Продолжаем традицию — напишу про то, что было на лондонском Gartner Security & Risk Management Summit. Я сам там не был, но посмотрел, о чем говорили в Туманном Альбионе и могу кратко пересказать, что занимает умы глобальных консультантов, устанавливающих мировые тенденции и новые аббревиатуры. Итак, тезисно звучали следующие мысли:
- Гартнер предложил CISO уйти от стратегии «нулевой толерантности к сбоям и инцидентам» и призвал уравнять важность реагирования и восстановления с профилактическими мерами.
- Строительство системы, устойчивой к сбоям.
- Минимизация используемых инструментов до наиболее эффективного набора.
- Развитие устойчивой киберкоманды, способной избегать выгорания, и стимулировать инновации.
- 45% организаций столкнулись с увеличением киберинцидентов, связанных с подрядчиками, но дополнительные инвестиции не приводят к снижению этих рисков. Для повышения устойчивости рекомендуется:
- Создание четких планов на случай завершения работы с поставщиками.
- Проведение регулярных киберучений по реагированию на инциденты, включая и штабных.
- Усиление сотрудничества с третьими сторонами, а не просто контроль.
- Zero Trust заменяет статическую и подразумеваемую модель ИБ на динамическую и четко определенную.
- Начинайте с кто, а не где. Заведите каталог активов. Учитывайте уже сделанные сетевые инвестиции
- ZT базируется на идентификации и контексте; особенно динамических!
- Gartner прогнозирует, что к 2026 году более 500 миллионов пользователей смартфонов будут использовать цифровые идентификационные кошельки, что подчеркивает быстрое развитие цифровых методов идентификации. Гартнер отмечает, что восстановление учетных записей становится уязвимым местом для атак, и IDV (Identity Verification) может снизить этот риск. Однако нынешние подходы к верификации имеют следующие проблемы:
- Высокая стоимость и неэффективность для каждой организации, проводящей верификацию самостоятельно.
- Плохой пользовательский опыт (UX), когда каждый сервис требует повторной верификации.
- Недостаток механизмов согласия и контроля со стороны пользователей за их данными.
Гартнер предложил двигаться в сторону переносимых цифровых идентичностей, которые могут сосуществовать с существующими решениями. Это может улучшить безопасность и упростить процессы аутентификации.
- Gartner предлагает, чтобы CISO трансформировались из тактических лидеров в бизнес-экспертов и рассказчиков (сторителлинг наше все). Они подчеркивают важность использования технологий, таких как ИИ, для принятия быстрых и обоснованных решений, но при этом надо учитывать:
- Конфликт целей и высокую нагрузку на CISO.
- Этические вопросы, связанные с использованием ИИ для оптимизации процессов.
- Необходимость создания бизнес-кейсов перед запуском программ по внедрению дополненных технологий.
- Аналитики Гартнера сделали сенсационное заявление, что не каждый внутренний риск превращается в угрозу, но каждая угроза начинается с риска. А к ссновным причинам внутренних угроз отнесли:
- 63% — невнимательные пользователи.
- 23% — злонамеренные пользователи.
- 14% — компрометация учетных данных.
Поэтому предлагается автоматизировать меры по предупреждению ошибок пользователей, такие как мгновенные уведомления и обучение политике безопасности.
- Большое внимание было уделено теме ИИ. Гартнер перечисляет ключевые риски, связанные с использованием генеративного ИИ:
- Потерю данных, генерацию ложной информации (галлюцинации), и вредоносный контент.
- Рекомендовано применять разделение GenAI-приложений и LLM для минимизации рисков при смене моделей.
- Упомянута необходимость проводить тесты на проникновение (red-team) для внешних GenAI-приложений, чтобы выявить уязвимости до того, как это сделают злоумышленники.
- Перед внедрением GenAI важно обеспечить харденинг облаков, данных и приложений, а затем добавить GenAI-специфические меры защиты.
- В Лондоне рассказали о важности защиты инфраструктуры разработки программного обеспечения, которая часто остается незамеченной. Основные моменты:
- Безопасности цепочки поставок ПО требует учета компонентов, зависимостей и окружения разработки.
- Для защиты цепочки поставок нужно:
- Проводить анализ состава ПО на постоянной основе.
- Обеспечить многофакторную аутентификацию и защиту от утечек конфиденциальных данных.
- Проверять целостность компонентов в процессе разработки.
- Gartner также дал рекомендации для CISO, как управлять внедрением GenAI:
- Установить четкие ожидания и цели использования GenAI, включая управление рисками и измерение динамики внедрения ИИ.
- Разработать правила и политику использования GenAI для прозрачного управления, а также наказания за неправильное использование.
- Обеспечить прозрачность процессов GenAI, включая отслеживание отправляемых в ИИ данных и сгенерированных на их основе решений.
- Управлять навыками и ожиданиями команды — GenAI поддерживает сотрудников, но не заменяет их.
- Измерять успешность внедрения GenAI с помощью показателей эффективности, таких как бизнес-ценность, риски и затраты.
Скажу прямо, не ахти какие прозвучали сенсации и выводы. Все достаточно стандартно и не так чтобы интересно. По крайней мере мне так показалось из того, что рассказал Gartner в паблике. Исключая тему IDV все остальное не ново и уже озвучивалось либо Gartner’ом ранее, либо просто звучит из каждого утюга (например, тема ИИ или погружения в бизнес-контекст).