Аналитический центр Falcongaze назвал главные задачи информационной безопасности в 2018 году
12, февраль 2018
Отношения между компаниями, государственными органами и злоумышленниками по линии информационной безопасности в 2018 г. обретают новые формы и углубляются. Аналитический центр Falcongaze проследил основные тенденции и предлагает ознакомиться с ними.
Регуляторы: имплементация GDPR и NIS; клиенты-как-регуляторы Итак, 25 мая вступает в силу постановление Европейской комиссии о защите данных (GDPR) , устанавливающее требования к компаниям по вопросам защиты данных граждан ЕС, обработке и хранению этой информации. Постановление касается любых организаций, в том числе российских, которые собирают или обрабатывают личные данные жителей ЕС, независимо от того, находятся ли эти компании в Европейском Союзе или за его пределами. Это добавляет новый уровень сложности к управлению информационными ресурсами компании. Потребуется решать перечень технологических и финансовых проблем: отсутствие осведомленности, увеличение расходов на управление данными, нехватка квалифицированных специалистов, отвлечение внимания и инвестиций от других важных инициатив и т.д. Казалось бы, часть рассматриваемых тенденций и нормативных актов является исключительно локальной историей и не распространяются на Россию и страны СНГ. Однако, во-первых, уже в самом содержании акты содержат положения, расширяющие свое действие на нерезидентов, а во-вторых, компании ИТ-сферы зачастую работают вне границ государств. А также, что еще более существенно, законотворчество происходит на рынках крайне привлекательных для преступников, и даже если ваша компания не подпадает под их действие, конкуренция между хакерами и офицерами безопасности приведет к усложнению технологий – т.е. кто не пойдет в ногу, станет легкой добычей злоумышленников. Следующий важный момент здесь - поведение регулирующих органов . Организации, которые не относятся серьезно к GDPR и у которых происходят инциденты, провоцирующие расследование, получат реальную опасность серьезного штрафа - четыре процента годового оборота или 20 млн. евро. Существуют эксперты, которые полагают, что контролеры не будут проводить аудит на соответствие GDPR. Компании понесут ответственность только в случае явных нарушений законодательства или по жалобам граждан ЕС. И даже в этом случае регуляторы отнесутся к ним мягко, если компании смогут документально подтвердить свои добросовестные усилия по соблюдению положений. Однако, руководству компаний, полагающимся на такое мнение, стоит обратить вниманию на современную тенденцию, согласно которой конечные клиенты будут требовать соблюдения положений наравне с контролирующими органами. Крупные корпоративные клиенты сегодня все чаще проверяют, как их поставщики и партнеры защищают их данные. Также набирает обороты интересная гражданская инициатива. Некоммерческая организация NOYB будет создана в Вене и будет включать технических специалистов и юристов, которые будут заниматься мониторингом нарушений конфиденциальности и обеспечивать соблюдение положений GDPR посредством суда либо через органы защиты персональных данных (DPA). Несмотря на актуальную природу угроз сетевой безопасности, менее известная, но не менее важная, директива по безопасности сетевых и информационных систем (NIS) не получила такой широкой известности как GDPR. Директива должна стать частью национальных законодательств в мае 2018 и вводит такие же жесткие санкции в отношении компаний за ее несоблюдение. NIS сосредоточена на создании общего уровня кибербезопасности в ЕС. Вводится национальный надзор за безопасностью в критических секторах экономики, таких как энергетика, транспорт, водоснабжение, здравоохранение, финансы и т. д. и за поставщиками цифровых услуг (точки обмена интернет-трафиком, системы доменных имен и т. д.). Области и способы атак: здравоохранение; уязвимости в процессорах и Wi-Fi; интернет-устройства и сетевые черви. 1 . Усиление атак с помощью взломанных устройств интернета вещей (IoT). Миллионы подключенных устройств практически не защищены от хакеров. На самом деле, злоумышленникам с каждым годом становится даже легче получить доступ к множеству интернет-устройств. Все, что им нужно сделать, это купить комплект ботнета. По оценкам, три лучших набора ботнета - Andromeda, Gamarue и Wauchos нападают на более миллиона устройств в месяц... |
|