Прогноз BSI относительно тенденций в области кибербезопасности на 2020 год

20 февраля 2020

Глобальный Центр передовых технологий BSI в области кибербезопасности и информационной устойчивости прогнозирует пять ключевых тенденций в сфере кибербезопасности в 2020 году. 

 

1. Атаки, связанные с многофакторной аутентификацией (МФА)

Согласно отчету LastPass*, с 2018 года доля мировых компаний, использующих МФА, выросла с 45% до 57%, и в 2020 году продолжит увеличиваться. Однако с распространением МФА неизбежно возрастет и количество кибератак, связанных с этим видом проверки. 

Стивен О'Бойл, руководитель глобального направления кибербезопасности и информационной устойчивости компании BSI, комментирует ситуацию следующим образом: «МФА — метод аутентификации, разработанный для дополнительной защиты пользовательских данных. В 2019 году распространение МФА принесло положительные результаты, однако, по нашему мнению, число попыток обойти данный вид защиты должно увеличиться. Примером может служить так называемая атака в 9 утра. Злоумышленник пытается войти в систему около 9 утра по местному времени пользователя. Конечный пользователь приезжает в офис и при входе в систему получает запрос о подтверждении. Если взломщик правильно рассчитал время, своим подтверждением пользователь непреднамеренно предоставляет ему несанкционированный доступ. 

Подобные целевые атаки, наряду с использованием Evilqinx и заменой SIM-карты, в этом году участятся. До тех пор, пока фишинг не перестанет быть высокодоходным видом мошенничества с низким уровнем риска, он будет активно применяться злоумышленниками. Чтобы обеспечить безопасность клиентов, работников и информации, организации должны иметь возможность обнаруживать и отражать сложные атаки». 

 

2. Управление рисками, связанными с третьими сторонами/поставщиками 

Для повышения результативности при управлении рисками, связанными с поставщиками, был принят ряд новых директив и правил, включая Директиву о сетевой и информационной безопасности (NIS) и Общий регламент по защите данных (GDPR). Для более эффективного управления рисками и контроля безопасности компании руководствуются стандартами

ISO/IEC 27002 Информационные технологии — Технологии безопасности — Практические правила контроля информационной безопасности

и ISO/IEC 27036 Информационные технологии — Методы обеспечения защиты — Защита информации при взаимоотношениях с поставщиками. Тем не менее, риски, связанные с поставщиками, продолжат возрастать и в 2020 году. 

«Система управления рисками, связанными с поставщиками, позволяет организациям выявлять, оценивать, снижать и устранять данные риски. В этом году предприятиям потребуются еще более совершенные технологии снижения рисков, возникающих при взаимодействии с третьими сторонами. К такому взаимодействию относится обработка информации, разработка систем сторонними подрядчиками, интеграция, конфигурирование и проверка происхождения аппаратных средств. Подобный подход к снижению рисков будет способствовать достижению целей компаний по информационной безопасности и соблюдению требований законодательства в этой области», — поясняет O'Бойл. 

 

3. Защита персональных данных

В условиях глобализации и неуклонного технического прогресса необходимо обеспечить защиту основных прав граждан за счет мер, гарантирующих неприкосновенность частной жизни. В этом году для соблюдения GDPR и других нормативных актов следует принять программу защиты персональных данных с системой контроля, ориентированной на соблюдение конфиденциальности. Согласно отчетам, в 2019 году за нарушение GDPR было выставлено 134 штрафа на общую сумму более 417 миллионов евро. 

«В 2020 году размер штрафов за нарушение GDPR увеличится, особенно с учетом решений, которые Ирландская комиссия по защите данных планирует принять в отношении крупных производителей программной продукции. Многие организации взяли курс на соблюдение GDPR, однако во всем мире продолжают появляться новые законы, например японский Акт о защите персональной информации (APPI), бразильский Lei Geral de Proteção de Dados (LGPD), таиландский Акт о защите персональных данных (PDPA) и калифорнийский Акт о защите личной информации клиентов (CCPA). Таким образом, юридическая база в области защиты персональных данных продолжает развиваться. Эти глобальные требования должны применяться исходя из международного характера деятельности компании в рамках соответствующих юрисдикций», — отмечает Стивен. 

 

4. Сложные хакерские технологии

Крупные компании в сфере безопасности часто реализуют свои программы в области кибербезопасности с привлечением значительных человеческих и финансовых ресурсов. В 2019 году многим отраслевым командам по обеспечению безопасности было поручено доказать ценность инвестиций компании в безопасность. Помимо сертификации по стандартам PCI DSS (Стандарт безопасности данных индустрии платежных карт), ISO/IEC ISO 27001 Системы обеспечения информационной безопасности и SOC 2 (Контрольные процедуры в сервисных организациях 2), компании начали проводить испытания под названием Purple Teaming, в ходе которых «синяя» команда защитников (Blue Team) противостоит «красной» команде атакующих (Red Team) для оценки эффективности системы безопасности. В 2020 году этот метод будет применяться еще более активно. 

«Данный метод дает по-настоящему объективное представление об уязвимостях и способности системы к защите в близких к реальным сценариях атак. Ценность подобных испытаний для организации огромна: защитники приобретают опыт борьбы с атаками в безопасной среде, а выявление недостатков позволяет усовершенствовать процессы и настроить систему мониторинга для своевременного обнаружения и устранения угроз. В этом году еще больше компаний начнут применять данный подход в рамках своих ежегодных мероприятий по оценке», — утверждает Стивен. 

 

5. Безопасность облачных вычислений — сети с нулевым уровнем доверия

По мере внедрения облачных технологий и осознания организациями того факта, что создать абсолютно безопасную сеть невозможно, на первый план выходит модель «нулевого доверия». Помимо традиционного брандмауэра, компании будут применять все более совершенные методы защиты, а в организациях, использующих облачные модели, станет нормой условный доступ с проверкой номера устройства, сертификатов, местоположения, биометрии и секретной информации пользователя. 

«Облачные службы, включая Microsoft Office 365, являются ключевыми целями для злоумышленников, которые для получения доступа проводят атаки с «распылением паролей» (password spray) и автоматической подстановкой украденных регистрационных данных (credential stuffing). Компании, использующие облачные технологии без надежных инструментов и процессов управления доступом, в скором времени окажутся под угрозой. Те, чей контроль ограничен, могут столкнуться с устойчивыми попытками взлома», — отмечает О'Бойл. 

В заключение он делает следующие выводы: Нас ожидает новая волна кибератак, законов в сфере кибертехнологий, технологического развития и конкретных решений помимо тех, что связаны с постоянной угрозой безопасности, обусловленной внесением ненадлежащих изменений в программное обеспечение. В 2020 году подготовка к борьбе с кибератаками должна оставаться в числе приоритетных задач во всех отраслях промышленности, включая финансы, государственный сектор, пищевую промышленность и здравоохранение. В частности, в Ирландии такая подготовка будет обеспечиваться за счет мер, предусмотренных Национальной стратегией кибербезопасности. В этом году организациям необходимо особенно сосредоточиться на усилиях в области кибербезопасности и нормативно-правового регулирования и сделать выбор в пользу укрепления гарантий по всем направлениям. Это позволит обеспечить лучшее понимание всех аспектов безопасности и повысить информационную устойчивость в рамках организации». 

Компания BSI предлагает организациям широкий спектр решений в области кибербезопасности и информационной устойчивости, в том числе связанных с управлением информацией, защитой персональных данных, осведомленностью о безопасности, соблюдением нормативно-правовых требований и тестированием. 

Узнать больше об услугах BSI в области кибербезопасности и информационной устойчивости: https://www.bsigroup.com/ru-RU/cybersecurity/

Скачать полную версию прогноза BSI относительно тенденций в области кибербезопасности на 2020 год вы можете здесь.

 

- КОНЕЦ -

 

Примечания для редакторов:

*Ссылка на доклад о мерах по обеспечению безопасности паролей LastPass здесь.

 

О BSI

 

BSI – это компания по повышению эффективности бизнеса, которая помогает организациям превратить стремление к совершенству в привычку. Компания BSI вот уже более века выступает за качество и помогает организациям во всем мире перенимать передовой опыт. BSI – это международная организация с признанным опытом в различных отраслях, включая авиакосмическую, автомобильную, строительную, пищевую и медицинскую сферы, оказывающая услуги более 84 000 предприятий в 193 странах мира. Благодаря своему опыту в области разработки стандартов и решений, услуг по оценке соответствия и сертификации, нормативно-правовых и консалтинговых услуг, BSI повышает эффективность бизнеса, помогая клиентам устойчиво расти, управлять рисками и, в конечном итоге, становиться более жизнестойкими.

 Подробнее о компании: https://www.bsigroup.com/ru-RU/

 

Общие сведения о Центре передовых технологий BSI в области кибербезопасности и информационной устойчивости

 

Глобальный Центр передовых технологий BSI в области кибербезопасности и информационной устойчивости, расположенный в Сандифорде (Дублин), обеспечивает безопасность корпоративных данных клиентов BSI со всего мира. Компания предоставляет услуги в области идентификации, защиты, нормативно-правового соответствия и управления информационными активами. Основные направления ее деятельности — консалтинг, технологии, исследования и обучение. Миссия компании — помочь клиентам достичь информационной устойчивости, то есть создать среду, которая обеспечивала бы защиту инфраструктуры, выполнение нормативно-правовых обязательств, безопасность людей и поддержание высокой репутации и доверия. Опыт и знания высококвалифицированных консультантов BSI охватывают все области управления информацией.

Компания имеет ряд аккредитаций и сертификаций, признанных на международном уровне: (CREST / Cyber Essentials / Payment Card Industry Data Security Standard Qualified Security Assessor).  BSI является разработчиком серии стандартов в области информационной безопасности ISO/IEC 27000 и мировым лидером в сфере обучения и сертификации по стандарту ISO/IEC 27001, в котором отражен передовой опыт управления информационной безопасностью (ISMS). 

Подробнее о Центре передовых технологий BSI в области кибербезопасности и информационной устойчивости: https://www.bsigroup.com/cyber-ie

 

Медиа-запросы:

Ed Lowcock/Melissa Sidnell
Отдел по взаимодействию с клиентами    
Tel: +44 (0)20 7932 3688
Email: bsi@goodrelations.co.uk

 

Naomi Prior
BSI
Tel: +44 (0)20 8996 6330
Email: pressoffice@bsigroup.com