Критически важные отрасли сталкиваются с беспрецедентными вызовами, чтобы оставаться безопасными и работоспособными, в то время как давление со стороны регулирующих органов полностью перевернуло роль директора по информационной безопасности в корпоративной Америке.
piranka via Getty Images
Индустрия кибербезопасности переполнена важными и часто изнурительными инцидентами, и 2024 год дал это в избытке. Укоренившиеся проблемы, которые создают ловушки и ставят защиту в невыгодное положение, сохраняются и не меняются так уж сильно.
Широко распространенные атаки на телекоммуникационные сети США продолжают беспокоить власти, нормативные акты усиливают нагрузку на руководителей служб информационной безопасности по мере расширения их ролей и обязанностей, а в критических ИТ-системах множатся отдельные точки отказа.
Вот четыре тенденции, которые Cybersecurity Dive определил как наиболее заметные и вызывающие недоумение в преддверии 2025 года.
Растет количество отдельных точек отказа
Прошлый год принес множество громких примеров, иллюстрирующих, что может пойти не так, когда ИТ-системы выходят из строя.
Эксперты по кибербезопасности предупреждают, что эти отдельные точки отказа — о чем свидетельствуют неисправное обновление программного обеспечения CrowdStrike, разрушительная атака вируса-вымогателя на Change Healthcare и серия атак, нацеленных на клиентов Snowflake — продолжат поражать другие области технологий и систем в 2025 году.
Злоумышленники знают слабые места и нацелены на критические точки зависимости в системах, поскольку они могут повлиять на множество компаний одновременно и нанести больший ущерб своим жертвам.
«Печальная реальность заключается в том, что, хотя мышление, основанное на устойчивости, проливает свет на эти отдельные точки отказа и риск концентрации, они едва ли замечаются», — сказал Катель Тилеманн, вице-президент и выдающийся аналитик Gartner.
Аналитики утверждают, что ответственность за компенсацию рисков и поддержание устойчивых операций лежит на предприятиях и их поставщиках.
«Требование делать больше с меньшими затратами приводит к неполной оценке рисков и недооценке радиуса взрыва», — сказал Маурисио Санчес, старший директор по исследованиям корпоративной безопасности и сетей в Dell’Oro Group. «Многие предприятия либо не распознают отдельные точки отказа, либо неточно оценивают их потенциальное воздействие».
Когда происходят эти события, подобные «черному лебедю», последствия очевидны.
Эти инциденты выявляют и проверяют пробелы в модели совместной ответственности облака и меняют динамику взаимоотношений поставщиков с клиентами.
«Долгосрочным последствием этих событий является усиление контроля и сосредоточение внимания на обеспечении доступности услуг, которыми пользуются клиенты, особенно в критически важные для миссии времена», — сказала Элли Меллен, главный аналитик Forrester.
Недавние громкие события также разрушили то, что Санчес называет «иллюзией неуязвимости поставщиков», вызвав фундаментальные изменения в том, чего клиенты ожидают от своих поставщиков технологий.
«Организации должны освободиться от ложного чувства безопасности и признать, что катастрофические сбои могут и будут происходить. Инциденты 2024 года показали, что даже надежные поставщики могут столкнуться с разрушительными сбоями», — сказал Санчес.
Нормативная среда, напряженный ландшафт угроз создают новый ландшафт для руководителей служб информационной безопасности
Ведущие специалисты по кибербезопасности в компаниях США приобретают все большее влияние в советах директоров, но при этом испытывают большее давление, чем когда-либо прежде.
Возросшая угроза вредоносной киберактивности оказала глубокое влияние на корпоративную нормативную среду.
Федеральный и государственный надзор значительно усилился в последние годы, поскольку должностные лица стремятся получать разведданные в реальном времени и понимание ландшафта угроз. Цель состоит в том, чтобы убедиться, что компании частного сектора и поставщики критически важной инфраструктуры предпринимают шаги для лучшего управления рисками и оперативного раскрытия информации об угрозах ключевым заинтересованным сторонам.
Хотя намерения были благими, более строгий ландшафт привел к значительному противодействию со стороны частного сектора. Компании жаловались на избыточные запросы на раскрытие информации от государственных учреждений, которые возложили повышенную нагрузку на руководителей служб информационной безопасности и других высших руководителей служб безопасности.
В октябрьском отчете Trellix говорится, что руководители служб информационной безопасности стремятся разделить обязанности руководителя службы информационной безопасности, включив в них должность руководителя службы информационной безопасности для бизнеса, ссылаясь на растущее число требований по соблюдению требований федеральных и государственных регулирующих органов.
Национальный директор по кибербезопасности Гарри Кокер-младший заявил на конференции по киберрегулированию в Школе международных и государственных отношений Колумбийского университета, что федеральные власти усердно работают над оптимизацией нормативной нагрузки на компании, признавая, что эти требования мешают руководителям служб безопасности сосредоточиться на защите своих корпоративных сетей.
«Не каждая киберпроблема требует нормативного решения», — сказал Кокер, согласно зачитыванию речи. «И не каждое нормативное решение рассчитано на максимальную эффективность при сопоставлении с расходами на соблюдение требований».
В конце 2023 года Комиссия по ценным бумагам и биржам начала применять правила для публичных компаний, чтобы сообщать агентству о существенных кибератаках и нарушениях.
В декабрьском отчете Пола Хастингса показано, что раскрытие киберинформации публичными компаниями выросло на 60% с момента вступления в силу правила SEC. Однако менее 10% этих раскрытий включали описание инцидента с существенным воздействием.
Согласно отчету, более трех четвертей раскрытий инцидентов были сделаны в течение восьми дней с момента фактического инцидента. Примерно 2 из 5 компаний сделали дополнительные раскрытия, чтобы обновить 8-K с помощью дополнительной информации.
Телекоммуникационные атаки будут продолжаться до 2025 года
Федеральные кибервласти завершили 2024 год, пытаясь сдержать и определить масштабы масштабной серии атак на телекоммуникационные сети США. Потенциал дальнейшего ущерба сохраняется и будет раздражать чиновников в новом году.
Salt Typhoon, группа угроз, спонсируемая правительством Китая, проникла по меньшей мере в 9 американских телекоммуникационных компаний, и чиновники предупреждают, что у злоумышленников все еще есть доступ к сетям.
«Эта волна атак — самая значительная атака на критическую инфраструктуру, которую мы когда-либо видели», — заявил Энтони Ферранте, старший управляющий директор и глобальный руководитель отдела кибербезопасности в FTI Consulting.
«Вся наша жизнь взаимосвязана — все, что мы делаем, — и по сути мы обнаружили, что злоумышленник проник в эту взаимосвязанность и может делать с ней все, что пожелает», — заявил Ферранте.
Специалисты по кибербезопасности предупреждают о дальнейшем ущербе от атак из-за стечения ряда факторов, включая масштабную компрометацию такой критической инфраструктуры, вредоносную активность, которая оставалась незамеченной в течение месяцев (возможно, лет), и то, что защитники не вывели из строя злоумышленников, внедренных в телекоммуникационные сети.
«Мы все должны быть очень обеспокоены этим», — заявила генеральный директор HackerOne Кара Спраг.
Атаки активны, продолжаются, и должностные лица до сих пор не знают в полной мере, что сделала Salt Typhoon, что она планирует сделать или что остается под угрозой.
Федеральные власти полагают, что шпионаж является основной целью, но высокопоставленный чиновник администрации в прошлом месяце заявил, что атаки на телекоммуникации потенциально могут перерасти в способ нарушения работы во время кризиса или конфликта.
«Это очень серьезно, и чиновники признали, что не знают, когда хакеры будут полностью искоренены из телекоммуникационной инфраструктуры», — сказал Стефан Тераль, основатель и главный аналитик Téral Research.
«Конца этому не видно».
Эволюция CISO
Изменения в нормативной среде привели к масштабной эволюции роли CISO, особенно в публичных компаниях.
Внутри, роль CISO приобрела значительную значимость в структуре управления современных компаний. Руководители также имеют большее влияние в совете директоров и высшем руководстве.
Но они также должны соответствовать гораздо более высоким стандартам с точки зрения раскрытия киберрисков и обеспечения соблюдения стратегий снижения рисков.
«Директора по информационной безопасности теперь сталкиваются с более жестким внутренним контролем и более широкой аудиторией заинтересованных сторон из-за решения SEC», — сообщил Гарольд Ривас, директор по информационной безопасности компании Trellix, занимающейся кибербезопасностью, в интервью Cybersecurity Dive по электронной почте. «Это постановление также усилило давление на эту должность, поскольку частота отчетности перед советом директоров увеличилась».
Исследование, опубликованное в декабре компанией Trellix, показало, что примерно 2 из 5 руководителей служб информационной безопасности считают, что правила SEC отвлекают их от других обязанностей, а 3 из 5 увеличили численность персонала, чтобы справиться с дополнительной нормативной нагрузкой.
Исследование, опубликованное IANS и Artico Search в ноябре, показало, что руководители служб информационной безопасности все больше внимания уделяют добавлению специализированных ролей в свои команды по безопасности, поскольку они стремятся добавить специалистов по конфиденциальности данных, безопасности продуктов и другим ключевым вопросам риска.
Дерек Вадала, директор по рискам в BitSight, сказал, что руководители служб информационной безопасности все больше берут на себя ответственность и оказывают влияние на решения в области бизнеса и технологий во многих компаниях.
«Эти руководители служб безопасности стали равными руководителям служб информационной безопасности — с четким доступом к совету директоров и значительным влиянием на более широкую технологическую стратегию», — написал Вадала по электронной почте.