Pětice výzev zabezpečení budoucnosti

Informační bezpečnost byla zajímavou součástí naší minulosti, je kritickou součástí naší současnosti a bude určujícím faktorem naší budoucnosti. Existují akce, které je třeba řešit na mikro/individuální úrovni, a výzvy, které musíme společně řešit jako průmysl, který se posouvá vpřed.

Ekonomika bezpečnosti je jasná: „Bez kybernetické bezpečnosti neexistuje žádná finanční stabilita,“ píše Loretta J. Mesterová, prezidentka a generální ředitelka Federální rezervní banky v Clevelandu. Ukázalo se, že vnímání chabé kybernetické bezpečnosti snižuje cenu akcií a násobky cen akcií, poškozuje pověst značky, snižuje podíl na trhu, snižuje tržby, urychluje pokuty, zvyšuje právní náklady a ztěžuje najímání kvalitních zaměstnanců. Mít budoucnost vyžaduje zvládnutí informační bezpečnosti.

Cesta k budoucímu zvládnutí informační bezpečnosti zahrnuje:

• Uznání individuálních povinností / odpovědnosti,
• Explicitní vyjadřování jednotlivých infosec přesvědčení,
• Cvičení správné kybernetické hygieny,
• Věnování pozornosti dodavatelskému řetězci softwaru a
• Utvrzování komponent provozních technologií.

Už žádní diváci

Pro drtivou většinu dosavadního digitálního věku byla informační bezpečnost ne až tak hojně navštěvovaným diváckým sportem. Zaměstnanci, zákazníci, vedoucí pracovníci a členové představenstva v podstatě seděli na tribuně, zatímco informační mágové [bezpečnostní profesionálové] ve stínu bojovali s padouchy.

Vztah lidstva k bezpečnosti informací je u konce! V budoucnu se každý, kdo používá zařízení, zabývá kybernetickou bezpečností; každý, kdo používá zařízení, zlepšuje nebo snižuje kybernetickou bezpečnost; a každý má svou roli a odpovídající soubor povinností týkajících se bezpečnosti informací.

Předpokládám, že do konce tohoto desetiletí bude odpovědnost za informační bezpečnost výslovně specifikována pro každého jednotlivce staršího pěti let. Na konci každého dne, čtvrtletí, roku a kariéry budou vedoucí pracovníci souzeni a odměněni/potrestáni za to, zda zlepšili nebo zhoršili kybernetickou bezpečnost své komunity a pracoviště.

Není mým záměrem ani účinnou praxí „obviňovat uživatele“ ze všech našich kybernetických problémů. Musíme se však ujistit, že každý jednotlivec v podniku ví, že má svou roli v zabezpečení informací.

Mysli, říkej, dělej

Nemusíte být futuristou, psychologem nebo antropologem, abyste věděli, že mezi tím, co si lidé myslí, co říkají a co dělají, je často velký rozpor. V budoucnu bude kybernetická bezpečnost méně o informatice a více o behaviorální vědě.

Informační bezpečnost vyžaduje změnu chování. Abychom změnili chování, musíme řídit to, co lidé vědí a jak si lidé myslí o bezpečnosti informací. Abychom toho dosáhli, musíme porozumět tomu, čemu lidé ohledně bezpečnosti informací věří.

Pište pro CIO Business World

Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři CIO BW?

Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu. Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz

Víra, znalosti a změna chování jsou neoddělitelně spojeny. Prvním krokem je přesně vyhodnotit, čemu každý zaměstnanec v podniku věří o bezpečnosti informací. Toho lze dosáhnout pouze prostřednictvím praktických rozhovorů „bota-kůže“, které vedou manažeři. Analytik průzkumů Nate Silver označuje výstup z takových interakcí jako „vibrace na zemi“.

Předpokládám, že výsledky takovýchto individuálních hodnocení vyplynou na povrch dvě silně zastávaná a zcela nefunkční přesvědčení o bezpečnosti informací:

„Nejsem důležitý a nikdo na mě necílí.“

„Nemohu je zastavit, ani kdybych chtěl.“

Praktikujte základní kyberhygienu

Každý z nás potřebuje propagovat a praktikovat správnou kyberhygienu. Kybernetická hygiena zahrnuje, ale není omezena na, osvědčené postupy týkající se hesel, robustní procesy záplatování zranitelnosti, včasnou detekci, prevenci a nápravu, zavádění ochrany pro prevenci a blokování malwaru a zajištění robustních přístupových protokolů.

Účast na těchto osvědčených postupech je zásadním krokem ke zlepšení celkové bezpečnosti. Podle zprávy společnosti Microsoft z roku 2021 Digital Defense Report bylo téměř 70 % narušení dat způsobeno phishingem a 98 % útoků bylo možné předejít základní hygienou zabezpečení.

Výzvy odvětví

Jak přijímáme individuální odpovědnost za dobré chování v oblasti informační bezpečnosti, čímž odstraňujeme „nízko visící ovoce“ pro padouchy, můžeme očekávat, že se zaměření kybernetických útoků posune. Dvě oblasti, které je třeba sledovat, jsou provozní technologie a dodavatelský řetězec softwaru.

Bezpečnostní profesionálové již léta varují před potenciálně ničivými útoky na provozní technologie [např. výrobní linky, výrobní technologie, veřejné služby, výtahy, termostaty, světla a vozidla]. Útok na Colonial Pipeline byl pro mnohé budíček.

Další útok, tento přichází na konci roku 2020, postavil zabezpečení dodavatelského řetězce softwaru do centra pozornosti. Útok na poskytovatele softwaru pro monitorování sítě SolarWinds ohrozil uživatele jejich softwaru Orion, zejména včetně amerických vládních institucí a agentur.

Moderní vývoj softwaru byl přirovnáván k výrobě dortu. Aniž by to mnozí vedoucí pracovníci tušili, všechny součásti softwarového koláče nejsou generovány interně. Chytří hackeři přišli na to, že je mnohem výnosnější hacknout softwarovou komponentu, která je nainstalována v tisících firem, než hackovat tisíc firem samotných.

Velkým problémem bezprostřední budoucnosti informační bezpečnosti je, že široce nasazené softwarové komponenty mohly být ohroženy. Organizace pečlivě přehodnocují svůj softwarový „Bill of Materials“.