Zadawanie pytania o to, jaki poziom bezpieczeństwa IT jest wystarczający, jest równie przydatne, jak pytanie o długość sznurka. Odpowiedź brzmi: „to zależy”. Pewne jest jednak, iż krajobraz zagrożeń się zmienia. Sztuczna inteligencja (AI) oferuje ryzyko i możliwości, a wojny na Bliskim Wschodzie i Ukrainie zwiększyło to prawdopodobieństwo krytyczna infrastruktura krajowa celem będą największe przedsiębiorstwa na Zachodzie.
Stevena Sima Kok Leonga, przewodniczący komitetu wykonawczego w Centrum wymiany i analizy informacji o cyberbezpieczeństwie Operational Technology, spodziewa się, iż skala ataków typu ransomware, naruszeń danych i oszustw będzie przez cały czas rosła. Wskazuje na Światowe Forum Ekonomiczne Raport o globalnych zagrożeniach 2024które przewiduje, iż brak bezpieczeństwa cybernetycznego oraz dezinformacja i dezinformacja będą stanowić odpowiednio najwyższe i czwarte ryzyko przez następne dwa lata.
Patrząc na ewoluujący krajobraz zagrożeń w 2024 r., Sim Kok Leong mówi: „Powierzchnia ataku staje się coraz bardziej złożona wraz ze wzrostem wykorzystania chmury i sztucznej inteligencji – dzięki generatywnej sztucznej inteligencji [GenAI]IoT [internet of things] i łączność. Hakerzy już atakują skupiska wspólnego systemu i usług, aby zwiększyć zwrot z inwestycji”.
Przygotowanie przedsiębiorstw na zwiększone ryzyko
W styczniu Departament Nauki, Innowacji i Technologii (DSIT) opublikował: projekt kodeksu postępowania, który pomoże przedsiębiorstwom zarządzać bezpieczeństwem cybernetycznym. Kodeks, opracowany we współpracy z dyrektorami branżowymi, ekspertami ds. cyberbezpieczeństwa i zarządzania oraz Narodowym Centrum Bezpieczeństwa Cybernetycznego (NCSC), zawiera środki zapewniające firmom posiadanie szczegółowych planów reagowania i odzyskiwania danych po potencjalnych incydentach cybernetycznych. Plan reagowania powinien być regularnie testowany, aby upewnić się, iż jest jak najbardziej solidny, przy czym powinien istnieć formalny system zgłaszania incydentów.
Środki te obejmują zapewnienie bezpiecznego tworzenia i utrzymywania oprogramowania, a także lepsze zarządzanie ryzykiem i komunikowanie go w łańcuchach dostaw. Rząd współpracuje z przemysłem nad dalszym rozwojem tych propozycji, począwszy od opracowania kodeksu postępowania dla dostawców oprogramowania, który będzie stanowić sedno proponowanego pakietu, po szkolenia w zakresie bezpieczeństwa cybernetycznego dla profesjonalistów.
Luka w umiejętnościach w zakresie bezpieczeństwa
Chociaż międzynarodowe korporacje mają zasoby, aby przynajmniej podjąć wysiłek, aby wyrównać szanse z hakerami, Sim Kok Leong ostrzega, iż małe i średnie przedsiębiorstwa (MŚP) oraz osoby prywatne borykają się z trudnościami tam, gdzie brakuje zasobów i wiedzy specjalistycznej oraz przy ograniczonym budżecie oraz redukcje siły roboczej dokonywane przy każdym pogorszeniu koniunktury gospodarczej.
Patrząc na umiejętności, Harshini Carey, starszy menedżer w Turnkey Consulting, zauważa, iż utrzymujący się niedobór wykwalifikowanego personelu i ekspertów zajmujących się ochroną przedsiębiorstw przed zagrożeniami cybernetycznymi pozostaje powszechnym problemem na całym świecie. Na przykład 50% firm ma wersję podstawową lukę w umiejętnościach w zakresie bezpieczeństwa cybernetycznego w Wielkiej Brytanii, podczas gdy u 33% brakuje zaawansowanych umiejętności.
Powodów ciągłego braku obrońców jest wiele. Carey podkreśla, iż wysoce stresujący charakter ról związanych z bezpieczeństwem cybernetycznym spowodowało odejście wielu specjalistów z branży. W zeszłym roku Gartner poinformował, iż stres już minął prawie połowa liderów cyberbezpieczeństwa planuje zmianę pracy do 2025 rprzy czym połowa tej liczby twierdzi, iż na stałe opuści branżę zabezpieczeń.
„Stres nie tylko pogłębia niedobory umiejętności, ale także sprawia, iż specjaliści ds. bezpieczeństwa cybernetycznego są mniej skuteczni w wykonywaniu swoich obowiązków” – dodaje. Raport z 2023 r. analizujący skutki stresu wykazał, iż 65% CISO w USA i Wielkiej Brytanii odczuwało, iż stres ogranicza ich zdolność do ochrony organizacji.
Ryzyko dla szefów bezpieczeństwa
Sim Kok Leong spodziewa się, iż w 2024 r. większy nacisk zostanie położony na odpowiedzialność CISO, ubezpieczenia i tworzenie związków zawodowych. „Sprawy Ubera i SolarWinds wywołały kwestię odpowiedzialności CISO” – mówi.
Sim Kok Leong twierdzi, iż gdy pojawia się poważny problem związany z bezpieczeństwem cybernetycznym, należyta staranność CISO zostaje poddana w wątpliwość. W rezultacie spodziewa się, iż CISO będą żądać lepszego wynagrodzenia i/lub ubezpieczenia bezpieczeństwa pracy.
„CISO uwikłani w konflikt strukturalny i teatry bezpieczeństwa będą mieli wątpliwości, czy bagatelizować złe raportowanie” – dodaje. „CISO będą również w coraz większym stopniu poszukiwać rówieśników, którzy będą polegać na swoich sieciach CISO jako źródłach siły, wsparcia, spostrzeżeń i informacji”.
Sim Kok Leong zaleca, aby członkowie zarządu firmy i CISO upewnili się, iż wyjaśnili odpowiedzialność i odpowiedzialność. „W zmienionej SEC coraz częściej podkreśla się i opracowuje nacisk na odpowiedzialność zarządu i bezpieczeństwo cybernetyczne [Securities and Exchange Commission] zasady. Zarządy z kolei będą wymagać niezależnego zapewnienia i widoczności wskaźników ryzyka/bezpieczeństwa, w miarę jak kontrola odporności i ryzyka stron trzecich wzrasta wraz z coraz większą liczbą nagłośnionych naruszeń” – mówi.
Z jego doświadczenia wynika, iż CISO w coraz większym stopniu ponosi odpowiedzialność za bezpieczeństwo cybernetyczne, wykraczającą poza samą odpowiedzialność. Oznacza to, iż CISO będą potrzebować większych uprawnień do podejmowania decyzji dotyczących cyberbezpieczeństwa.
AI: nowe zagrożenie na rok 2024
Oprócz zagrożeń, których doświadczyli wcześniej szefowie bezpieczeństwa IT, istnieją także rosnące zagrożenia i możliwości, jakie stwarza sztuczna inteligencja.
Carey z Turnkey zauważa, iż sztuczna inteligencja gwałtownie staje się coraz bardziej wyrafinowana, więc tradycyjne techniki bezpieczeństwa cybernetycznego, takie jak oprogramowanie antywirusowe, zapory ogniowe i silniki chroniące przed złośliwym oprogramowaniem, nie są już wystarczające do ochrony przed zagrożeniami powodowanymi przez ataki wykorzystujące uczenie maszynowe.
Spektrum zagrożeń wykorzystujących sztuczną inteligencję obejmuje głębokie fałszywe ataki Inżynieria społeczna próby zorganizowane przy użyciu zastrzyków złośliwego oprogramowania, które można gwałtownie zaadoptować w środowisku IT.
Carey ostrzega, iż ataki te przybierają różne formy. Mogą to być na przykład sprawcy podający się za zaufane osoby nakłonić kogoś do kliknięcia łącza w wiadomości e-mail który ujawnia poufne informacje, instaluje złośliwe oprogramowanie w swojej sieci lub wykonuje pierwszy etap ataku zaawansowane trwałe zagrożenie (APT). Do generowania ataku można również wykorzystać wiadomości tekstowe i połączenia głosowe, podobnie jak manipulacje związane z optymalizacją wyszukiwarek (SEO), które kierują ludzi do witryny hakera i kradną wrażliwe dane podczas interakcji z nią.
Rezultatem będzie eskalacja ataków socjotechnicznych, manipulujących użytkownikami w celu udzielenia nieautoryzowanego dostępu do systemów organizacyjnych. Mówi, iż takie ataki są również niezwykle trudne do wykrycia ze względu na ich inteligencję i wyrafinowanie.
Napięcie geopolityczne napędza cyberataki
Sztuczna inteligencja jest zarówno zagrożeniem, jak i szansą. Cyberprzestępcy prawdopodobnie wykorzystają napięcia geopolityczne, aby obrać za cel główne organizacje i krytyczną infrastrukturę krajową. Firma analityczna Forrester przewidział, iż w wyniku większego skupienia się na GenAI w 2024 r. prawdopodobnie dojdzie do co najmniej trzech naruszeń danych, które zostaną publicznie przypisane kodowi wygenerowanemu przez sztuczną inteligencję.
Jednak dostawcy bezpieczeństwa IT wzmacniają swoje zabezpieczenia dzięki narzędzi opartych na sztucznej inteligencji. Integracja sztucznej inteligencji z narzędziami zapewniającymi bezpieczeństwo cybernetyczne gwałtownie rośnie. Przewiduje się, iż do 2026 r. rynek sztucznej inteligencji w dziedzinie bezpieczeństwa cybernetycznego wzrośnie do 38,2 miliarda dolarów.
Federico Charosky, dyrektor generalny i założyciel Quorum Cyber, wierzy, iż osoby, którym powierzono zadanie obrony tych organizacji, będą miały niezrównaną okazję do wykorzystania sztucznej inteligencji w dobrym celu szybciej, niż atakujący wykorzystują ją do zła.
„Do obsługi sztucznej inteligencji potrzebna jest dość duża moc obliczeniowa, którą dobrze kontrolują problemy w łańcuchu dostaw i podmioty hiperskalowalne, które powinny być w stanie zakwalifikować swoich klientów” – mówi.
