Obsah:
Na kybernetické útoky sa podniky zameriavajú znepokojivo. Hlavné porušenia v prípade Target v decembri 2013 a Neiman Marcus v januári 2014 poukázali na veľké nedostatky v nedostatkoch, ktoré má veľa maloobchodných predajní vo svojej bezpečnostnej infraštruktúre. Výsledkom je, že čoraz viac spoločností, veľkých i malých, pociťuje potrebu zvýšiť svoje úsilie a mať vyhradený bezpečnostný tím.
Podľa správy, ktorú zverejnili agentúry Reuters v máji 2014, sa veľké veľké spoločnosti, ako napríklad Pepsi a JPMorgan Chase & Co., púšťajú do hľadania nových hlavných dôstojníkov informačnej bezpečnosti (CISO) v snahe posilniť bezpečnostné praktiky. To sa odráža vo väčšej informovanosti o bezpečnosti a jej význame na výkonnej úrovni podniku.
CISO a vedúci pracovníci v oblasti kybernetickej bezpečnosti sú ponorení do bezpečnosti svojich technológií pre zamestnávateľa aj klienta, ale ich úlohy a zodpovednosti sú v očiach širokej verejnosti čoraz jasnejšie a naliehavejšie, nielen medzi bezpečnostnou komunitou.
„Pred piatimi rokmi informačná bezpečnosť sotva praskla na desiatich najväčších obavách správnych rád. Pred rokom to bolo č.2. Zaujímavé je, že teraz ide o bezpečnosť údajov a nielen o informačnú bezpečnosť, “ hovorí David Boehmer, regionálny riadiaci partner personálnej spoločnosti Heidrick & Zápasí vo videu YouTube od spoločnosti.)
Čo robí CISO
Úloha CISO môže byť pomerne široká a často sa ocitnú v rôznych klobúkoch. Úloha zahŕňa všetko od vnútornej bezpečnosti, ako napríklad správa bezpečnosti duševného vlastníctva, až po zodpovednosť za bezpečnosť zákazníka.
„Spolupracujem aj s naším tímom produktov a inžinierskym tímom pri implementácii funkcií, ktoré môžu byť pre kupujúcich zabezpečenia zaujímavé, “ hovorí Joan Pepin, CISO v spoločnosti Sumo Logic.
Zatiaľ čo porušenie cieľa minulý rok určite prinútilo veľa ľudí hovoriť, Pepin vysvetľuje, že ona nebola taká prekvapená - a ani väčšina z nich nebola súčasťou bezpečnostnej komunity. To však neznamená, že bezpečnostná komunita nemala „okamihy povodia“, kde všetci potrebovali posilniť svoju prácu vpred.
Porušenie RSA v roku 2011, v ktorom hackeri porušili servery spoločnosti informačnej bezpečnosti a ukradli autentifikačné tokeny, ktoré poskytovali prístup k citlivým vládnym a firemným údajom, malo veľa odborníkov v oblasti bezpečnosti. Ako by mohla bezpečnostná spoločnosť prepadnúť takýmto hackerom? Až o dva roky neskôr by sa táto obava presunula na cieľ, ktorý predtým preletel pod radarom: maloobchodní zákazníci. Útoky ako útoky z Target a Neiman Marcus zamerali pozornosť na bezpečnosť pre každodenných zákazníkov.
„Je zrejmé, že ak máte rozsiahlu maloobchodnú prevádzku s tisíckami a tisíckami zamestnancov, všetky tieto rôzne stránky, predajné automaty, je to najchudobnejší druh systému a skutočnosť, že k týmto typom útokov nedošlo druh stupnice skôr je pre mňa v skutočnosti trochu prekvapením, “povedal Pepin.
Tento problém pramení z toho, že bezpečnosť sa považuje za jednoducho začiarkavacie políčko pre spoločnosti, ktoré môžu zaškrtnúť a odísť, a nie byť neustále stráženým aspektom ich podnikania. To neznamená, že počítačoví zločinci sú laxní a môžu sa do nich len vojsť. Počítačoví zločinci sa v skutočnosti stávajú čoraz kvalifikovanejšími.
„Bolo to dosť sofistikované porušenie, schopné vydávať sa za agenta BMC, a tie druhy tajných vecí. Zapojiť sa do laterálnych pohybov v celej cieľovej sieti bolo dosť chytré, “ uviedol Pepin.
"Nechcem sa tým zbaviť, ale pokiaľ ide o ťažkosti s cieľom, žiadna úmyselná slovná hračka, nikdy by som neuviedol žiadny maloobchodný reťazec na zoznam tvrdých cieľov. Bezpečnostné spoločnosti sú tvrdými cieľmi, vláda je tvrdým cieľom." Niektorý maloobchodný reťazec, ktorého firma predáva ponožky, by som neočakával, že budú super bezpečným obchodom. ““
Krajina pre profesionálov v oblasti bezpečnosti
V júni 2014 si spoločnosť Target zamestnala svojho prvého CISO, Brada Maiorina, bývalého výkonného riaditeľa spoločnosti General Motors, ktorý bude dohliadať na revíziu bezpečnostných postupov spoločnosti.
Podniky bez ohľadu na svoju oblasť alebo veľkosť budú musieť vziať na vedomie a vylepšiť svoju bezpečnostnú hru v reakcii na neustále rastúce hrozby s väčšou informovanosťou a väčšou autoritou konať v prípade potenciálneho porušenia.
"Bolo jasné … v prípade Target sa generovali varovania, na ktoré nikto neodpovedal a že podľa mojich skúseností pochádzajúcich z riadenej bezpečnosti je mimoriadne typický, " uviedol Pepin.
„Najlepší systém detekcie narušenia na svete má stále veľmi vysokú falošne pozitívnu mieru, a tak sú respondenti v oblasti bezpečnosti v zásade vyškolení svojimi systémami, aby ignorovali svoje systémy. Existuje technologická medzera v ľudskej interakcii, kde sa prví respondenti znecitlivia k tisíckam varovania, ktoré dostanú, sú odpadky. V prípade Targetu boli nejaké náznaky, ktoré neboli sledované a ktoré by mohli pomôcť minimalizovať dopad oveľa skôr. ““
Ako sa často stáva, odborník v oblasti bezpečnosti nemôže okamžite konať v danej záležitosti, pretože potrebuje povolenie alebo súhlas niekoho iného vyššieho v hierarchii. Pepin hovorí, že sa to musí zmeniť a vysvetliť, že bezpečnostný tím spoločnosti musí mať väčšiu autonómiu a autoritu, aby mohol prevziať iniciatívu.
„Mám pocit, že je to stále otázka riadenia v tom, že hlavní úradníci pre informačnú bezpečnosť by sa nemali podávať hlásenia CIO, “ hovorí Tom Kellermann, hlavný úradník pre kybernetickú bezpečnosť v spoločnosti Trend Micro. „Mali by sa podávať správy priamo vedúcemu úradu pre riziká alebo generálnemu riaditeľovi.“ Tým sa vyradí veľa zo sprostredkovateľov a zabezpečí sa rýchlejšia reakcia na potenciálne núdzové situácie.
Pepin súhlasí s tým, že odborníci v oblasti bezpečnosti by sa mali „hlásiť priamo na vrchol“ vo svojej spoločnosti. „Mám to šťastie, že sa hlásim nášmu generálnemu riaditeľovi. Funguje to veľmi dobre a to by som skutočne odporučil každej organizácii, ktorá berie svoju bezpečnosť vážne.“
Iné rozpočty a bezpečnosť pre MSP
Najať si CISO a rozšíriť svoj bezpečnostný tím je v poriadku, ak máte rozpočet, ale čo menšie spoločnosti? Aj keď útok na malý reťazec alebo váš miestny hardvérový obchod nebude mať pre hackerov rovnaké výhody ako zásah do cieľa alebo Neiman Marcus, stále nie je múdre nechať sa akýmkoľvek spôsobom zraniteľným. Čo môžete urobiť pre zmiernenie rizika útoku? Pepin dôrazne odporúča prenajať si služby dodávateľa alebo konzultanta pre reakciu na incident.
„V prípade, že vás napadnú, máte niekoho, koho môžete volať, takže nemusíte otvoriť Google a začať hľadať, “ povedala.
To má z ekonomického hľadiska väčší význam pre menšiu spoločnosť, vysvetľuje, pretože podnik využije služby iba vtedy, keď sú potrebné. Tieto služby sa tiež mimoriadne špecializujú na vyhľadávanie tam, kde vaši zamestnanci odišli.
„Môžeš mať fantastický tím, ktorý bude triagovať s pochopením, že si pod útokom, ale nie je to presne taká istá sada zručností, ktorá je potrebná na to, aby sme na tento útok zareagovali, nasmerovali ich zo svojej siete a zhromaždili dôkazy spôsobom, ktorý môže byť používaný na súde. ““
Spoločnosti majú k dispozícii veľa zdrojov na boj proti počítačovej kriminalite. Nedávna história naznačuje, že ďalší veľký útok je hneď za rohom.
