Дослідження «Глобальний стан інформаційної безпеки 2015» (GSISS 2015). Частина 1

Дослідження PwC дуже об'ємне, тому публікується частинами.
Сьогодні інформаційна безпека є невід'ємною частиною бізнес ризиків. Тепер це питання стосується не тільки інформаційних технологій та фахівців з безпеки, питання ІБ тепер залучені топ-менеджмент і ради директорів. Споживачі також стурбовані і бажають бути в курсі про можливі інциденти і загрози безпеці.




Повідомлення ЗМІ про інциденти безпеки (інцидент безпеки визначається, як небажаний інцидент, загрозливий ряду аспектів інформаційної безпеки) стали звичайним явищем, як прогноз погоди, і протягом останніх 12 місяців практично кожен сектор промисловості по всьому світу був схильний до будь-якого типу кібер загроз. Із збільшенням кількості інцидентів уряди держав стають все більш активними у наданні допомоги організаціям у боротьбі з кібер-злочинністю. Наприклад, ФБР оприлюднило інформацію про те, що 3000 компаній, в тому числі банків, підприємств роздрібної торгівлі та військових підрядників стали жертвами кібер атак в 2013 році. Згодом Міністерством юстиції США було пред'явлено звинувачення п'ятьом китайським військовим хакерам у проведенні економічного кібер шпигунства проти американських компаній в секторах атомної енергетики, металопромисловості і сонячної енергетики. Це був перший раз, коли США звинуватили державних посадових осіб в економічному шпигунстві з допомогою зовнішніх кібер атак у відповідності з розділом 1831 Закону про економічне шпигунство. Ця тенденція, швидше за все, продовжиться, згідно з прогнозом Шона Джойса (глава департаменту консалтингу в PwC і колишній заступник директора ФБР). «Я думаю, що ми побачимо, як Міністерство юстиції і ФБР продовжать реалізацію агресивної стратегії спрямованої проти суб'єктів, які приносять значний економічний збиток для економіки США», — говорить Джойс.

Напади на великі компанії рітейл сектора досягли неймовірних масштабів в минулому році, в результаті чого сталися крадіжки сотень мільйонів записів платіжних карт клієнтів. Це призвело до значного зростання кількості судових розглядів і термінового введення нового стандарту платіжних карток у США. У Великобританії інсайдером у компанії була вкрадена інформація про заробітну плату та номерів банківських рахунків 100'000 співробітників мережі супермаркетів, після чого цю інформацію опублікували онлайн. У Південній Кореї також повідомляють про крадіжки даних споживачів у величезних масштабах, 105 мільйонів рахунків платіжних карт піддалися атакам. У Вердені, Німеччина, міські чиновники оголосили про крадіжку 18 мільйонів адрес електронної пошти, паролів та іншої інформації.



Слідом за викриттями Сноудена, атаки на роздрібні мережі додали ще більшого розголосу проблем інформаційної безпеки. Гучні звинувачення в стеженні підштовхнули міжнародні корпорації і навіть уряду переглянути список постачальників товарів і послуг, виключивши звідти компанії, які можуть бути пов'язані з державними органами. Зокрема в Symantec як повідомили про виявлення шпигунства за урядами основних країн Євросоюзу. Виходячи з вибраних цілей і вкрай нетривіальних шкідливих програм, в Symantec зробили висновок, що координувала атаки група за підтримки однієї з держав. Геополітичні конфлікти, особливо між Росією і Україною, виливаються у зустрічні атаки на державні сайти і поширення шкідливих програм на пристрої посольств.

Інші важливі постачальники інфраструктури також знаходяться під атаками. Група хакерів успішно проникла в суспільну комунальне підприємство США через інтернет і скомпрометувала систему управління, хоча вторгнення було зупинено, перш ніж було завдано якоїсь шкоди. Злочинці, за спинами яких знаходяться треті держави, використовують складні шкідливі програми для проникнення в промислові системи управління сотень енергокомпаній в США і Європі.

Лідерами серед жертв кібер атак залишаються компанії фінансового сектора. Атаки на фондові біржі стали вже буденною справою. Дослідження 46 фондових бірж по всьому світу, проведене Міжнародною організацією комісій з цінних паперів (IOSCO) і Всесвітньою федерацією бірж показало, що більше половини (53%) майданчиків піддавалися кібер аткам. Банківський сектор теж не відстає, під час однієї з атак, кібер-злочинці пограбували банкомати двох близькосхідних банків по всьому світу на суму $45 млн.

Ми також спостерігаємо збільшення атак на так званий сегмент «інтернет речей» – набирають обертів екосистеми пристроїв, що підключаються до мережі, і покликаних полегшити нам життя, наприклад, відеоняні, домашні термостати, нові телевізори і т. д. Ці підключені до інтернету пристрою є вкрай уразливими для атак, тому що в них не закладено навіть елементарні системи безпеки, що підтверджує нещодавнє дослідження HP Fortify on Demand. Компанія HP досліджувала 10 найбільш популярних сполучених пристроїв і підтверджує, що 70% з них містять серйозні уразливості.

IOActive опублікували дослідження, яке демонструє в деталях, як хакери можуть контролювати електронні блоки управління конкретних автомобілів і пропонує механізми для виявлення атак. Повідомляється, що автомобілі, які містять у собі десятки електронних пристроїв, пов'язаних між собою, а в деяких випадках з'єднуються з зовнішнім світом через бездротовий зв'язок, можуть бути зламані з подальшим контролем гальм, рульового управління і навіть двигуна.



Регулятори

Деякі з найбільш шанованих і популярних світових новинних організацій, у тому числі The New York Times, The Financial Times, CNN, Reuters були скомпрометовані в минулому році. Багато хто з найбільш відомих атак були проведені хакерами, пов'язаних з владою близькосхідного регіону. Цей список далеко не повний, неможливо дізнатися точну кількість компаній, які піддалися атакам або були скомпрометовані, і цьому є кілька пояснень. По-перше, частина компаній так і не дізнаються, що вони були атаковані, по-друге, компанії боятися публічно заявляти про інциденти щоб уникнути втрати або матеріальних втрат, судових позовів та інших перевірок. До речі про перевірки, регулятори по всьому світу починають посилювати правила і вимоги до компаній у сфері інформаційної безпеки.
Як підтвердження вищесказаного можна привести приклад планів Комісії США з цінних паперів і бірж про проведення тестів з інформаційної безпеки в більш ніж 50 брокер-дилерів і компаніях інвестиційного консалтингу. В Азії, Акт про захист персональних даних Сінгапуру встановлює нові стандарти для збирання, використання та розголошення особистих даних. Організації, які не будуть виконувати нові вимоги чекає штраф до 1 млн SGD або $788'995.



У новому керівництві від Комісії США з цінних паперів і бірж є кілька нових і унікальних вимог, таких як наявність страховки від кібер атак і наявність можливості проводити повну інвентаризацію всіх інцидентів і порушень. Керівництво також вимагає, щоб підприємства впроваджували механізми оцінки ризику, а також більш ефективно оцінювали ризики і дью ділідженс вендорів.

Керівники транснаціональних організацій в очікуванні прийняття європейських норм щодо захисту даних (European Union Data Protection Regulation), фінальна версія яких очікується в 2015 році. Учасники ринку очікують посилення вимог до компаній, які обробляють персональні дані, зокрема проведення оцінок ризиків та аудитів систем інформаційної безпеки, і більш ніж подвійне збільшення штрафів для скомпрометованих компаній (з 2% до 5% від річного обороту компанії). Нові вимоги ЄС про повідомлення в разі інцидентів безпеки дозволять оцінити ситуацію з кібер-атаками в Європі більш точно. За словами Джона Вудса (один із провідних співробітників департаменту практики кібер безпеки в юридичній фірмі Baker & McKenzie): «У США державні закони про повідомлення у випадках інцидентів безпеки дозволили виявити масу випадків атак і компрометаций, що призвело до більш серйозного ставлення і більш пильної уваги до інформаційної безпеки. Буде цікаво поспостерігати, якщо європейські норми матимуть такий самий результат».

Ми також спостерігаємо нові зусилля уряду, щоб допомогти організаціям поліпшити свою інформаційну безпеку на добровільній основі. У США в 2013 році спеціальним наказом президента про підвищення рівня інформаційної безпеки був створений стандарт Національного інституту стандартів і технологій (NIST). Версія 1.0 стандарту добровільно реалізується окремими компаніями для оцінки та покращення ІБ, а також створює загальну платформу для обговорення, співпраці і тактики реагування на кібер загроз. Зусилля приватного сектору по просуванню безпеки представлені запуском ініціативи компанії Google Project Zero, яка покликана просувати безпеку шляхом виявлення і блокування невідомих погроз, перш ніж хакери можуть ними скористатися. У Google говорять, що інженери з Project Zero будуть працювати над підвищенням безпеки широко використовуваного програмного забезпечення, а також вивчати мотиви і прийоми зловмисників і проводити дослідження в сфері ефективного моніторингу і ліквідації наслідків компрометаций.

Ринок послуг у сфері інформаційної безпеки зростає

В результаті збільшення кількості інцидентів (на 48% в 2014 порівняно з 2013) і посилення вимог регуляторів, компанії та державні органи змушені підвищувати рівень ІБ, щоб захистити свої дані. Це в свою чергу дає імпульс для зростання кількості рішень і технологій в області інформаційної безпеки.



Дослідницька фірма Gartner прогнозує, що глобальні витрати на ІТ-безпека зростуть на 7,9% до $ 71'100'000'000 в 2014 році, та на 8,2% до $ 76'900'000'000 в 2015 році. Зростання інцидентів безпеки та їх висвітлення в ЗМІ допомогли відкрити потік інвестицій венчурного капіталу в компанії, які надають послуги у сфері ІБ. Протягом перших шести місяців 2014 року венчурні фонди проінвестували $894'000'000 в США в стартапи сегмента інформаційної безпеки. Сума майже аналогічна інвестицій у всі стартапи в 2013 році. Це перевищує всі інвестиції в сектор ІБ за останні 10 років. У той же час, капіталізація деяких охоронних фірм досягла нових максимумів у минулому році.

Наприклад, постачальник мережевої безпеки FireEye, після оцінки в $304 млн під час IPO у 2013 році, в даний час має ринкову капіталізацію в розмірі близько $4,6 млрд. Palo Alto Networks (спеціалізується на ІБ корпоративного сектору) залучила $260 млн в 2012 на IPO, і тепер має ринкову капіталізацію в розмірі близько $6,2 млрд.



У розпал буму вечнурного капіталізму оцінка деяких компаній сегменту ІБ становила п'ять-десять їх річних доходів. В даний момент на ринку відбувається корекція, всі розуміють, що сегмент перетворився в «міхур», і щоб уникнути обвалу інвестори поступово скорочують темпи інвестицій в ІБ. Це призвело до того, що деякі компанії втратили до половини попередніх оцінок. Ми вважаємо, що програмне забезпечення та ринок послуг у сфері ІБ продовжать зростання т. к. топ-менеджмент і ради директорів розуміють, що кібер атаки ніколи не припиняться, а вимоги регуляторів будуть тільки посилюватися.

Ринок венчурного капіталу в сфері ІБ зростає і в Європі:

— лондонська компанія С5Capital зібрали фонд орієнтований на ІБ в обсязі $125 млн і оголосила про інвестиції в компанію BalaBit 22 в обсязі $8 млн;
— фонд Index Ventures відкрив свої двері для компаній у сфері ІБ з Європи, Ізраїлю та США, виділивши на даний сегмент $550 млн. Фонд також проявляв активність у цьому році в області злиття і поглинань в сегменті ІБ;
— FireEye придбали Mandiant приблизно за $1 млрд;
— Cisco Systems придбали Sourcefire за $2,7 млрд.



Додатково: дане дослідження окремо по сегменту фінансових послуг є тут.

ПРОДОВЖЕННЯ СЛІДУЄ…

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.