Общ

IoT и кибер риск: Установяване на комуникация между CISO и мениджъра на риска


Бързо растящият свят на Интернет на нещата (IoT) направи възможни по-интелигентни домове, свързани автомобили и по-умни градове. Всичко това обаче носи технологичното развитие кибер риск с него.

На тазгодишната CES AIG и други експерти по риска обсъдиха как устройствата, предназначени за подобряване на живота и бизнес операциите, са ни направили по-уязвими кибер атаки по същото време.

Панелната дискусия, част от Изследователската среща на върха на Consumer Electronics 2019 (CES) в Лас Вегас, беше съставена от Glenn Gerstell, генерален съветник в Агенцията за национална сигурност (NSA), Lex Baugh, главен изпълнителен директор в North America General Insurance AIG, Caroline Krass , SVP и генерален съветник, генерално застраховане и заместник генерален съветник в AIG, Джон Ф. Мълън, партньор в Mullen Coughlin, Крис Мърфи, главен директор по поверителността и водещ съветник за глобалната киберсигурност и поверителност в General Motors.

Lex Baugh, главен изпълнителен директор в Северна Америка General Insurance AIG, започна сесията, като напомни на публиката как стоят нещата през 1997 г., когато беше издадена първата полица за киберзастраховане.

Тогава само 39 процента от американските домове са имали персонални компютри. Изминаха десет години преди първият iPhone да излезе на пазара. Оттогава ежедневният живот и бизнес операциите се променят експоненциално. Така че кибер рискът го направи.

Днешната реална експозиция на риск се промени и се среща навсякъде. Това е например в „превозни средства с автономни функции, със софтуер, който се актуализира за една нощ, който може вече да не е потребителски продукт, когато те винаги са свързани с фабриката“, каза Лекс Бау от AIG.

"По подобен начин рискът се променя, когато газовите турбини са сензорни до точката, в която всъщност можем да създадем цифров близнак на тази газова турбина и можем да я управляваме дистанционно от индустриална платформа за управление."

„Кибер рискът изобилства.“

"Самолетите пилотират сами. Между другото, те се справят доста добре. Доставката на последната миля е оптимизирана. Флотовете работят просто на телематика. Веригата на доставки е автоматизирана. Сградите и домовете ни казват, когато има наводнение. Пътуващите разчитат на цифрови портфейли. Студентите интерпретират етиката като стажанти за машинно обучение. А временните агенции за персонала използват носими устройства, за да предотвратят наранявания на работниците. - каза Лекс Бау.

Днес, 89 процента на предприятията имат планове да приемат или вече са приели дигитална първа бизнес стратегия за подобряване на ефективността на процесите и да отговорят и надхвърлят очакванията на клиентите. Изчислено е, че до 2020 г. 83 процента натоварванията на предприятията ще бъдат в облака, а не в помещенията.

Приемане на IoT и кибер атаки

Широкото глобално приемане на устройствата на Интернет на нещата (IoT) както на потребителско, така и на корпоративно ниво, несъмнено подобри безопасността, ефективността и удобството. "Основната сигурност обаче не е често характеристика на тези устройства", каза Лекс Бау.

„Основната сигурност не е често характеристика на тези устройства.“

От интелигентни домашни устройства като популярните цифрови гласови асистенти за производствени приложения като сензори които постоянно наблюдават състоянието на поточните линии, както потребителите, така и предприятията се включват все повече в интелигентен начин на живот.

Да, сигурността и поверителността все още са проблем. „Сигурността и поверителността продължават да бъдат бариера при приемането на продукти“, каза Кати Шийхан, EVP от потребителския живот в GfK на предишна панелна дискусия на CES 2019.

До 2020 г. изследователската фирма Gartner смята, че ще има 20,4 милиарда IoT устройства - без смартфони, таблети и компютри - и те ще работят самостоятелно, без особено участие или надзор от хората.

Обща загриженост обаче възниква от знанието, че въпреки IoT устройствата подобряват ежедневието и бизнес операциите, които въвеждат нови рискове за сигурността. Към това трябва да добавим липсата на сръчни експерти по сигурността, които да могат да се справят с борбата нарушения на сигурността.

"Почти 75 процента от всички IoT устройства са податливи на хакване. В същото време кибер атаките се увеличават."

Според AIG много производители пренебрегват дори основни функции за сигурност, като например уникални пароли, доставяни с устройства. Това е така, защото бързото пускане на пазара на продукти с по-ниска цена става приоритет.

Високопрофилно проучване на Hewlett Packard откри 25 уязвимости, включително слаби пароли и слаб софтуер за защита във всяко от 10 често срещани интелигентни устройства. Изследването заключава, че почти 75 процента от всички IoT устройства са податливи на хакване.

"В същото време кибер атаките се увеличават", каза Лекс Бо.

Освен това много Потребители на IoT или не знаят, че могат да направят устройствата по-сигурни, пренебрегват факта, че могат да бъдат хакнати, или просто не си правят труда да научат за основните мерки за сигурност, които могат да предприемат, за да защитят своите устройства и данни.

Според скорошно проучване на ИТ директорите и други вземащи решения в Обединеното кралство, 47 процента от потребителите не променят паролите по подразбиране в IoT устройства, свързани към техните мрежи. Следователно тези устройства се превръщат в лесна точка за достъп за кибер престъпници, които искат да проникнат или атакуват компютърна система.

Кибер-рискът представлява една от най-важните нишки пред предприятията днес

  • На много устройства липсва елементарна сигурност

  • 61% от малкия / средния бизнес са претърпели кибератака през 2017 г. - това са тези, за които знаем

  • 82 процента прогнозират, че незащитените IoT устройства ще доведат до нарушаване на данните

  • По-малко от половината специалисти по ИТ сигурност смятат, че могат да защитят своите организации

„Киберзащитата е отборен спорт.“

Тъй като киберпрестъпността продължава да нараства, Главни служители по информационна сигурност и мениджъри на риска трябва да започне разговор и сътрудничество. Партньорството между главния директор за информационна сигурност (CISO) и мениджъра на риска стана първостепенно. „Киберзащитата е колективен спорт“, каза Лекс Бо.

За да помогне в това, панелът представи и обсъди въпроси за мениджърите на риска, които да задават CISO, и въпроси за CISO, които да задават мениджъри на риска.

Въпроси за мениджърите на риска да задават CISO

  • Какви са нашите уникални уязвимости?

  • Как в момента се защитаваме?

  • Какво биха могли да ни струват нашите уязвимости?

Въпроси към CISO за управление на риска

  • Защо трябва да обмислим киберзастраховане?

  • Какво покрива киберзастраховката?

  • Как правният пейзаж променя IoT?

Разговорът между CISO и Risk Manager може да помогне на CISO да остане в предната част на променящия се пейзаж.

Не само CISO и риск мениджърите трябва да се включат в кибер защита разговор. Има и въпроси за други бизнес лидери които трябва да бъдат разгледани:

Qustions за други бизнес лидери

  • Бихме ли платили кибер откуп?

  • Какво ще струва на бизнеса, ако мрежата не работи за 1 ден, два дни или повече?

  • Как нашата система ще ни предупреди за заплаха?

  • Какви изисквания за отчитане се прилагат?

  • Имаме ли сигурни и сигурни резервни копия?

  • Какъв е процесът за оценка на състоянието на нарушението и неговото въздействие?

  • При какви условия на кибер атака бихме изключили сървърите от мрежовите мрежи?

  • Кои са нашите трети страни? Какви са отговорностите за уведомяване на всяка страна в случай на нарушение? Какво ниво на услуга очакваме от тях?

  • Каква е външната отговорност в дадения сценарий?

  • Свързваме ли се с правоприлагащите органи? Ако не, защо не?

  • Може ли ИТ да гарантира, че ако някои системи не работят, архивите са безопасни и сигурни? Изпробвали ли сме ги или можем да ги тестваме в безопасна среда преди възстановяване?

  • Ако сценарият е многонационален, знаем ли за чужди правила и разпоредби и готови ли сме да се съобразим?

Кой трябва да обсъди изчерпателен план за реагиране при инциденти в киберсигурността:

В обобщение, Интернет на нещата създава нарастващи рискове за предприятията. За да се гарантира, че организациите са защитени от кибератаки, сътрудничество между CISO и Риск мениджър е от първостепенно значение, както и дискусията с други бизнес лидери от цялата компания.

Предотвратяването на кибер атаки е ключово. Ако се случи кибер атака независимо, реагирането възможно най-бързо е от първостепенно значение. В случай, че се случи кибер атака, целта е да се постигне своевременно възстановяване, за да се минимизират дългосрочните последици.

Тези теми и други са част от новия бял документ на AIG Първи хакове: IoT и не само, която е част от „Риск и иновации“, поредица за киберсигурност, достъпна за лидерите на корпоративната сигурност.


Гледай видеото: Пародия Киберсигурност в НАП - Интервю за работа (Юли 2021).