Tendenser inden for sikkerhed og overholdelse: Fem takeaways fra Infosecurity Europe 2024
Indholdsfortegnelse:
Hvert år mødes cybersikkerhedsindustrien til Europas største industribegivenhed: Infosikkerhed Europa. Omfanget af showet – i Londons hule ExCeL udstillings- og konferencecenter – er et vidnesbyrd om sektorens styrke. Over 14,000 mennesker tog turen til Londons Docklands, hvor hundredvis af sikkerhedsleverandører udstillede deres nyeste teknologi.
Cyber er en stadig vigtigere del af en hurtigt voksende britisk teknologisektor, der er værd at bruge anslået 1 $ billioner (£790 mia.). Det regeringens skøn at omkring 2,000 virksomheder, der er børsnoteret i landet, sælger cybersikkerhedsprodukter og -tjenester, hvilket genererer mere end 10.5 milliarder pund til den britiske økonomi og beskæftiger over 58,000 medarbejdere.
Men Infosecurity Europe handler ikke kun om at jage den nyeste teknologi. Dets konferenceprogram giver en god chance for at høre fra nogle af branchens førende personer, CISO'er og compliance-professionelle. Med det i tankerne er her vores bedste takeaways fra dette års show:
At finde og fastholde cybertalent er stadig en udfordring
Kløften i arbejdsstyrken inden for cybersikkerhed står i øjeblikket på fire millioner globalt, med britiske arbejdsgivere under anslået 73,000 arbejdstagere, en årlig stigning på 29 %. Compliance-professionelle er også spredt for tyndt i mange organisationer. Paneldeltagere ved showet argumenterede for, at organisationer burde kaste deres net bredere i søgningen efter kandidater, herunder tilstødende roller som it-helpdesk. Selv organisationer uden ressourcer fra dybtliggende rivaler kan appellere til talent ved at fokusere på karriereudvikling og fleksible arbejdsfordele, hævdede de.
De sagde, at fastholdelse er lige så nødvendigt, og det er her, det kan betale sig at finde den rigtige blanding af aflønning, balance mellem arbejde og privatliv og udviklingsmuligheder. I en separat diskussion, University of Manchester CISO, Heather Lowrie, og tidligere Trainline CISO, Munawar Valiji, understregede vigtigheden af at pleje et tæt sammentømret team for at mindske risikoen for udbrændthed. De argumenterede for, at opbygningen af en positiv kultur skal komme fra toppen og ned; for eksempel bør CISO'er altid være der for følelsesmæssig og strategisk støtte.
Overholdelse bliver sværere
Ropes & Grey partner Rohan Massey delte sin års ekspertise som databeskyttelsesadvokat og advarer om, at landskabet for overholdelse af lovgivning kun bliver mere komplekst. For eksempel findes der i øjeblikket 104 eksisterende eller afventende stykker EU-lovgivning relateret til cybersikkerhed, hvoraf ingen definerer "cyber" på samme måde. Den vigtigste ting at huske på, når man tackler compliance, er at forstå princippet om "proportionalitet", argumenterede Massey. Sådan gælder lovene for din specifikke organisation i sammenhæng med dens størrelse, risikoprofil og arten, omfanget og kompleksiteten af dens tjenester og operationer.
Masseys trepunktsplan for strømlinet overholdelse fokuserer på ansvarlighed og styring, forsyningskæderisiko og risikovurdering/styring. Heldigvis kan best practice-standarder som ISO 27001 give organisationer et fantastisk forspring. Da mange regler alligevel er baseret på delt bedste praksis, kan overholdelse af en af disse rammer eller standarder reducere arbejdsbyrden betydeligt.
Ændring af brugeradfærd forbliver en kritisk bestræbelse
Brugerfejl er fortsat en af de vigtigste bidragydere til forhøjet cyberrisiko i de fleste virksomheder. En nylig Keepnet undersøgelse fandt, at et alarmerende antal medarbejdere faldt for en vishing-simulering drevet af leverandøren - mange af dem i IT-roller. Det er dårlige nyheder for organisationer, da trusselsaktører i stigende grad målretter mod helpdesk med falske anmodninger om nulstilling af adgangskode. Ved udstillingen, sikkerhed eksperter hævdede det nøglen til at ændre brugeradfærd ligger i simuleringsøvelser i den virkelige verden, der forsøger at engagere brugerne i stedet for at fange dem. Outreach hjælper dem med at forstå konsekvenserne af dårlig sikkerhedsbevidsthed på deres organisation.
CISO'er hos advokatfirmaet Dentons og Aston Martin Lagonda hævdede, at tæt samarbejde med virksomheden er essentielt - for at forklare hvorfor og hvordan sikkerhed hjælper alle med at nå deres mål. Dette kan spænde fra at forklare, hvordan cyber kan hjælpe med at vinde nye forretninger til at tilføje værdi til designprocessen og dermed skabe konkurrencefordele. Den nederste linje: Det skal gøres relevant for slutbrugerne at tage det seriøst.
Nye Ransomware-grupper ændrer spillereglerne
Da Infosecurity Europe startede, brød nyheden om, at flere London-hospitaler og NHS primære sundhedstjenester var blevet destabiliseret af en ransomware brud hos en leverandør af kritisk patologi. Det var et rettidigt eksempel på, hvor betydelig truslen er for britiske organisationer i dag – og dens potentielt livstruende implikationer. Eksperter på messen forklarede, at den nylige nedtagning og forsvinden af henholdsvis LockBit- og BlackCat-grupper havde ført til en genbestilling af ransomware-markedet.
Affiliates er nu mindre loyale over for et bestemt "brand" og bevæger sig i stedet mellem flere ransomware-as-a-service (RaaS) operatører; sagde de – og tilføjede, at sårbarhedsudnyttelse i edge-enheder er blevet særligt almindeligt. Den gode nyhed er, at best-practice cybersikkerhedsstandarder kan hjælpe. Organisationer bør håndhæve kontinuerlig risikobaseret patching og sætte forsvar på plads for at detektere og blokere post-udnyttelsesaktivitet som lateral bevægelse.
AI er en mulighed, men også en kritisk risiko
Ingen diskussion om cybersikkerhed i dag ville være komplet uden omtale af AI. Det var et tilbagevendende tema på messen, hvor eksperter delte tips til, hvordan man sikrer brugen af det. Synopsys administrerende direktør for applikationssikkerhedsingeniør Lucas von Stockhausen argumenterede for, at kodere burde vælge deres AI-assistenter med stor omhu og altid gennemgå ethvert output. De bør også definere AI-brugspolitikker og -praksis, før de går i gang, og prioritere IP-beskyttelse.
University College London (UCL) CISO Sarah Lawson tilføjede, at organisationer skal udvikle acceptable brugspolitikker og derefter holde brugerne ansvarlige for de beslutninger, de træffer ved hjælp af AI-værktøjer. På den anden side skal arbejdsgiverne give disse brugere den viden, de har brug for, for at sikre, at disse beslutninger er velinformerede, tilføjede hun.
Der var også masser af diskussion omkring AI-drevne trusler - især deepfakes. ISMS.online Status for informationssikkerhed 2024 indberette afslører at 30 % af cybersikkerhedsprofessionelle er stødt på et deepfake-angreb i løbet af de sidste 12 måneder. En ekspert i sådanne spørgsmål, Henry Adjer, startede showet med en advarsel om truslen mod demokratiet ved deepfake lydlækager, der forklæder sig som skjulte optagelser af politikere. Der er ingen sølvkugleløsninger på problemet, men han stod ved "indholdsherkomst" som at give det bedste håb. Dette refererer til kryptografisk sikrede metadata knyttet til medier, så snart de er fanget på en enhed eller genereret ved hjælp af en algoritme.
Om det tager fart eller ej er nogens gæt. I mellemtiden bør sikkerhedsteams fokusere på at få det grundlæggende rigtigt: mennesker, processer og teknologi.
