Turinys:
Kibernetinės atakos nukreiptos į įmones nerimą keliančiu greičiu. Didžiausi „Target“ pažeidimai 2013 m. Gruodžio mėn. Ir Neimanas Marcusas 2014 m. Sausio mėn. Parodė didelę dėmesį į daugelio mažmeninės prekybos vietų saugumo infrastruktūros trūkumus. Dėl šios priežasties vis daugiau ir didelių, ir mažų kompanijų jaučia poreikį sutelkti pastangas ir turėti specialią saugos komandą.
Remiantis 2014 m. Gegužės mėn. „Reuters“ išleista ataskaita, kelios didelės korporacijos, tokios kaip „Pepsi“ ir „JPMorgan Chase & Co.“, ieško naujų vyriausiųjų informacijos saugumo pareigūnų (CISO), siekdamos sustiprinti saugumo praktiką. Tai atspindi didesnis supratimas apie saugumą ir jo svarbą verslo vadovo lygiu.
CISO ir vyriausiieji kibernetinio saugumo pareigūnai yra įsitraukę į savo technologijos saugumą tiek darbdaviui, tiek klientui, tačiau jų vaidmenys ir atsakomybė tampa ryškesni ir būtini ne tik saugumo bendruomenės, bet ir visos visuomenės akyse.
"Prieš penkerius metus informacijos saugumas vos neišnaikino 10 svarbiausių lentų problemų. Prieš metus tai buvo Nr. 2. Įdomu tai, kad dabar duomenų saugumas, o ne tik informacijos saugumas", - sako Davidas Boehmeris, įdarbinimo firmos "Heidrick & regioninis partneris". Kovoja įmonės sukurtame „YouTube“ vaizdo įraše.)
Ką daro CISO
CISO vaidmuo gali būti gana platus, ir jie dažnai nešioti daugybę skirtingų skrybėlių. Darbas apima viską, pradedant vidaus saugumu, pavyzdžiui, intelektinės nuosavybės saugumo valdymu, baigiant atsakingu už klientų saugumą.
„Aš taip pat dirbu su mūsų produktų komanda ir inžinerijos komanda, kad įgyvendinčiau produkto savybes, kurios galėtų būti įdomios saugumo pirkėjams“, - sako Joan Pepin, „Sumo Logic“ CISO.
Nors „Target“ pažeidimas praėjusiais metais tikrai privertė susikalbėti daugybę žmonių, Pepin paaiškina, kad ji nebuvo tokia nustebinta ir nė viena nebuvo dauguma saugumo bendruomenės atstovų. Tai nereiškia, kad saugumo bendruomenė neturėjo savo „aklaviečių“ momentų, kur kiekvienam reikėjo sustiprinti savo darbą judant į priekį.
2011 m. RSA pažeidimas, kai įsilaužėliai pažeidė informacijos apsaugos bendrovės serverius ir pavogė autentifikavimo žetonus, suteikiančius prieigą prie neskelbtinų vyriausybės ir įmonių duomenų, sukėlė daugybę saugumo specialistų. Kaip apsaugos įmonė galėtų tapti tokiu įsilaužėlių grobiu? Tik po dvejų metų šis susirūpinimas persikels į tikslą, kuris anksčiau sklandė po radaru: mažmeninius klientus. Išpuoliai, tokie kaip matomi „Target“ ir Neimano Marcusuose, nukreipė kasdienio kliento dėmesį į saugumą.
„Aišku, kai jūs vykdote didžiulę mažmeninės prekybos operaciją, kurioje dirba tūkstančiai ir tūkstančiai darbuotojų, visos šios skirtingos svetainės, pardavimo taškai, tai yra pati skurdžiausia sistemos rūšis ir faktas, kad tokio tipo išpuoliai toje vietoje neįvyko. tipo skalės greičiau iš tikrųjų mane šiek tiek nustebina “, - teigė Pepinas.
Problema kyla dėl to, kad saugumas yra laikomas paprastu žymėjimo laukeliu, kurį įmonės gali pažymėti ir palikti, o ne kaip nuolat kontroliuojamą savo verslo aspektą. Tai nereiškia, kad elektroniniai nusikaltėliai laisvi ir gali tiesiog vaikščioti. Tiesą sakant, elektroniniai nusikaltėliai įgyja vis daugiau įgūdžių.
"Tai buvo gana sudėtingas pažeidimas, galintis apsimesti BMC agentu ir tokiais slaptais dalykais. Įsitraukti į šoninius judesius visame" Target "tinkle buvo gana protinga", - teigė Pepinas.
"Aš nenoriu to atimti, tačiau atsižvelgiant į sunkumus, susijusius su taikiniu, nesiekiama nubausti, niekada neįtraukčiau mažmeninės prekybos tinklo į sunkių taikinių sąrašą. Apsaugos įmonės yra sunkūs taikiniai, vyriausybė - sunkus taikinys. Kai kuris mažmeninės prekybos tinklas, kurio verslas parduoda kojines, nesitikėčiau, kad tai bus ypač saugi parduotuvė “.
Kraštovaizdis saugumo specialistams
2014 m. Birželio mėn. „Target“ pasamdė savo pirmąjį CISO - Bradą Maiorino, buvusį „General Motors“ vadovą, kuris prižiūrės, kaip įmonės saugumo praktika bus atnaujinta.
Nepaisant jų srities ar dydžio, įmonės turės atkreipti dėmesį ir patobulinti savo saugumo žaidimą, reaguodamos į vis didėjančias grėsmes, būdamos geriau informuotos ir suteikdamos daugiau įgaliojimų veikti dėl galimų pažeidimų.
„Buvo aišku … Target byloje buvo sugeneruoti perspėjimai, į kuriuos niekas nereagavo, ir kad, mano patirtimi vadovaujantis valdomas saugumas, yra nepaprastai tipiškas“, - teigė Pepinas.
"Geriausia įsibrovimų aptikimo sistema pasaulyje vis dar pasižymi labai dideliu klaidingų teigiamų rodiklių skaičiumi, todėl saugumo reaktoriai iš esmės yra mokomi savo sistemų nepaisyti. Čia yra technologinės žmonių sąveikos atotrūkis, kai pirmieji reaktoriai tampa nutirpę tūkstančiams žmonių. perspėja, kad gauna šiukšlių. „Target“ atveju buvo keletas požymių, kurių nebuvo imtasi, ir tai galėjo padėti žymiai greičiau sumažinti poveikį “.
Kaip dažnai būna, apsaugos specialistas negali iš karto imtis veiksmų, nes jiems reikalingas leidimas ar patvirtinimas iš kito asmens, aukščiau esančio hierarchijoje. Tai reikia pakeisti, sako Pepinas, aiškindamas, kad įmonės saugumo komanda turi turėti daugiau autonomijos ir įgaliojimų imtis iniciatyvos.
„Manau, kad tai vis dar yra valdymo problema, kai vyriausieji informacijos saugumo pareigūnai neturėtų atsiskaityti CIO“, - sako Tomas Kellermannas, „Trend Micro“ vyriausiasis kibernetinio saugumo pareigūnas. "Jie turėtų atsiskaityti vyriausiajam rizikos valdytojui arba tiesiogiai generaliniam direktoriui." Tai pašalina daugelį tarpininkų ir užtikrina greitesnį reagavimo į galimas ekstremalias situacijas laiką.
Pepinas sutinka, kad saugos specialistai turėtų „pranešti tiesiai į viršų“ savo įmonėje. "Man labai pasisekė, kad pranešu mūsų generaliniam direktoriui. Tai labai gerai veikia ir tai tikrai rekomenduočiau bet kuriai organizacijai, kuri rimtai vertina savo saugumą."
Kiti MVĮ biudžetai ir saugumas
Samdyti CISO ir išplėsti savo saugumo komandą - viskas gerai ir gerai, jei turite biudžetą, bet kaip su mažesnėmis įmonėmis? Nors užpuolimas prieš mažą grandinę ar jūsų vietinę techninės įrangos parduotuvę neduos tokios pat naudos įsilaužėliams, kaip mušant taikinį ar Neimaną Marcusą, vis tiek neprotinga bet kokiu būdu palikti save pažeidžiamu. Taigi, ką galite padaryti, kad sumažintumėte išpuolių riziką? „Pepin“ primygtinai rekomenduoja išsinuomoti reagavimo į incidentus rangovo ar konsultanto paslaugas.
„Jei esate užpultas, turite ką nors, kuriam galite paskambinti, todėl nereikia atidaryti„ Google “ir pradėti ieškoti“, - sakė ji.
Mažesnei įmonei tai bus ekonomiškai naudingiau, aiškina ji, nes verslas naudosis paslaugomis tik tada, kai jų reikia. Šios paslaugos taip pat yra labai specializuotos pasiimti ten, kur jūsų darbuotojai išvyko.
„Jūs galite turėti fantastišką komandą išbandymui, supratę, kad esate užpultas, tačiau tai nėra visiškai tas pats įgūdžių rinkinys, reikalingas reaguoti į tą išpuolį, nukreipti juos iš savo tinklo ir surinkti įrodymus tokiu būdu, kuris gali padėti būti naudojami teisme “.
Kompanijos turi daug išteklių kovai su elektroniniais nusikaltimais. Naujausia istorija rodo, kad dar viena didelė ataka yra visai šalia.
