23 июня 2022 г.

Оценка работы руководителей организаций будет всё больше исходить из их способности справляться с киберрисками, говорит Gartner. В ближайшие три года почти треть стран мира введут регулирование в плане реагирования на атаки вымогателей, а консолидация платформ кибербезопасности поможет организациям успешно работать во всё более неблагоприятной цифровой среде.

Ричард Аддискотт (Richard Addiscott), старший директор-аналитик, и Роб Макмиллан (Rob McMillan), управляющий вице-президент Gartner, представили главные прогнозы в области кибербезопасности, чтобы помочь директорам по ИБ и управлению рисками обеспечить успешную работу организаций в сегодняшнем цифровом мире.

«Мы не можем следовать прежним привычкам и продолжать делать всё так же, как и раньше, — пишет в пресс-релизе Аддискотт. — Большинство руководителей по ИБ и управлению рисками теперь понимают, что от катастрофы нас отделяет лишь один потенциальный кризис. Мы не можем ему воспрепятствовать, но можем изменить наш образ мышления, нашу философию, программу и нашу архитектуру».

Gartner рекомендует руководителям служб ИБ учесть сделанные прогнозы при стратегическом планировании на ближайшие два года.

  • К исходу 2023 года государственные директивы, требующие от организаций обеспечить права потребителей на неприкосновенность частной жизни, будут распространяться на 5 миллиардов человек и более 70% мирового ВВП.

По состоянию на 2021 год, почти 3 миллиарда потребителей в 50 странах обладали правом на неприкосновенность частной жизни, и регулирование в этой области продолжает расширяться. Gartner рекомендует организациям отслеживать метрики запросов прав субъектов, в том числе стоимость каждого запроса и время его выполнения, чтобы выявить неэффективность и обосновать ускоренную автоматизацию.

  • К 2025 году 80% организаций примут стратегию единого доступа к Web, облачным услугам и частным приложениям через платформу SSE одного поставщика.

В условиях гибридной модели персонала и доступа к данным откуда/с чего угодно вендоры предлагают интегрированное решение Security Service Edge (SSE*), обеспечивающее согласованный, простой способ веб-доступа и защиты частных и SaaS-приложений. Такие решения от одного вендора обеспечивают высокую эффективность использования и действенность защиты по сравнению с лучшими точечными решениями, что выражается в более тесной интеграции, сокращении количества административных консолей и точек, где данные дешифруются, проверяются и вновь шифруются.

  • К 2025 году 60% организаций внедрят принципы нулевого доверия в обеспечении кибербезопасности, но более половины не смогут реализовать преимущества этой модели.

Термин «нулевое доверие» сейчас превалирует в маркетинге вендоров ИБ и рекомендациях государственных органов. Как подход к ИБ эта концепция чрезвычайно эффективна: вместо полного доверия вводится модель рисков, исходящая из идентифицирующей информации и контекста. Но поскольку такая концепция становится также организационной стратегией, реализация ее преимуществ требует перемен в корпоративной культуре и ясной коммуникации с привязкой к деловым результатам.

  • К 2025 году для 60% организаций риски кибербезопасности станут главным фактором, определяющим осуществление транзакций и делового взаимодействия с третьими сторонами.

Кибератаки, связанные с контрагентами, нарастают, но лишь 23% руководителей служб ИБ и управления рисками отслеживают в реальном времени их деятельность на предмет таких рисков, говорит Gartner. Как следствие опасений потребителей и внимания регуляторов, организации начнут рассматривать риски кибербезопасности как один из определяющих факторов при ведении бизнеса с третьими сторонами, что будет варьироваться от простого мониторинга поставщика критически важных технологий до полной процедуры due diligence при слияниях и покупках бизнеса.

  • К исходу 2025 года 30% стран мира примут законы, регулирующие штрафы, а также возможную выплату выкупа и переговоры с вымогателями. В 2021 году таких стран было менее 1%.

Сегодняшние банды вымогателей не только крадут данные, но и шифруют их. Решение о том, платить выкуп или нет, принимается руководством организации, а не отделом ИБ. Прежде, чем вступать в переговоры, Gartner рекомендует привлечь профессиональную команду реагирования на ИБ-инциденты, а также правоохранительные и регулирующие органы.

  • К 2025 году акторы атак смогут превратить среду эксплуатационной технологии в оружие, способное привести к человеческим жертвам.

Атаки на OT — аппаратные средства и ПО, осуществляющие мониторинг и/или управление оборудованием, активами и процессами — стали более распространенными и разрушительными. В среде эксплуатационной технологии руководители ИБ и управления рисками должны уделить особое внимание реальным опасностям для людей и окружающей среды, и лишь затем — возможной краже информации, говорит Gartner.

  • К 2025 году 70% руководителей организаций будут ставить задачу сформировать культуру организационной устойчивости, которая позволит противостоять угрозам киберпреступности, мощных погодных аномалий, гражданских беспорядков и политической нестабильности даже при их наложении.

Пандемия COVID-19 показала, что привычное планирование непрерывности бизнеса не способно обеспечить реагирование на крупномасштабные проблемы. Учитывая вероятное сохранение проблем, Gartner рекомендует директорам по управлению рисками рассматривать организационную устойчивость как стратегический императив и выстроить общекорпоративную стратегию устойчивости, которая охватывает также персонал, заинтересованные стороны, клиентов и поставщиков.

  • К 2026 году в 50% организаций к руководителям высшего звена будут предъявляться требования, проистекающие из рисков и оговоренные в их контрактах о найме.

Согласно недавнему опросу Gartner, большинство советов директоров рассматривают сейчас кибербезопасность как бизнес-риск, а не просто техническую ИТ-проблему. В свете этого Gartner ожидает, что ответственность за нейтрализацию киберрисков официально перейдет от руководителя службы ИБ к высшему звену руководства.

* = SASE, периферийный сервис безопасного доступа

Источник: Пресс-служба компании Gartner