根据 2018 年版 网络安全预测报告 怡安的网络解决方案专家意识到,网络攻击对业务各个方面的威胁越来越大,而且其频率和范围不断扩大,这将迫使公司实施新措施来解决“整体”网络风险,将它们充分整合纳入风险管理政策。
Il 2018 年网络安全预测报告 表明将发生哪些重大变化,这些变化恰恰源于网络攻击规模和影响的增加,以及公司在网络安全领域被要求承担的更大责任。
《2018年网络安全预测报告》主要亮点:
- 公司将制定“独立”的保险政策,因为董事会和高管将更加了解他们在网络领域的责任.
由于董事会成员和高管亲身经历了网络攻击的影响,包括利润减少、业务中断以及针对董事和经理的诉讼,公司将越来越多地诉诸量身定制的保险政策来应对网络风险,而不是依靠沉默其他政策的组成部分。 此外,网络政策的采用将远远超出传统上制定这些政策的部门——例如零售、金融和医疗保健——并将涉及其他容易受到网络相关问题造成的业务中断的部门,例如制造、运输、公用事业和石油。
- 首席风险官在管理网络风险方面发挥核心作用,随着现实世界和数字世界的融合,网络风险将越来越多地被视为业务风险.
随着高级网络攻击产生现实世界的后果,对业务运营的影响越来越大,高级管理人员将更加意识到网络风险的相关性。 2018 年,CRO 有望参与管理网络问题,与首席信息安全官 (CISO) 密切合作,帮助组织了解网络风险对业务的影响。
- 当局的注意力正在扩大到日益复杂的动态,产生了协调请求. 欧盟要求国际公司报告任何违反通用数据保护条例 (GDPR) 的行为; 在美国,大数据聚合商将接受审计。
2018年,国际、国家和地方当局将更加严格地应用现有的网络安全法规,并加大对企业执行规则的压力,同时引入新的规则。 未来,预计欧洲当局将追究美国和全球主要公司违反 GDPR 的责任。 在大西洋彼岸,“大数据”公司(无论是收集还是出售数据)将在收集、使用和保护数据的方式上受到审查。 在日益增长的监管压力下,行业组织将要求当局协调各种网络安全法规。
- 黑客准备攻击活跃在物联网(IOT),尤其是为全球公司提供服务的中小企业。
2018 年,全球企业在使用物联网,涉及第三方风险管理。 该报告预测,大型企业将受到针对其小型供应商或承包商的攻击的打击和挑战,这些攻击将以物联网为目标渗透到他们的网络中。 这将敲响警钟,一方面促使企业重新审视其第三方风险管理方法,另一方面将推动中小企业实施更好的安全措施,以免遭受商业损失。
- 密码的持续破解和生物特征识别系统的绕过将增加多因素身份验证系统的重要性。
除了密码之外,公司还引入了新的身份验证方法——从面部识别到指纹。 然而,这些技术仍然很脆弱,因此,怡安报告预测,新一波公司将采用多因素身份验证来应对密码攻击和生物识别系统攻击。 然后,人们将不得不向身份验证设备提供多条信息。 因此,预计会越来越多地使用行为生物识别技术。
- 黑客将针对使用忠诚度积分作为货币的交易,从而刺激“漏洞赏金”计划的广泛使用,即由致力于追踪和报告系统或设备漏洞的人推广的奖励计划。
技术、政府、汽车和金融服务行业以外的公司也将在其安全系统中引入“漏洞赏金”平台。 由于犯罪分子以使用忠诚度积分作为货币的交易为目标,采用提供奖励和奖励的忠诚度计划的企业(例如航空公司、零售商和连锁酒店)将促成新一波计划采用“漏洞赏金”。 新公司在采用这些程序时,会寻求外部专家的支持,避免因程序配置不当而出现新的风险。
- 勒索软件攻击将变得更有针对性; 加密货币将有助于勒索软件的扩展.
2018年,勒索软件攻击者将改变策略。 该报告指出,黑客使用各种形式的“良性”恶意软件——例如旨在发起 DDoS(分布式拒绝服务)攻击的软件——攻击公司服务器,使公司的服务、数据或资源在一段时间内不可用组织)或在数千个系统上传播广告——将导致大规模的勒索软件攻击浪潮。 虽然攻击尽可能多的系统的“地毯式”攻击将继续,但该报告还估计,针对特定公司的攻击将会增加,目的是要求勒索软件支付与加密资产价值成比例的费用。 加密货币将继续支持勒索软件的发展,尽管执法机构追踪攻击的能力有所增强,例如通过比特币钱包。
- “内部风险”威胁着低估自身脆弱性的公司,而重大攻击却完全未被发现。
公司在 2017 年没有足够的投资来降低内部风险的主动战略,这种现象将在 2018 年重演。 根据怡安报告,缺乏安全和技术控制领域的培训,再加上新的工作趋势(智能工作、外部顾问、自由职业者),将意味着员工造成的攻击和网络问题的实际程度不会在公共领域。 许多公司将继续对“闭门造车”的事件作出反应,并且仍然没有意识到内部风险对其组织的真正成本和影响。
Aon Cyber Solutions 首席执行官 Jason J. Hogg 他说:“2017 年,网络攻击者使用不同的手段造成了重大破坏,从 钓鱼 从影响选举活动到在全球范围内渗透系统的“勒索软件加密蠕虫”。 鉴于技术使用的增加和无形资产价值的增长,2018 年公司将越来越多地面临网络风险。 因此,有必要在企业文化和风险管理政策中采用综合的网络安全方法,这使得评估和减轻所有公司职能的风险成为可能”。
Aon SpA 和 Aon Hewitt Risk&Consulting 首席执行官 Enrico Vanin 他评论说:“在意大利,大多数公司都意识到网络攻击对业务的影响,但仍然很少有良心公司已经采取适当的风险评估策略并将其转移到保险市场。 将于 XNUMX 月生效的 GDPR 及其对数据保护责任的影响,将在一定程度上成为要求公司评估其脆弱性并确定采用共享网络风险政策管理的工具。 另一方面,保险市场需要通过开发新产品和解决方案来应对新需求。”
