6 מגמות אבטחת סייבר שישפיעו על עסקים ב-2024

מאת רבקה הרפר • 14 דצמבר 2023

אם 2023 לימדה חברות משהו, זה שיש להתייחס לסיכוני סייבר באותה רמה של נראות, ממשל, תכנון ומשאבים כמו סיכונים עסקיים משמעותיים אחרים כמו תנאים פיננסיים, התחייבויות משפטיות או שיבושים תפעוליים.

הכותרות היו עמוסות בסיפורים על פרצות נתונים והתקפות סייבר שנגרמו כתוצאה מחוסר תהליכים לקויים, לא ברורים או אפילו מהיעדר מוחלט של תהליכי ניהול מידע ואבטחת נתונים. התוצאה? הפסדים כספיים משמעותיים, נזק למוניטין וקנסות כבדים מגופים רגולטוריים עבור הארגון המושפע, הספקים שלהם ובמקרים מסוימים אפילו אנשים פרטיים.

בתגובה לעלייה באיומי הסייבר, התקנות המסדירות אבטחת סייבר ואבטחת מידע התרבו במהירות. רק השבוע, האיחוד האירופי הכריז על הסכמתם הפוליטית לגבי רגולציה של AI, עם אחר תקנות כמו חוק חוסן הסייבר והצעת חוק אבטחת מוצרים ותשתיות טלקומוניקציה (PSTI) המצטרפת לתקנות קבועות כמו GDPR ו-NIS. ארה"ב ראתה צו ביצוע שהוצא בנושא אבטחת סייבר ו תקנות SEC הוכנסו על חשיפת הפרות. כל אלה מבהירים שארגונים חייבים להיות מסוגלים להפגין שיטות עבודה מומלצות לאבטחת מידע ואבטחת מידע ויישום יעיל בכל ההיבטים של העסק שלהם.

בהתחשב במקום בו אנו נמצאים כעת, מה בדיוק צפויה ל-2024 לחברות? בדקנו שש מגמות מפתח שלדעתנו ישלטו בנוף המידע ואבטחת הסייבר ב-2024 ופירקנו אותן למטה.

מגמה 1: הגברת הרגולציה של AI ולמידת מכונה (ML)

בינה מלאכותית ולמידת מכונה (ML) הפכו במהירות חיוניות בעסקים, תוך אופטימיזציה של קבלת החלטות, אוטומציה של משימות ומספקות תובנות העולות על היכולות האנושיות. שכיחותה עוררה דיונים נרחבים על השלכותיה על עסקים, יחידים, פרטיות ואבטחה דיגיטלית.

לאור האופי הנרחב והאוטונומי של מערכות אלו, אשר משפיעות באופן משמעותי על רווחת הצרכנים, העובדים והתשתיות, קיים צורך קריטי ברגולציה מתחשבת כדי לעמוד בקצב היכולות המתפתחות שלהן. הדרישה לשקיפות, אחריות, אמצעים נגד הטיה ומנגנוני תיקון שגיאות בקבלת החלטות בינה מלאכותית גדלה לאורך 2023. ככל שה-AI מתרחב לאזורי סיכון גבוה, מגמה זו רק תתעצם.

כתוצאה מכך, 2024 תהיה שנת דרך לממשל רשמי של AI, הכוללת חוקים חזקים, מסגרות תעשייתיות ומדיניות תאגידית. מחוקקים ביבשת אמריקה, אירופה ואסיה מנסחים הצעות המטילות חובות מוסריות וחוקיות על ספקי AI, מפתחים וארגונים. ה האיחוד האירופי הכריז על הסכמתם הפוליטית לפעולת בינה מלאכותית רק השבוע.

אמנם, קבוצות בינלאומיות כמו IEEE ו-ISO כבר מקימות תקנים מקיפים ומאוחדים ליצירה, הערכה והטמעה מאובטחת של מערכות ML בתעשיות ויישומים שונים, שככל הנראה יתפרסמו במהלך השנה החדשה.

אנחנו גם מצפים שזה יהפוך לנורמה להקים מועצות לפקח על שיטות בינה מלאכותיות אחראיות, תהליכי פיתוח ביקורת וניהול סיכוני מודל בתוך ארגונים. לצד פעילויות נוספות, כגון;

רשימות ביקורת אתיקה כדי לסייע למדעני נתונים ביצירת מערכי נתונים מייצגים ואלגוריתמים חסרי פניות
סעיפי שקיפות עבור חילופי מודלים של AI ושילובי שירותים הכלולים בחוזי שותפים

המטרה של ויסות בינה מלאכותית ראויה להערכה: להבטיח שהחלטות המושפעות בינה מלאכותית יהיו שוויוניות ושחברות יפרסו אוטומציה רק לאחר הבנה מלאה והפחתת סיכונים היא חיונית. עם זאת, תקנות אלה עשויות להכניס מורכבות ועיכובים נוספים עבור חדשני AI וארגונים המעוניינים להשתמש בטכנולוגיה כזו.

בזמן שקובעי מדיניות ומנהיגי תעשייה פועלים כדי לרתום את הפוטנציאל היצרני של בינה מלאכותית תוך התייחסות מונעת לחסרונות פוטנציאליים, עסקים חייבים להתכונן כדי להפגין תאימות הן פנימית והן ללקוחותיהם. זה מסמן את הופעתו של שלב חדש בפיתוח AI: מתקדם במהירות אך עם תחושת אחריות מוגברת.

מגמה 2: הגברת המורכבות של תוכנות כופר

התקפות של תוכנות כופר צפויות להיות נפוצות ומתוחכמות עוד יותר בשנת 2024. ככל שיותר עסקים יעבירו דיגיטציה לפעילותם ויאחסנו נתונים רגישים בענן, סביר להניח שקבוצות תוכנות כופר יעבירו את המיקוד שלהן למיקוד סביבות ענן ומאגרי מידע גיבוי כדי למקסם את המינוף לסחיטה.

מגמה אחת במגמת עלייה היא התקפות "סחיטה כפולה" של תוכנות כופר. בתכניות אלה, התוקפים מצפינים נתונים ומוציאים מידע רגיש ממערכות הקורבן, שאותו הם מאיימים לפרסם או למכור באינטרנט אם הכופר לא ישולם. לחץ נוסף זה גורם לקורבנות לשלם יותר. תוקפים עשויים אפילו למכור את הנתונים הגנובים למכירה פומבית להצעה הגבוהה ביותר.

בנוסף, קבוצות של תוכנות כופר מקימות פעולות כופר כשירות (RaaS) ותוכניות שותפות לתוכנות זדוניות כדי להגדיל את השפעתן. תוכניות אלה מספקות ערכות כלים קלות לשימוש עבור תוכנות כופר עבור פושעי סייבר עם כישורים טכניים מוגבלים עבור חלק מהרווחים. זה מבזר עוד יותר ומפזר את הסיכון על פני יותר התקפות.

בהתחשב באיומים ההולכים וגדלים, אנו עשויים לראות דחיפה רגולטורית סביב חוסן תוכנת כופר בשנת 2024. התקנות עשויות לחייב ארגונים:

יש תוכניות תגובה לאירועים עבור תרחישי תוכנת כופר
שמור על גיבויים לא מקוונים של נתונים
ערכו הדרכה למודעות לאבטחת סייבר
יישום פוליסות ביטוח סייבר

מי שלא יעמוד בשיטות המומלצות המיועדות למניעה והכנה לתוכנת כופר, עלולים לעמוד בפני קנסות או פעולות אחרות. עם זאת, רגולציה כזו מציבה גם אתגרים סביב יישום ואכיפה במגזרים שונים.

סביר להניח שנראה יותר התמקדות בשותפויות בינלאומיות, כגון יוזמת Counter Ransomware Initiative (CRI), כדי "לשבור את המודל העסקי של תוכנות הכופר על ידי איחוד מדיניות, רשויות אכיפת חוק וסוכנויות תפעוליות ברחבי העולם כדי לשבש תוכנות כופר תוך בניית חוסן נגד גורמי סייבר זדוניים".

מגמה 3: התרחבות של IoT וסיכונים נלווים

מהפכת האינטרנט של הדברים נמצאת בעיצומה. תחזיות גרטנר כי למעלה מ-33 מיליארד מכשירי IoT ארגוניים ומכוניות יהיו בשימוש פעיל עד 2024.

עם זאת, השפע הזה של מכשירים מחוברים, תוך אספקת יעילות, גם נותן להאקרים שפע של וקטורי התקפה חדשים לניצול. מערכות IoT רבות עדיין חסרות הוראות אבטחה בסיסיות כמו הצפנת נתונים תוך אמון בהגנה היקפית של הרשת כדי להספיק.

תשתית טכנולוגית תפעולית קריטית לעסק (OT) שבידודה בעבר בתוך מפעלים מקושרת כעת למערכות ניהול IT, וחושפת בקרות תעשייתיות שבריריות לאיומים דיגיטליים. קיימים מעט עדכוני קושחה לתיקון פגיעויות במכשירי IoT מבוזרים, ממצלמות ועד משאבות עירוי מרפאה.

ייצור, שירותים ושירותי בריאות במיוחד חייבים כעת לכוון מחדש את אבטחת ה-IT סביב שמירה על משטח התקפות מתרחב מפולפל במכשירים לא מאובטחים. פעילויות כגון:

פילוח רשתות
ניטור פעיל של התעבורה לאיתור חריגות
דורש בקרות גישה
הטמעת פרוטוקולי העברת נתונים מאובטחים

כולם עוזרים להפחית את הסיכונים שמביאים חיבור גומלין.

אנו מצפים לראות יותר ארגונים מיישרים קו עם מסגרות כמו ISO 27001 בהתמודדות עם סיכון IoT שכן הוא מחייב הערכה מובנית של סיכוני אבטחת מידע ובקרות הגנה המותאמת להקשר הספציפי של הארגון. גישת אפס אמון זו מתאימה לאתגרים של IoT.

2023 כבר ראתה ניסיונות להתמודד עם אבטחת המידע והפרטיות עבור מכשירי IoT עם חקיקה כגון:

חוק חוסן הסייבר של האיחוד האירופי
הסמכת מודל בשלות אבטחת סייבר בארה"ב (CMMC)
חוק ההקצאות המאוחדות בארה"ב
חוק אבטחת מוצרים ותשתיות טלקומוניקציה בבריטניה

אנו מצפים שתקנות אבטחה סטנדרטיות כגון אלה יגדלו והאכיפה תהפוך לקפדנית יותר בשנת 2024, יחד עם בריתות בתעשייה כדי לדחוף הגנות IoT חזקות יותר, במיוחד עבור תשתיות לאומיות.

ללא קשר לרגולציה ואכיפה, אנו מצפים מחברות לעבור במהירות למודרניזציה של ההגנה, שכן תשתית חכמה מגדילה את נקודות הגישה ליריבים והסיכון לפעילות העסקית ולהצלחה הופכת להיות משמעותית מכדי להתעלם ממנה.

מגמה 4: החשיבות של ארכיטקטורות אפס אמון

אנליסטים בתעשייה צופים שאפס מסגרות אמון יהפכו לדרישות ציות רשמיות במגזרי הפיננסים, הממשל והבריאות עד 2025, מכיוון שהתקפות חושפות חולשות הגנה קונבנציונליות.

כוחות העבודה מבוזרים, התשתית עוברת לענן, והמשתמשים דורשים גישה לכל מקום, מה שמגביר את ההנחות לפיהן היקפי אבטחה ברורים אפילו קיימים יותר. עם זאת, חברות רבות עדיין מסתמכות על הגנות מוכרות אך נקבוביות כמו VPNs, חומות אש וזכויות רשת מיוחסות כדי להגן על נתונים קריטיים.

במקום זאת, כבר קיימות תוכניות אבטחת סייבר בוגרות אימוץ ארכיטקטורות אפס אמון שמשהות אמון מרומז תוך אימות קפדני של כל משתמש ומערכת המנסים גישה, ואנו מצפים לראות את אימוץ הגישה יגדל באופן משמעותי במהלך 2024.

זֶה המודל מאמת את הזהות באמצעות אימות רב-גורמי קפדני לפני הענקת הרשאות לפחות הרשאות. במקום גישה גורפת לרשת, מדיניות מיקרו-פילוח מגבילה בקפדנות את הקישוריות למשאבים מורשים. באופן מכריע, אפס אמון דורש ניטור רציף של פעילות המשתמש ויומני מערכת עם ניתוחים כדי לזהות התנהגויות חריגות המצביעות על איומים.

נהגים שדוחפים עקרונות אפס אמון משיטות עבודה מומלצות של אבטחת סייבר לכיוון חיוניים כוללים אימוץ ענן היברידי, גידול בכוח העבודה מרחוק והגנות היקפיות מדור קודם שהוכחו כלא מספקות נגד תוקפים מתוחכמים. יעילות תפעולית משתפר גם על ידי שינוי עמדת האבטחה של הארגון לכיוון החלטות גישה דינמיות והקשריות במקום הרשאות רשת סטטיות.

ארכיטקטורה מחדש מוקדמת של מערכות אבטחה מאפשרת לארגונים לחזק את ההגנה שלהם ולטפח חדשנות. הטמעת מסגרות כגון ISO 27001 יכולה לספק גישה מובנית לאימוץ עקרונות אפס אמון, להציע מערך מקיף של מדיניות ונהלים המתיישרים עם תקני ניהול אבטחת המידע הגבוהים ביותר. זה עוזר להבטיח הטמעה שיטתית ועקבית של ארכיטקטורות אפס אמון, ומחזקת עוד יותר את עמדת האבטחה של הארגון מפני איומים מתפתחים.

מגמה 5: גישה גלובלית יותר לתקנות ולדרישות ציות

ככל שהתקפות סייבר יגדלו בהשפעה ובתדירות, פערי ממשל נתונים פגיעים על פני תעשיות וגבולות גיאוגרפיים ייכנסו על הכוונת של הרגולטורים למען מעקות בטיחות חזקים יותר ב-2024.

ככל שמתגברות התקפות סייבר עם השפעות חוצות גבולות, ממשלות ברחבי העולם מבינות את המגבלות של תקנות מקוטעות בין תחומי שיפוט. בעוד שמדינות רבות יישמו את חוקי הפרטיות ומדיניות אבטחת סייבר ספציפית למגזר באופן מקומי, הבדלות גורמת לכאב ראש לארגונים רב לאומיים. ייעול הדרישות באמצעות שיתוף פעולה בינלאומי יהפוך לעדיפות להתאמת הפיקוח על אבטחת סייבר ברחבי העולם במקום באמצעות תקנות מפורקות ב-2024.

תקנות חופפות מולידות יתירות סביב פרקטיקות כמו ביקורת, הדרכה או הערכות מעבד משנה. החדשנות מואטת כאשר צוותי הנדסה מופקדים לפרש טרמינולוגיה משפטית מעורפלת. והתקציבים מתנפחים כשהמשאבים הטכניים מפנים לכיוון דוחות תאימות.

בתגובה, אנו מצפים לראות קבוצות שיתופיות כמו ארגון התקינה הבינלאומי (ISO) ואסיפת הפרטיות הגלובלית (GPA) עובדות באופן הדוק עוד יותר עם עסקים וממשלות בשנת 2024 כדי להתאים את הציפיות הבסיסיות לאבטחת סייבר ברחבי העולם. ניהול סיכונים, אתיקה של נתונים ותגובה לאירועים. התייעלות מגיעה גם ממסגרות אבטחה מאוחדות כמו ISO 27001 ו מסגרת אבטחת הסייבר של NIST, שמאות ארגונים כבר מינפו לבניית תוכניות סייבר.

כבר ראינו מהלכים לקראת גלובליזציה של התקנות בשנת 2023 ועד גשרי נתונים כמו הסכמי האיחוד האירופי-ארה"ב וארה"ב-בריטניה, שהם חלק בלתי נפרד מהמגמה הרחבה יותר של פיתוח גישה מתואמת והרמונית יותר להגנה על מידע ופרטיות בהקשר גלובלי. הם עוזרים ליישר מערכות משפטיות שונות, להקל על זרימת מידע בינלאומית ולקבוע סטנדרטים שיכולים להשפיע על נוהלי הגנת מידע גלובליים.

הצטרפות לקבוצות מנהיגות חוצות תעשיות, יישום מסגרות מובנות ברחבי העולם ומעקב אחר הצעות חקיקה יסייעו לחברות להתכונן להפגין התקדמות. אי ציות מפסיק להיות אופציה לניהול נכסים קריטיים שכן מידע מגדיר מחדש עסקים כרגיל.

מגמה 6: רגולציה מוגברת של אבטחת שרשרת האספקה

תקנות ותקני אבטחה משופרים עבור ספקי צד שלישי יעמדו במרכז הבמה בשנת 2024, כאשר ארגונים יכירו בכך שרשתות אספקה דיגיטליות מורחבות מהוות את אחד מסיכוני הסייבר המשמעותיים ביותר לארגונים.

פריצות דרך של בינה מלאכותית עשויות לתפוס כותרות, אבל איומים פחות זוהרים כמו התקפות שרשרת אספקת התוכנה ממשיכות לשחוק ארגונים מבפנים. הנזק החמור מתקריות כמו SolarWinds ו-Log4j זירז את המודעות של ההנהלה לסיכונים של צד שלישי - אך נראות ובקרה מקיפים בסביבות ספקים נותרו חמקמקות עבור רובם.

לקראת 2024, הספקים יתעדפו כלים ותקנים שיעזרו לנהל את סיכוני הספקים על פני שותפויות. כתבי חומרי תוכנה מקיפים (SBOM) שמקטלגים מרכיבים של רכיבים בפלטפורמות שנרכשו יהפכו למנדט עבור קבלנים פדרליים כחלק מהצו הביצועי של הסייבר של הנשיא ביידן. SBOMs מגדילים את השקיפות עבור הרוכשים סביב פגיעויות ידועות או פערי תחזוקה ברחבי ערימת הטכנולוגיה שלהם.

תעשיות נוספות יחקו יוזמות בתחום הרכב המאשרות תקני פיתוח מאובטחים של ספקים המבוססים על תהליכי בדיקה כמו מדדי OWASP. סקירות קוד קפדניות, גישה פחות מועדפת והגנה עצמית של יישומים בזמן ריצה (RASP) הם אמצעי אמינות ספקים אחרים שזוכים לאימוץ.

ככל שיתפתחו שותפויות בין קמעונאים, מערכות בריאות ושירותים פיננסיים, האחריות המשותפת לניהול סיכוני סייבר תתרכז בחוזים נוספים. התנאים יתייחסו לדרישות הנראות למשטחי ההתקפה של השותפים, להודעות על הפרות ולמדיניות הגישה. ארגונים חסרי מוכנות לאבטחת סייבר עשויים לראות את סיכויי הספקים מתמעטים באקלים המתמקד בחוסן.

בסופו של דבר, ספקים וקונים חייבים ליישר כי בעוד ששותפויות מאפשרות טרנספורמציה דיגיטלית ויעילות, הן גם מרחיבות את גבולות התקיפה. אבטחת הצמתים הללו באופן יזום באמצעות סטנדרטים, חריצות והבטחות חוזיות הופכת הכרחית ככל שצדדים שלישיים גדלים ומוטמעים בפעולות. אין היקף כאשר הרשת שלך היא הרשת של כולם.

מתכננים חוסן סייבר לעתיד לא ברור

כפי שהוכיחה שנת 2023, ההיקף וההשפעה של התקפות סייבר הופכים את האבטחה היזומה להשקעה בלתי ניתנת למשא ומתן עבור ארגונים ולא להוצאה מבודדת של IT.

לכל הפחות, מוכנות סייבר ב-2024 דורשת התמקדות מחודשת בניהול מערכות בינה מלאכותית בסיכון גבוה, תוכניות חוסן לפריצות בלתי נמנעות ונראות בבקרות הספקים. זה דורש אבטחת משטחי התקפה גדולים יותר באופן אקספוננציאלי מכיוון שהמחשוב עוזב את ההיקפים המסורתיים. זה מחייב מעקב אחר מהלכי מדיניות מוקדמים מצד רגולטורים שלא יסבלו יותר רשלנות הניתנת להמנע בכל הנוגע להגנה על נתונים או תגובה לאירועים.

אבל הכי מכריע, מועצות המנהלים חייבות לעמוד בראש תרבות המחויבת לשלמות נתונים, שיטות טכנולוגיה אתיות ואחריות קולקטיבית. בלימת סיכוני סייבר מסתמכת על מנהיגים עסקיים נותנים דוגמה באמצעות הקדשת כוח אדם, תקציב ותשומת הלב הראויה לאבטחה כאשר הם מופקדים על רווחת הלקוחות ופרנסתם.

האיומים מורכבים אך ניתנים להתגברות עבור אלו שמבינים כי חוסן סייבר מסתמך על תיאום ולא על בידוד. עסקים מנוסים יתכוננו לזמנים סוערים על ידי בנייה יזומה של שותפויות, יכולת פנימית ומערכות אמינות המוכנות לקצור בבטחה את הדיווידנדים של חדשנות דיגיטלית.

רבקה הרפר

רבקה היא ראש תחום שיווק תוכן ב-ISMS.online. עם למעלה מ-12 שנים בתעשיית המידע והסייבר, רבקה מחויבת לחינוך, בניית מודעות והעצמת עסקים להשגת יעדי ציות, מידע ואבטחת סייבר.