Съдържание:
Бизнесът е насочен към кибератаки с тревожна скорост. Основните нарушения в Target през декември 2013 г. и Neiman Marcus през януари 2014 г. блеснаха голям прожектор за несъответствията, които има много търговски обекти в своята инфраструктура за сигурност. В резултат на това все повече и повече компании, и големи, и малки, изпитват необходимост да увеличат усилията си и да разполагат със специализиран екип за сигурност.
Според доклад, публикуван от Ройтерс през май 2014 г., редица големи корпорации, като Pepsi и JPMorgan Chase & Co., са на лов за нови главни служители по информационна сигурност (CISO) в опит да засилят практиките за сигурност. Това отразява по-голямата информираност за сигурността и нейното значение на изпълнителното ниво на бизнеса.
CISO и главните служители по киберсигурност са потопени в сигурността на своите технологии както за работодатели, така и за клиенти, но техните роли и отговорности стават все по-изразени и наложителни в очите на широката общественост, а не само сред общността на сигурността.
"Преди пет години информационната сигурност едва не провали топ 10 проблеми на бордовете. Преди година тя беше №2. Интересното е, че сега сигурността на данните, а не само сигурността на информацията", казва Дейвид Бомер, регионален управляващ партньор в набирането на фирми Heidrick & Борби, във видеоклип в YouTube, продуциран от компанията.)
Какво прави CISO
Ролята на CISO може да бъде доста широка и те често се оказват да носят много различни шапки. Работата включва всичко - от вътрешна сигурност, като управление на сигурността на интелектуалната собственост, до отговорността за сигурността на клиентите.
„Също така работя с нашия продуктов екип и инженерен екип, за да внедря функции в продукта, които могат да бъдат интересни за купувачите на сигурността“, казва Джоан Пепин, CISO в Sumo Logic.
Въпреки че през миналата година за нарушението на Target със сигурност много хора разговаряха, Пепин обяснява, че тя не е чак толкова изненадана - както и повечето от общността на сигурността. Това не означава, че общността на сигурността не е имала своите „преломни моменти“, където всички трябваше да засилят работата си напред.
Нарушението на RSA през 2011 г., при което хакерите нарушиха сървърите на компанията за сигурност на информацията и откраднаха маркери за удостоверяване, предоставящи достъп до чувствителни правителствени и корпоративни данни, имаше много специалисти по сигурността. Как може охранителна компания да стане плячка за хакери по този начин? Само две години по-късно тази загриженост ще се прехвърли към цел, която по-рано е летяла под радара: клиенти на дребно. Атаки като тези, които се наблюдават при Target и Neiman Marcus, насочиха вниманието към сигурността на ежедневния клиент.
„Ясно е, че когато имате мащабна операция на дребно с хиляди и хиляди служители, всички тези различни сайтове, машини за продажба, това е най-бедният вид система и фактът, че тези видове атаки не са се случили на това тип мащаб по-рано всъщност е малко изненада за мен “, каза Пепин.
Проблемът произтича от това, че сигурността се разглежда като просто квадратче за отметка за компаниите да отметнат и да оставят, а не като постоянно контролиран аспект на бизнеса си. Това не означава, че киберпрестъпниците са разпуснати и могат просто да влязат. Всъщност киберпрестъпниците стават все по-квалифицирани.
"беше доста сложно нарушение, което можеше да се представи като BMC агент и онези видове прикрити неща. Да участваш в странични движения в мрежата на Target беше доста умно", каза Пепин.
"Не искам да се отклонявам от това, но по отношение на затруднения в целта, без каламбури, никога не бих поставила нито една търговска верига в списък с тежки цели. Охранителните компании са тежки цели, правителството е трудна мишена. Някаква търговска верига, чийто бизнес продава чорапи, не бих очаквал те да са супер сигурен магазин. "
Пейзажът за професионалисти по сигурността
През юни 2014 г. Target нае първата си CISO, Брад Майоркино, бивш изпълнителен директор на General Motors, който ще извършва надзор на основен ремонт на практиките за сигурност на компанията.
Предприятията, независимо от тяхната област или техния размер, ще трябва да вземат под внимание и да подобрят играта си за сигурност в отговор на непрекъснато нарастващите заплахи с по-голяма информираност и повече авторитет да предприемат действия при потенциални нарушения.
"Беше ясно … в случая Target се генерират сигнали, на които никой не реагира и че според моя опит, идващ от управлявана сигурност, е изключително типичен", каза Пепин.
"Най-добрата система за откриване на проникване в света все още има много висок фалшив положителен процент и затова отговорниците за сигурност са основно обучени от системите си да игнорират системите си. Има технологична пропаст между човешките взаимодействия, при която първите реагиращи страни изтръпват до хилядите сигнали, че те получават боклук. В случая на Target имаше някои признаци, които не бяха последвани, които биха могли да помогнат за намаляване на въздействието много по-бързо. "
Както често се случва, специалистът по сигурността не може незабавно да предприеме действия по даден проблем, тъй като се нуждаят от разрешение или одобрение от някой друг по-високо в йерархията. Това трябва да се промени, казва Пепин, обяснявайки, че екипът за сигурност на компанията трябва да има повече автономия и авторитет, за да поеме инициативата.
„Чувствам, че все още има проблем с управлението на това, че главните служители по сигурността на информацията не трябва да докладват на CIO, “ казва Том Келерман, главен служител по киберсигурност в Trend Micro. „Те трябва да се отчитат директно пред главния директор по риска или пред изпълнителния директор.“ Това отрязва много от посредниците и гарантира по-бързо време за реакция при потенциални извънредни ситуации.
Пепин е съгласен, че специалистите по сигурността трябва да „докладват право на върха“ в своята компания. „Имам късмета да докладвам на нашия изпълнителен директор. Това работи много добре и това наистина бих препоръчал на всяка организация, която се отнася сериозно към сигурността си.“
Други бюджети и сигурност за МСП
Наемането на CISO и разширяването на вашия екип по сигурността е всичко добре и добре, ако имате бюджет, но какво ще кажете за по-малките компании? Докато атаката срещу малка верига или местния ви магазин за хардуер няма да пожъне същите ползи за хакерите като удрянето на Target или Neiman Marcus, все още е неразумно да се оставите уязвими по никакъв начин. И така, какво можете да направите, за да смекчите риска от атака? Pepin настоятелно препоръчва да наемете услугите на изпълнител или консултант за реагиране на инциденти.
"В случай, че сте нападнати, имате някой, на когото можете да се обадите, така че не е нужно да отваряте Google и да започнете да търсите", каза тя.
Това ще има по-икономически смисъл за по-малка компания, обяснява тя, тъй като бизнесът ще използва услугите само когато са необходими. Тези услуги също са изключително специализирани в избора на местата, където вашите служители са останали.
„Можете да имате фантастичен екип за триаж, разбирайки, че сте атакуван, но това не е точно същия набор от умения, необходими, за да отговорите на тази атака, да ги маршрутизирате от вашата мрежа и да съберете доказателствата по начин, който може да се използва в съда. "
Компаниите разполагат с много ресурси за борба с киберпрестъпността. Скорошната история предполага, че друга голяма атака е точно зад ъгъла.
