2018 baskısına göre Siber Güvenlik Tahminleri Raporu Aon'un Siber Çözümler uzmanları tarafından fark edilen, işin her yönüne yönelik artan siber saldırı tehdidi ve bunun tekrarlama ve kapsam açısından büyümesi, şirketleri "bütünsel" siber riski ele almak ve bunları tamamen entegre etmek için yeni önlemler uygulamaya zorlayacak. risk yönetimi politikalarına
Il Siber Güvenlik Öngörüleri Raporu 2018 şirketlerin siber güvenlik alanında üstlenmeleri gereken daha büyük sorumlulukla bağlantılı olarak, siber saldırıların kapsamı ve etkisindeki artıştan kaynaklanan önemli değişikliklerin ne olacağını gösterir.
“Siber Güvenlik Tahminleri Raporu 2018”in öne çıkan ana noktaları:
- Yönetim Kurulları ve yöneticiler siber alanda da sorumluluklarının bilincine varacakları için şirketler 'bağımsız' sigorta poliçeleri şart koşacak..
Yönetim kurulu üyeleri ve yöneticiler, örneğin azalan karlar, iş kesintisi ve direktörler ve yöneticilere karşı davalar dahil olmak üzere siber saldırıların etkisini ilk elden deneyimledikçe, şirketler siber riske karşı sessiz kalmaya güvenmek yerine giderek daha fazla kişiye özel sigorta poliçelerine başvuracak. diğer politikaların bileşenleri. Ayrıca, siber politikaların benimsenmesi, perakende, finans ve sağlık gibi geleneksel olarak yapıldığı sektörlerin çok ötesine geçecek ve imalat, nakliye, kamu hizmetleri ve petrol.
- Baş Risk Sorumluları, gerçek ve dijital dünya birleştikçe giderek artan bir şekilde bir iş riski olarak ele alınacak olan siber riskin yönetiminde merkezi bir rol üstlenecek..
Gelişmiş siber saldırılar, ticari operasyonlar üzerinde artan bir etkiyle gerçek dünyada sonuçlar doğurdukça, üst düzey yöneticiler siber riskin öneminin daha fazla farkına varacaktır. 2018'de CRO'ların, kuruluşların siber riskin iş üzerindeki etkisini anlamalarına yardımcı olmak için Baş Bilgi Güvenliği Görevlileri (CISO'lar) ile yakın işbirliği içinde çalışarak siber sorunların yönetimine dahil olması bekleniyor.
- Yetkililerin dikkati, giderek daha karmaşık hale gelen dinamiklere doğru genişliyor ve uyumlaştırma talepleri ortaya çıkıyor. Avrupa Birliği, uluslararası şirketlerden Genel Veri Koruma Yönetmeliği (GDPR) ihlallerini bildirmelerini ister; ABD'de büyük veri toplayıcılar denetlenecek.
2018 yılında, uluslararası, ulusal ve yerel düzeydeki Otoriteler, siber güvenlikle ilgili mevcut düzenlemeleri daha sıkı uygulayacak ve şirketler üzerindeki kuralları uygulama baskısını artıracak ve yenilerini getirecektir. Gelecekte, Avrupalı yetkililerin büyük ABD şirketlerini ve küresel şirketleri GDPR ihlallerinden sorumlu tutması bekleniyor. Atlantik genelinde, 'büyük veri' şirketleri (toplasalar da satsalar da) verileri nasıl topladıkları, kullandıkları ve korudukları konusunda incelemeye tabi olacak. Artan düzenleyici baskıların ağırlığı altında, endüstri kuruluşları yetkililerden çeşitli siber güvenlik düzenlemelerini uyumlu hale getirmelerini isteyecektir.
- Bilgisayar korsanları, altında faaliyet gösteren işletmelere saldırmaya hazırŞeylerin Internet (IOT), özellikle küresel şirketlere hizmet sağlayan küçük ve orta ölçekli işletmeler.
2018'de küresel işletmeler, kullanımında artan karmaşıklıklarla karşı karşıya kalacak.Şeylerin İnternet, üçüncü taraf risk yönetimi ile ilgili. Rapor, büyük işletmelerin küçük tedarikçilerine veya yüklenicilerine yöneltilen ve ağlarına sızmak için IoT'yi hedef alacak saldırılardan etkileneceğini ve bunlara meydan okunacağını öngörüyor. Bu, bir yandan kurumları üçüncü taraf risk yönetimine yaklaşımlarını gözden geçirmeye yönlendiren bir uyandırma çağrısı olacak ve diğer yandan küçük ve orta ölçekli işletmeleri daha iyi güvenlik önlemleri uygulamaya zorlayacaktır. iş kayıplarına uğramak.
- Parolaların kırılmaya devam etmesi ve biyometrik tanıma sistemlerinin atlanması, çok faktörlü kimlik doğrulama sistemlerinin önemini artıracaktır.
Şirketler, parolaların ötesinde, yüz tanımadan parmak izlerine kadar yeni kimlik doğrulama yöntemleri sunuyor. Bununla birlikte, bu teknolojiler hala savunmasızdır ve bu nedenle Aon Raporu, yeni bir şirket dalgasının parolalara yönelik saldırılara ve biyometrik sistemlere yönelik saldırılara karşı koymak için çok faktörlü kimlik doğrulamayı benimseyeceğini öngörüyor. İnsanlar daha sonra kimlik doğrulama cihazına birden fazla bilgi sağlamak zorunda kalacaklar. Bu nedenle davranışsal biyometrinin artan bir şekilde kullanılması beklenmektedir.
- Bilgisayar korsanları, sadakat puanlarını para birimi olarak kullanan işlemleri hedefleyerek 'hata ödülü' programlarının, yani sistem veya cihaz güvenlik açıklarını izleyen ve rapor eden herkese adanmış şirketler tarafından teşvik edilen ödül programlarının yaygın kullanımını teşvik edecek.
Teknoloji, devlet, otomotiv ve finansal hizmetler sektörlerinin dışındaki şirketler de güvenlik sistemlerine 'bug bounty' platformlarını dahil edecek. Suçlular, para birimi olarak sadakat puanlarını kullanan işlemleri hedefledikçe, ödüller ve ödüller sunan sadakat programlarını benimseyen işletmeler (havayolları, perakendeciler ve otel zincirleri gibi) yeni program benimseme dalgası 'hata ikramiyesine' katkıda bulunacaktır. Yeni şirketler bu programları benimserken, programların yanlış yapılandırılması nedeniyle yeni risklerin ortaya çıkmasını önlemek için dışarıdan uzmanların desteği alınacaktır.
- Fidye yazılımı saldırıları daha hedefli hale gelecek; kripto para birimleri fidye yazılımının genişlemesine katkıda bulunacak.
2018'de fidye yazılımı saldırganları taktiklerini değiştirecek. Rapor, DDoS (Dağıtılmış Hizmet Reddi) saldırılarını başlatmak için tasarlanmış yazılımlar gibi çeşitli "iyi huylu" kötü amaçlı yazılım biçimlerini kullanan bilgisayar korsanlarının, bir şirketin hizmetlerini, verilerini veya kaynaklarını belirli bir süre için kullanılamaz hale getiren şirket sunucularına saldırılar gerçekleştirdiğini belirtir. kuruluş) veya binlerce sisteme reklam yaymak için - büyük fidye yazılımı saldırı dalgalarına neden olur. Mümkün olduğu kadar çok sistemi vurmaya yönelik "halı" saldırıları devam edecek olsa da, Rapor ayrıca belirli şirketleri hedef alan ve şifrelenmiş varlıkların değeriyle orantılı olarak fidye yazılımı ödemeleri talep etmeyi amaçlayan saldırılarda artış olduğunu tahmin ediyor. Kolluk kuvvetlerinin, örneğin bitcoin cüzdanları aracılığıyla saldırıları izleme konusundaki artan becerisine rağmen, kripto para birimleri fidye yazılımlarının gelişimini desteklemeye devam edecek.
- 'İçeriden bilgi alma riski', güvenlik açıklarını hafife alan şirketleri tehdit ederken, büyük saldırılar tamamen fark edilememektedir.
Şirketler 2017'de içsel riskleri azaltmak için proaktif stratejilere yeterince yatırım yapmadı ve bu fenomen 2018'de tekrar edecek. Aon Raporuna göre, güvenlik ve teknik kontroller alanındaki eğitim eksikliği, yeni çalışma eğilimleriyle (akıllı çalışma, dış danışmanlar, serbest çalışanlar) birleştiğinde, çalışanların neden olduğu saldırıların ve siber sorunların gerçek boyutunun ortadan kalkacağı anlamına gelecektir. kamu malı olmak. Pek çok şirket, 'kapalı kapılar ardında' olaylara tepkisel olarak yanıt vermeye devam edecek ve içeriden öğrenilen riskin kuruluşları üzerindeki gerçek maliyetinden ve etkisinden habersiz kalacaktır.
Aon Cyber Solutions CEO'su Jason J. Hogg “2017'de siber saldırganlar farklı kaldıraçlar kullanarak önemli hasarlar yarattı. Kimlik avı seçim kampanyalarını etkileyen, küresel ölçekte sistemlere sızan 'fidye yazılımı kripto solucanlarına' kadar. 2018'de, artan teknoloji kullanımı ve maddi olmayan varlıkların artan değeri göz önüne alındığında, şirketler giderek daha fazla siber riske maruz kalacak. Bu nedenle, hem kurum kültürü hem de risk yönetimi politikaları dahilinde, tüm şirket fonksiyonlarında riski değerlendirmeyi ve azaltmayı mümkün kılan entegre bir siber güvenlik yaklaşımı benimsemek gerekli olacaktır”.
Aon SpA ve Aon Hewitt Risk&Consulting'in CEO'su Enrico Vanin şu yorumu yaptı: "İtalya'da çoğu şirket siber saldırıların iş üzerindeki etkisinin farkındadır, ancak hala risk değerlendirmesi ve sigorta piyasasına transfer için yeterli stratejileri benimsemiş olan çok az erdemli şirket var. Veri koruma sorumluluğu üzerindeki etkileriyle birlikte Mayıs ayında yürürlüğe girecek olan GDPR, şirketlerin güvenlik açıklarını değerlendirmelerini ve ortak bir siber risk politikası yönetimi benimsemelerini bir dereceye kadar gerektirecek bir araç olacaktır. Sigorta piyasası ise yeni ürün ve çözümler geliştirerek yeni ihtiyaçlara cevap vermeye çağrılıyor” dedi.
