Мир регулирования, как известно, работает медленно, и обычно требуются годы, чтобы новые правила стали законом. Это понятно: когда речь идет о законах, которые затрагивают миллионы людей и могут изменить аспекты нашей жизни, необходим максимальный контроль.
Однако этому подходу бросают вызов все более быстро развивающиеся киберугрозы. Поскольку киберпреступники продолжают совершенствовать свои атаки, чтобы максимизировать прибыль и нанести еще больший ущерб, правительства вынуждены реагировать и стимулировать изменения с помощью новых структур и политик, которые вынуждают организации внедрять более высокие стандарты безопасности.
Нормативные акты играют важную роль в формировании стратегий безопасности и повышении стандартов безопасности. Учитывая масштабы и стоимость вызванных ими нарушений, атаки программ-вымогателей вызывают особую озабоченность правительств во всем мире. Законы, регулирующие то, как организации защищают, реагируют и сообщают об атаках с программами-вымогателями, призваны укрепить нашу национальную киберзащиту и сдержать злоумышленников.
Это следует приветствовать; Однако изменения требуют времени, и соблюдение требований не является самоцелью. Организациям также следует взять дело в свои руки, чтобы оставаться на шаг впереди в активном смягчении угроз, а не ждать, пока будет достигнут необходимый минимум.
Генеральный директор и основатель BlackFog.
Меняющаяся нормативно-правовая база
К концу прошлого года в отчете правительства Великобритании программы-вымогатели были названы национальной угрозой и говорилось о высоком риске «катастрофической» атаки. Учитывая масштаб угроз, с которыми мы сталкиваемся сегодня, в мае правительство объявило о предложениях об обязательном сообщении о программах-вымогателях и возможном лицензионном соглашении до того, как жертвы потребуют выкуп.
Поскольку атаки программ-вымогателей теперь являются проблемой национальной безопасности, угрозы критической инфраструктуре обычно вызывают самую быструю реакцию со стороны правительств. Например, после атаки программы-вымогателя Colonial Pipeline правительство США выпустило руководящие принципы, предписывающие повысить требования к безопасности для операторов трубопроводов, создав прецедент для других секторов.
Однако сбои, вызванные зашифрованными системами, — это только часть истории. Поскольку злоумышленники уделяют большое внимание утечке данных, миллионы людей подвергаются риску того, что их личные данные будут куплены и проданы преступными группировками в даркнете.
Соответственно, в недавних нормативных актах повышенное внимание уделяется защите данных. Последнее предложение по Американскому закону о правах на конфиденциальность (APRA) сосредоточено на уведомлении об утечке данных, правах потребителей и строгих механизмах обеспечения соблюдения. APRA стремится объединить законы разных штатов в комплексный федеральный стандарт, который окажет существенное влияние на то, как компании обрабатывают и защищают данные.
APRA предлагает ряд мер контроля конфиденциальности потребителей, аналогичных тем, которые предусмотрены в GDPR, в сочетании с более строгими обязательствами предприятий по защите данных. К ним относятся требования по выявлению уязвимостей, тестированию систем и улучшению обучения сотрудников протоколам безопасности.
Поскольку риски для компаний, которые не могут должным образом защитить свои системы и данные, возрастают, нормативные изменения также ставят действия руководителей в центр внимания. Акцент на индивидуальной подотчетности и ответственности является растущей тенденцией, поскольку директора по информационной безопасности и другие лица, принимающие решения, рискуют понести личную ответственность в случае серьезных нарушений. Новая позиция Комиссии по ценным бумагам и биржам США в отношении раскрытия информации о безопасности требует сообщать об инцидентах в течение четырех дней и возлагает на директоров по информационной безопасности ответственность за обеспечение этого. В знаковом деле Комиссия по ценным бумагам и биржам обвинила директора по информационной безопасности SolarWinds в мошенничестве и сбоях внутреннего контроля, связанных с печально известным нарушением цепочки поставок программного обеспечения компании.
Сотрудничество – ключ к эффективному регулированию
Британские директора, вероятно, отнесутся к этому развитию событий с беспокойством, и, учитывая глобальный характер тенденций в области безопасности, мы должны отметить серьезные изменения в регулировании по обе стороны Атлантики. Общим знаменателем является то, что для того, чтобы быть эффективными, регулирование должно быть реалистичным и достижимым для бизнеса. Правительства и регулирующие органы могут создавать более эффективные правила, работая с отраслевыми экспертами для понимания практических ограничений и возможностей. Упрощение процессов обеспечения соответствия и предоставление четких и практических рекомендаций может помочь обеспечить, чтобы нормативные требования повышали безопасность, а не препятствовали ей.
Для достижения этой цели необходимы консультации с отраслевыми экспертами при разработке правил кибербезопасности. Нормативы с большей вероятностью будут соблюдаться, если они основаны на практических выводах отраслевых экспертов. Работа с экспертами по безопасности также гарантирует, что политики не только осуществимы, но и эффективны против текущих угроз.
Не менее важным является межсекторальное сотрудничество, позволяющее обмениваться передовым опытом и инновационными решениями между лицами, принимающими решения в различных областях, а также между государственным и частным секторами. Это особенно важно, поскольку группы угроз используют одну и ту же тактику в разных секторах. Работая вместе, правительства и отрасли могут уделять приоритетное внимание защите данных и повышать устойчивость к разрушительным атакам.
Стратегии повышения устойчивости
Компании должны тщательно проверять свои меры безопасности данных на предмет соответствия правовым и отраслевым нормам. Однако соблюдение этих правил следует рассматривать как минимальный стандарт, а не как конечную цель.
Им следует активно реализовывать стратегии повышения устойчивости, а не ждать, пока правила сделают это обязательным. Это включает в себя внедрение многофакторной аутентификации (MFA), проведение регулярных проверок безопасности для выявления уязвимостей, а также внедрение функций для обнаружения вредоносного поведения и предотвращения утечки данных. Обучение сотрудников передовым методам кибербезопасности также имеет решающее значение.
Поскольку злоумышленники стремятся украсть данные, мониторинг исходящего трафика является одним из наиболее важных уровней любой стратегии кибербезопасности, позволяющей остановить кражу данных до того, как что-либо покинет систему.
Однако мы часто обнаруживаем, что компании настолько сосредоточены на поиске признаков внешних угроз, что упускают то, что происходит. А поскольку у них нет эффективного мониторинга, они не знают достаточно, чтобы понять, есть ли у них вообще проблема с кражей данных.
Это похоже на то, что произошло в разгар пандемии COVID, когда страны заявили, что у них низкий уровень заражения, потому что они не проводили активное тестирование. Многие компании уверены в своих стратегиях, потому что они смотрят не в то место, чтобы понять, что у них может быть проблема.
Предотвращая взлом систем с помощью строгого контроля доступа и предотвращая выход конфиденциальных данных из сети с помощью таких мер, как защита от кражи данных (ADX), компании могут избежать необходимости вести переговоры с злоумышленниками или попадания своих данных в темную сеть. Между тем, группы угроз будут искать более легких и менее подготовленных жертв.
Поскольку правительства и регулирующие органы во всем мире все больше внимания уделяют процессам отчетности и защите данных, компаниям следует подготовиться к соблюдению большего количества требований в ближайшем будущем. Когда прозрачность и контроль доступа к системе и критически важным данным являются приоритетом, воздействие разрушительных атак снижается, и компании готовы удовлетворить требования регулирующих органов, поскольку законодатели принимают дальнейшие меры по укреплению нашей коллективной защиты.
Мы представили лучшее программное обеспечение для защиты конечных точек.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
