Rosnące wymagania ze strony ubezpieczycieli od ryzyk cybernetycznych

W ciągu ostatnich dwóch lat rynek ubezpieczeń od ryzyk cybernetycznych zyskał spore zainteresowanie ze strony wielu firmy. Jednak rosnące koszty i malejącą rentowność ubezpieczycieli powoduje, że rosną wymagania stawiane CISO przez firmy ubezpieczeniowe, w tym w obszarze zwiększenia możliwości identyfikacji sprawców cyberataków. Liczba i powody ataków na firmy, doprowadziły, że niektórzy ubezpieczyciele ogłosili nawet, że nie będą pokrywać ataków za którymi stały grupy hakerskie sponsorowane przez państwa, w tym powszechnie znany rynek ubezpieczeń specjalistycznych Lloyd's. Temat zakresu atrybucji identyfikacji sprawców ataku i negocjowanie odpowiednich zapisów w umowach ubezpieczeniowych staje się kolejnym wyzwaniem, przed którym stają CISO.

Solidne podstawy

Bycie CISO nigdy nie było prostym zadaniem, ale codzienność osób zajmujących się bezpieczeństwem staję jeszcze bardziej skomplikowana.  Coraz bardziej wyrafinowane ataki, niedobór zasobów, wyzwania związane ze skuteczną komunikacją z zarządem i wymagające czynniki regulacyjne, takie jak NIS2 w UE, który obejmuje wymóg zgłaszania w ciągu 24 godzin incydentów, które mogą wywołać poważne skutki finansowe, zakłócenia w działalności operacyjnej, czy mieć wpływ na podmioty trzecie.

Mając do czynienia z tyloma aspektami, ważne jest, aby CISO mieli jasną wizję tego, co chronią. Pytania takie jak "gdzie są dane?", "kto uzyskuje do nich dostęp?", "z jakich aplikacji korzysta organizacja?", "gdzie i co znajduje się w chmurze?" będą nadal zadawane, a nadrzędną potrzebą jest uczynienie zarządzania funkcją bezpieczeństwa bardziej elastycznym i prostszym dla użytkownika. Ta widoczność będzie miała wpływ na szybsze podejmowanie decyzji i mniejsze obciążenie, w kontekście dopasowania i odpowiedzi na wymogi prawne, więc korzyści z zadawania tych pytań są oczywiste.

Jak będzie rozwijać się strategia Zero Trust

Pojęcie Zero Trust funkcjonuje od 2009 roku. Od tego czasu termin jest dość swobodnie używany przez różnych dostawców rozwiązań cyberbezpieczeństwa - z różnym stopniem dokładności. Wdrożenie Zero Trust, choć jest najbezpieczniejszym podejściem, jakie może przyjąć firma, może zająć nawet kilkanaście miesięcy i wymagać wielu nakładów pracy oraz cierpliwości od zaangażowanych stron. Z naszych interakcji jasno wynika, że wielu CISO boryka się z trudnościami już na samym etapie rozpoczęciu tego procesu. 

Ponieważ koncepcja Zero Trust zasadniczo odwraca tradycyjne podejście do bezpieczeństwa, od ochrony firmy wyłącznie przed zagrożeniami zewnętrznymi, do pełnego spektrum - ochrona poszczególnych zasobów przed wszystkimi zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi. Jest to szczególnie trudne w przypadku średnich i większych przedsiębiorstw, które muszą liczyć się z rozproszonymi oddziałami, wieloma decydentami czy liniami biznesowymi.

Jednym z kroków do pomyślnego wdrożenia Zero Trust jest ustanowienie właściwego nadzoru nad kwestiami cyberbezpieczeństwa, uzgodnionego z odpowiednimi interesariuszami oraz stworzenie procedur zapewniających właściwą komunikację. W trakcie tworzenia mechanizmów nadzoru dla różnych grup odbiorców warto również spojrzeć na całościowy stan infrastruktury IT i oraz możliwości jej modernizacji.

Ransomware i jak sobie z nim radzić

Ransomware wciąż pozostaje jednym z głównych zagrożeń z którymi mierzą się CISO. Popularność tej formy ataku, a także jej nieprzewidywalność (kto/kiedy/jak) powoduje, że organizacje są pod stałą presją. Decyzje regulatorów związane z legislacją, która nakłada na organizacje obowiązek ujawniania płatności związanych z okupem, są kolejnym zadaniem który spadnie na barki osób odpowiedzialnych za cyberbezpieczeństwo. 

Oprócz podejmowania działań i wprowadzania rozwiązań mających na celu uniknięcie lub złagodzenie efektów ataków ransomware, CISO wraz ze swoimi zarządami muszą stworzyć schemat postępowania w kwestiach potencjalnych płatności okupu na rzecz hakerów; kto podejmuje taką decyzję, kto autoryzuje płatność, w jaki sposób i kto odpowiada za zaraportowanie takiego wydarzenia.

Zmiana postrzegania cyberbezpieczeństwa wśród pracowników

CISO od dawna podkreślają potrzebę poprawy świadomości bezpieczeństwa wśród pracowników, którą często uzasadniają wynikami przeprowadzonych wśród personelu symulowanych ataków phishingowych. Debata o skuteczności tego podejścia rozgorzała w obliczu publikacji wniosków z zakrojonego na szeroką skalę badania przeprowadzonego przez wydział informatyki ETH Zurich. Badanie wykazało, że tego typu szkolenia mogą mieć nieoczekiwane skutki, które sprawiają, że pracownicy są bardziej podatni na ataki phishingowe zamiast zwiększać ich odporność.
 
Aby osiągnąć naprawdę skuteczną zmianę w podejściu do bezpieczeństwa, konieczna jest zmiana kultury organizacyjnej. Oznacza to, że każda osoba w organizacji powinna mieć poczuwać się do odpowiedzialności w zapewnieniu bezpieczeństwa cyfrowego. Pomocne może być przyjrzenie się procesom czy koncepcjom wypracowanym w branżach wysokiego ryzyka (np. górnictwo, branża produkcyjna czy budowlana), gdzie wymaga się od pracowników współodpowiedzialności za bezpieczeństwo swoich zespołów. W 2023 roku CISO będą dążyć do identyfikowania i rozwoju czempionów w różnych obszarach biznesowych i dzięki temu stworzenia trwałej, skutecznej kultury bezpieczeństwa.

Rezygnacje, rekrutacja i utrzymanie pracowników

W 2022 roku dyskusje koncentrowały się na tym, jak przygotować się na "wielką rezygnację" i zapobiec odejściom pracowników w obliczu pracy zdalnej. Jednak w ciągu ostatniego roku rozmowy skupiły się na tym jak wspomóc proces rekrutacji oraz utrzymania kluczowych pracowników, dzięki zdalnemu środowisku, które zapewnia efektywną pracę.
 
Wraz z przejściem na pracę zdalną, potrzeba skutecznych praktyk bezpieczeństwa stała się jeszcze ważniejsza. Jednak nadmiernie restrykcyjne polityki bezpieczeństwa, uciążliwe środki bezpieczeństwa oraz ograniczenia dostępu do zasobów i narzędzi będą negatywnie wpływały na produktywność pracowników i obniżały motywację, a jednocześnie zniechęcały do stosowania się do zasad bezpieczeństwa.

 W rezultacie CISO stają przed wyzwaniem zrównoważenia potrzeby silnego bezpieczeństwa z potrzebą zapewnienia elastycznego środowiska przyjaznego użytkownikowi. Rozwiązaniami, które mogą pomóc sprostać temu wyzwaniu mogą być chociażby uwierzytelnianie bezhasłowe oparte o analizę kontekstu i ryzyka. Znalezienie przestrzeni, która pogodzi wydajność operacji biznesowych oraz wymogi bezpieczeństwa zapewni organizacji sukces w dłuższej perspektywie. 

MFA – nowe pole dla cyberprzestępców

Cyberprzestępców nie zniechęcają coraz to nowsze metody zabezpieczeń wprowadzanych przez firmy, zawsze szukają nowych form ataków i sposobów na oszukanie użytkowników. W ostatnich latach pojawił się nowy rodzaj ataku, wykorzystujący nieuwagę pracowników i powiadomienia „push”. Ataki te występują w dwóch odmianach: push harassment i push fatigue. Nękanie powiadomieniami push (tzw. push harassment) polega na bombardowaniu użytkownika wieloma następującymi po sobie powiadomieniami i w końcu do wymuszenia akceptacji fałszywej próby logowania.

Drugi sposób wykorzystywany przez cyberprzestępców bazuje na przyzwyczajeniu i dużym zaufaniu użytkowników do korzystania z MFA, a jednocześnie zmęczeniem powiadomienia push (push fatigue). Przestępcy liczą, że użytkownik zaakceptuje powiadomienie bez zapoznania się z jego treścią, nie spodziewając się podejrzanej aktywności hakerów.

Biorąc pod uwagę rosnące obawy dotyczące uwierzytelniania push, CISO starają się zaktualizować swoje rozwiązania bezpieczeństwa i wprowadzić nowe metody uwierzytelniania w celu zwalczania tego zagrożenia. Jednym z potencjalnych rozwiązań jest przejście na uwierzytelnianie oparte na ryzyku, które uwzględnia szereg czynników kontekstowych, takich jak lokalizacja, urządzenie i zachowanie, w celu określenia poziomu ryzyka związanego z daną próbą logowania. Ponadto CISO będą musieli nadać priorytet edukacji użytkowników, podkreślając ryzyko związane z powiadomieniami push.
.

Zależność od stron trzecich

Zmiany regulacyjne w Wielkiej Brytanii i UE powodują, że organizacje znajdują się pod większym naciskiem w zakresie zgodności z rozporządzeniami, a także realizują postanowienia dotyczące raportowania wobec innych podmiotów na rynku. Wyższy poziom operacyjnej odporności cyfrowej ma przełożyć się na bezpieczeństwo i stabilność ekonomiczną rynków. 

Zespoły cyberbezpieczeństwa będą uzyskiwały od stron trzecich informacje dotyczących ich stanu bezpieczeństwa, ale muszą być również przygotowani na otrzymywanie zapytań od o stan ich organizacji. Kluczowe znaczenie ma uzyskanie bardziej szczegółowego wglądu w bezpieczeństwo stron trzecich, udokumentowanie go i skuteczne przekazanie.

Patrząc na dziewięć najważniejszych tematów związanych z bezpieczeństwem w 2023 roku, widzimy kilka powtarzających się tematów, takich jak potrzeba poprawy interakcji bezpieczeństwa z użytkownikami i nadążania za zmianami cyfrowymi. Inne tematy dotyczą stopniowych zmian w obecnych możliwościach, takich jak dostosowanie MFA do radzenia sobie z wyzwaniami z technologią push. Jednak jednym z najgorętszych tematów stała się kwestia roli i osobistej odpowiedzialności CISO. 

Podsumowując, dziewięć najważniejszych tematów związanych z cyberbezpieczeństwem dla osób IT obejmuje:

1. Wzrost popularności pracy hybrydowej oraz potrzeba poprawy świadomości bezpieczeństwa i szkoleń dla pracowników zdalnych.
2. Rosnące zagrożenie atakami ransomware i potrzeba proaktywnych środków, aby im zapobiegać.
3. Pojawienie się nowych wyzwań związanych z MFA opartych na uwierzytelnianiu push.
4. Zwiększenie regulacji i zgodności w zakresie cyberbezpieczeństwa, ze szczególnym uwzględnieniem raportowania interakcji i zależności pomiędzy różnymi stronami trzecimi.
5. Znaczenie ochrony danych i prywatności w obliczu rosnącej liczby naruszeń danych i obaw o prywatność.
6. Rosnące zagrożenie atakami socjotechnicznymi oraz potrzeba poprawy świadomości i edukacji użytkowników.
7. Potrzeba ulepszonych praktyk zarządzania podatnościami w celu przeciwdziałania rosnącej liczbie cyberzagrożeń.
8. Pojawienie się nowych technologii, takich jak sztuczna inteligencja i rozwiązania bezpieczeństwa oparte na chmurze, oraz potrzeba dostosowania się do tych zmian.
9. Rosnąca presja na CISO oraz potrzeba wsparcia osobistego i zawodowego, aby sprostać wymaganiom związanym z tą rolą.

Aby upewnić się, że organizacja jest dobrze przygotowana na te wyzwania, ważne jest, aby skonsultować się z ekspertem ds. cyberbezpieczeństwa. Zaplanuj spotkanie już dziś, aby omówić swoje potrzeby w zakresie cyberbezpieczeństwa i opracować spersonalizowany plan, który zapewni bezpieczeństwo Twojej organizacji.