipuliacija socialinėje žiniasklaidoje, o tai daro įtaką rizikos suvokimui.
Šiose programose Technikai aptaria viską – nuo labai paprastų klausimų iki sudėtingesnių temų.Kaip sukurti stiprius slaptažodžius, kokie požymiai rodo, kad el. laiškas gali būti suklastotas, kaip valdyti privatumą socialiniuose tinkluose, ką daryti, jei jūsų tapatybė pavogta, arba kaip reaguoti, jei įmonėje, kurioje turite paskyrą, įvyksta duomenų saugumo pažeidimas.
Šio tipo iniciatyvos privalumas yra tas, kad Jie suteikia kibernetinį saugumą žmonėms, kurie niekada neskaitytų techninės ataskaitos.Jie naudoja kasdienius pavyzdžius, pasakoja realius atvejus ir siūlo praktines rekomendacijas, kurias gali pritaikyti bet kuris vidutinis vartotojas, neturėdamas išsamių technologinių žinių.
Be to, tokio tipo turinys dažnai pabrėžia mintį, kad Saugumas nėra būsena, o nuolatinis procesas.Grėsmės kinta, įrankiai keičiasi, o žmonių skaitmeniniai įpročiai sparčiai keičiasi. Štai kodėl taip svarbu vartoti naujausią informaciją ir nepasikliauti patarimais, kurie pasiteisino prieš dešimt metų, bet dabar yra pasenę.
Daugeliu atvejų radijas, specializuotos interneto svetainės ir viešos kampanijos veikia kaip vartai piliečiams, norintiems sužinoti apie kibernetinio saugumo svarbąVėliau kai kurie vartotojai ieškos pažangesnių išteklių, o kiti tiesiog pritaikys keletą gerųjų praktikų, kurios jau yra reikšmingas patobulinimas, palyginti su ankstesne situacija.
Vaikai ir dirbtinio intelekto pokalbių robotai: naujos skaitmeninės rizikos
Pastaraisiais metais kibernetinio saugumo ataskaitų teikimo srityje išryškėjo labai specifinė sritis: nepilnamečių ir dirbtinio intelekto technologijų santykisYpač pokalbių robotai, kurie atsako į klausimus, duoda patarimų arba imituoja bendravimą. Vaikai vis dažniau naudojasi šiais įrankiais, norėdami išspręsti abejones, smagiai praleisti laiką ar ieškoti emocinės paramos.
Šis reiškinys kelia rimti klausimai apie saugumą, privatumą ir emocinį vystymąsiViena vertus, kyla klausimas, kokia informacija vaikai dalijasi su šiomis sistemomis: asmens duomenimis, informacija apie savo šeimos ar mokyklos aplinką, nuotaikas, intymius rūpesčius... Visa tai gali būti saugoma arba naudojama modeliams tobulinti, vaikui ar jo tėvams iki galo nežinant.
Kita vertus, kyla rizika, kad pokalbių robotai pateikia netikslius, šališkus arba tiesiog netinkamus atsakymus atsižvelgiant į vaiko amžių. Nors filtrai ir kontrolės priemonės egzistuoja, jos ne visada yra tobulos, ir gali būti, kad vaikas gali gauti netinkamų patarimų dėl rimtos problemos arba normalizuoti tam tikrą požiūrį vien todėl, kad „dirbtinis intelektas taip pasakė“.
Taip pat nerimaujama dėl galimo poveikio emocinė priklausomybė nuo įrankio, kuris, atrodo, supranta ir klausosiTačiau iš tikrųjų jam trūksta empatijos ir atsakomybės už vartotojo gerovę. Nepilnametis gali jaustis patogiau pasakodamas dalykus pokalbių robotui nei suaugusiajam, nesuvokdamas, kad pasitiki automatizuota sistema, sukurta kitiems tikslams.
Atsižvelgiant į šią situaciją, kibernetinio saugumo ir vaikų apsaugos specialistai rekomenduoja lydėti ir prižiūrėti vaikus, kaip jie naudojasi šiomis paslaugomisLabai svarbu jiems suprantama kalba paaiškinti, kas tiksliai yra pokalbių robotas, kokie jo apribojimai, kokia informacija niekada neturėtų dalytis ir kodėl susidūrus su rimta problema visada geriau kreiptis pagalbos į patikimą asmenį.
Privatumas, slapukai ir naudotojų kontrolė
Be tiesioginių atakų, Privatumo apsauga ir slapukų valdymas tapo dar vienu svarbiu kasdienio kibernetinio saugumo elementuŠiuolaikinės svetainės naudoja slapukus ir panašias technologijas, kad įsimintų nuostatas, palaikytų prisijungimo sesijas, analizuotų srautą ir daugeliu atvejų rodytų suasmenintą reklamą. Taip pat svarbu suprasti su naršykle susijusią riziką ir įrankius, pvz.,... Privatumas ir saugumas naršyklėje „Chrome“.
Šis slapukų naudojimas gali būti labai naudingas siūlant patogesnė ir efektyvesnė naršymo patirtisTačiau tai taip pat kelia pagrįstų klausimų apie tai, kokie duomenys renkami, kokiu tikslu jie naudojami ir kiek laiko jie saugomi. Todėl vis daugiau svetainių pateikia aiškesnę informaciją apie naudojamų slapukų tipus ir leidžia vartotojams įjungti arba išjungti tuos, kurie nėra būtini.
Apskritai platformos išskiria slapukai, būtini techniniam svetainės veikimui, ir analitiniai arba rinkodaros slapukaiPirmojo paprastai negalima išjungti nenutraukiant paslaugos tinkamo veikimo; antrojo galima atsisakyti, nors tai gali paveikti tam tikras funkcijas arba turinio suasmeninimą.
Dabartiniai sutikimo mechanizmai apima tokias galimybes kaip Išsaugokite pasirinktus nustatymus ir vėliau juos modifikuokite.Jei lankytojas, pavyzdžiui, paspaudžia mygtuką „Išsaugoti pakeitimus“ nepasirinkęs jokių tinkinimo parinkčių, daugeliu atvejų tai interpretuojama kaip visų nebūtinų slapukų atmetimas. Be to, paprastai pateikiamos nuolatinės nuorodos (pvz., „Slapukų nuostatos“), kad vartotojas galėtų bet kada peržiūrėti arba pakoreguoti savo sutikimą.
Toks požiūris sustiprina mintį, kad Duomenų kontrolė turėtų būti vartotojo rankose.Tačiau taip pat reikia, kad žmonės bent minimaliai susipažintų su tokiomis sąvokomis kaip techniniai, suasmeninimo, analizės ir reklamos slapukai, kad galėtų priimti pagrįstus sprendimus dėl stebėjimo lygio, kurį jie nori sutikti naudoti kiekvienoje skaitmeninėje paslaugoje. Jei ieškote Atgaukite savo privatumąYra praktinių vadovų, kaip sumažinti savo skaitmeninį pėdsaką.
Atsižvelgiant į visa tai, kas išdėstyta pirmiau, kibernetinis saugumas nebėra tik specialistų reikalas, o tapo esminiu šiuolaikinio skaitmeninio gyvenimo komponentu: Įmonės tai laiko strategine rizika, vyriausybės skatina informavimo programas, šeimos turi išmokti valdyti vaikų santykį su technologijomis, o vartotojai apskritai turi priimti pagrįstus sprendimus dėl privatumo ir duomenų.Šioje interesų ir pareigų sankirtoje kibernetinio saugumo ataskaitos atlieka esminį vaidmenį tiksliai ir prieinamai paaiškinant, kas yra pavojuje ir kaip galime geriau apsisaugoti.
