משקף את תחזיות מגמת אבטחת סייבר לשנת 2023: שנה בסקירה- ISMS.online

משקף את תחזיות מגמת אבטחת הסייבר לשנת 2023: סקירה של שנה

מאת רבקה הרפר • 16 נובמבר 2023

בשנה שעברה עשינו תחזיות לגבי מגמות אבטחת סייבר שיגדירו את 2023. כעת, עם סיום השנה, הגיע הזמן להסתכל אחורה על התחזיות הללו ולראות היכן צדקנו ואיפה אולי החמצנו את המטרה.

מה שברור מאוד הוא שבעוד שכמה טרנדים התקיימו, אחרים קיבלו תפניות בלתי צפויות. התחזית שלנו שהתקפות שרשרת האספקה יימשכו הייתה נכונה במיוחד, כמו תקריות משמעותיות בקפיטה, במשטרת בריטניה וב-3CX הפגין. כצפוי, גם עלייתם של מכשירי ה-IoT והרגולציה של מכשירים אלו התגברה.

עם זאת, מגמות מסוימות, כמו הדחיפה להרמוניזציה גלובלית של תקנות הנתונים, לא התקדמו במהירות כפי שחזו. ואימות ללא סיסמה, בעודו מקבל קיטור, עדיין לא יחליף לחלוטין סיסמאות.

פוסט זה בבלוג יבחן מחדש כל מגמה שאנו חזים וינתח היכן הדברים עומדים כיום. על ידי סקירת הלהיטים וההחמצות שלנו, אנו שואפים לספק הערכה כנה של מגמות אבטחת הסייבר החשובות כעת ולצייד ארגונים בתובנות הדרושות כדי להתכונן לשנה הבאה קדימה.

מגמה 1: גישה ראשונה לפרטיות לאבטחת מידע

בשנה שעברה, חזינו ש-2023 תביא לגישה ראשונה לפרטיות לאבטחת סייבר, שמונעת בעיקר על ידי חיזוק תקנות פרטיות הנתונים ברחבי העולם. תחזית זו התבררה כמדויקת, שכן הפרטיות הפכה לשיקול מרכזי עבור קובעי מדיניות ומנהיגי טכנולוגיה.

פלטפורמות מרכזיות כמו גוגל אכן עברו לכיוון מודלים המתמקדים בפרטיות - הוצאה משימוש של קובצי Cookie של צד שלישי ב-Chrome וב- השקת יוזמת Privacy Sandbox הדגיש את פרטיות המשתמש. למרות שהם לא מושלמים, שינויים אלה מייצגים שינוי סיסמי עבור תעשיית טכנולוגיית הפרסום. אפל הרחיבה באופן דומה את דחף הפרטיות שלה עם שדרוגים נוספים שלה שקיפות מעקב אחר אפליקציות.

הטלאי ההולך וגדל של חוקי פרטיות הנתונים אילץ גם ארגונים לתעדף פרטיות.

אירופה

GDPR המשיך להיות המדד לזכויות דיגיטליות.

אפילו תחומי שיפוט ללא חוקים ספציפיים חשו לחץ להתיישר עם ה-GDPR כדי לאפשר זרימת נתונים, עם מאמץ וזמן ניכרים שהושקעו ביצירת גשרי נתונים כדי לאפשר העברת נתונים על פני גבולות גיאוגרפיים בהתאם.

ארצות הברית

קליפורניה הובילה את האשמה עם חוק פרטיות צרכנים מתוקן של קליפורניה שנכנס לתוקף בשנת 2023. מדינות אחרות, כולל וירג'יניה, קולורדו, יוטה וקונטיקט, חוקקו גם את חוקי הפרטיות שלהן.

ברמה הפדרלית, הצעות חוק של הקונגרס כמו חוק המידע לטיפול במידע וחוק הפרטיות המקוונת לאותת דחיפה רחבה יותר להקמת מסגרת פרטיות לאומית.

APAC

בסין, תוכן מפורט יותר הושק צעד אחר צעד מתחת חוק הגנת מידע אישי (PIPL) עם התמקדות בהליכי הערכת אבטחה לייצוא וסעיפים חוזיים סטנדרטיים (SCCs) ליצוא נתונים. ו הצעת החוק להגנה על נתונים אישיים דיגיטליים בהודו הזיז את המחט באסיה. בעודה באוסטרליה, הממשלה תכננה לשנות את חוק הפרטיות, עם שינויים שונים שהוצעו כדי לחדש אותו ולהפוך אותו לרלוונטי יותר בעידן הדיגיטלי

הרחבה זו של חקיקת הפרטיות ברחבי העולם הפכה את התאימות למורכבת יותר, אך חיזקה את אבטחת המידע הקודמת לפרטיות.

גם התחזית שלנו לגבי מסגרות פרטיות הוכיחה את עצמה. אימוץ של תקנים כמו ISO 27001 ו-ISO 27701 הואצו כאשר ארגונים ביקשו לסדר את תוכניות הפרטיות שלהם. מסגרות אלו מספקות מפות דרכים מועילות להפעלת בקרות הגנת מידע ופורמליזציה של ניהול הפרטיות.

למרות שהושגה התקדמות, נוף הפרטיות עדיין מתפתח. כמה חוקים כמו PIPL, בעודם קיימים, מתפתחים לאט, ולחברות רבות עדיין אין תוכניות פרטיות בוגרות. עם זאת, הצמיחה של תקנות הפרטיות והגברת ציפיות המשתמשים סביב אבטחת מידע ביססו היטב את הפרטיות כדאגה ראשונה במעלה עבור אבטחת סייבר ומנהיגים עסקיים - אלה שלא נותנים לזה עדיפות ב-2024 מסתכנים בפיגור של עמיתים, רגולטורים וצרכנים. גישה קודמת לפרטיות היא כבר לא אופציונלית אלא בסיסית לאמון ולהצלחה בכלכלה הדיגיטלית.

מגמה 2: הרמוניזציה גלובלית של מידע, פרטיות ורגולציה של נתונים

בשנה שעברה, ציפינו למומנטום הולך וגובר לקראת הרמוניה של תקנות פרטיות ונתונים מעבר לגבולות. הכוונה הייתה לייעל את הציות לחברות הפועלות ברחבי העולם ולשפר יכולת פעולה הדדית. עם זאת, המורכבות של איחוד מסגרות משפטיות מגוונות גרמה לכך שההתקדמות בחזית זו הייתה שקטה יותר מהצפוי.

כמה צעדים טנטטיביים ננקטו כדי ליישר תקנות בינלאומיות. יוזמות כמו מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב התמקדה במתן אפשרות לזרימת נתונים טרנס-אטלנטית באמצעות סטנדרטים משותפים. APEC המשיכה לפתח את מערכת חוקי הפרטיות חוצי הגבולות שלה כדי לגשר על תחומי השיפוט של אסיה-פסיפיק. עם זאת, נותרו פערים משמעותיים בין משטרי הפרטיות העיקריים.

ה-GDPR של האיחוד האירופי נותר חוק הגנת המידע הנרחב ביותר בעולם. המאמצים להשפיע על תחומי שיפוט אחרים לקראת יישור GDPR השיגו תוצאות מעורבות. חוקים כמו ה-LGPD של ברזיל קיבלו רמזים מ-GDPR, אך אזורים אחרים בחרו ברגולציה מותאמות אישית. ומדינות כמו הודו וסין חוקקו חוקי ריבונות באינטרנט המבטיחים שליטה דיגיטלית רבה יותר.

אינטרסים לאומיים שונים מהווים אתגר מכריע להרמוניה. ממשלות רואות לעתים קרובות את חוקי הפרטיות כשומרים על ריבונות ומגבילים השפעה חיצונית. זה מקשה מבחינה פוליטית על התכנסות סביב מערכת סטנדרטית של כללים. גם סדרי עדיפויות מתחרים סביב פרטיות מול צמיחה כלכלית פוגעים בקונצנזוס.

אמנם הרמוניזציה עולמית מהותית נותרה חמקמקה, אך ארגונים עדיין יכולים להתכונן לנוף המורכב הזה. שמירה על סטנדרטים ומסגרות בינלאומיות מוכרות עוזרת להבטיח תאימות בסיסית בין תחומי השיפוט. השקעה בתוכניות ממשל נתונים ניתנות להתאמה מאפשרת התאמה לדרישות חדשות. ומעקב אחר התפתחויות משפטיות בשווקי יעד חיוני כדי להישאר לפני המשטר המתפתח.

למרות שהדרך להרמוניה ארוכה, התאמה לעקרונות הליבה של הגנה על נתונים עשויה להתפתח עם הזמן. אבל, ניהול תאימות על פני תקנות שונות יישאר ככל הנראה המציאות ב-2024.

מגמה 3: עתיד חסר סיסמה לפנינו

בשנה שעברה, חזינו שבשנת 2023 תהיה אימוץ מוגבר של אימות ללא סיסמה מכיוון שחברות ביקשו לשפר את האבטחה ואת חווית המשתמש. מגמה זו התרחשה במידה רבה כצפוי.

חברות טכנולוגיה גדולות עזרו להאיץ את העתיד חסר הסיסמה באמצעות יישומים בפרופיל גבוה. מיקרוסופט הכריזה על כניסה ללא סיסמה למשתמשי Azure Active Directory מסחריים, מינוף תקני FIDO לאימות מרובה גורמים. אפל פרסה מפתחות סיסמה ב-iOS 16 וב-macOS Ventura כחלופה מאובטחת לסיסמאות. גוגל, פייסבוק ואחרות הרחיבו גם השקות ללא סיסמאות.

תגובת הצרכנים הייתה חיובית ברובה, שכן מערכות ללא סיסמה מסירות את החיכוך של שינון אישורים. עם זאת, לאימוץ עסקי רחב יותר, מערכות אלו משויכות לעיתים קרובות לדרישות אימות זהות מוגברות המאזנות בין אבטחה ושימושיות.

התחזית שלנו לגבי שילוב אימות ללא סיסמה עם ארכיטקטורת אמון אפס וניהול גישת זהות התקיים. בעוד ארגונים מחפשים לאמת את זהויות המשתמש ברשתות, מכשירים וסביבות, אפס עקרונות אמון עוזרים להגן על הגישה. כלים כמו כניסה יחידה ואימות רב-גורמי אדפטיבי עוזרים לנהל כניסות תוך מניעת שימוש חוזר באישורים.

עם זאת, סיסמאות נמשכות במערכות רבות. יישומים ושירותים מדור קודם חסרי יכולות אימות מודרניות מהווים מחסומים ליציאה ללא סיסמה לחלוטין. ועלויות של שיפוץ תשתית מדור קודם יכולות להאט את האימוץ. אז, בעוד המומנטום לעבר חסר סיסמה נמשך, ייתכן שמוות הסיסמה עדיין לא לגמרי כאן.

בשנה הקרובה, אנו מצפים לשילוב נוסף של מערכות ללא סיסמאות עם הגנות ניהול זהויות שכבות. ארגונים המודאגים מסיכוני פישינג יוכלו תחילה להפעיל ניסויים ללא סיסמה באזורי סיכון נמוך. וחינוך משתמשים יהיה חיוני, שכן חסר סיסמה מייצג שינוי בהתנהגות התחברות בת עשרות שנים. אבל בשימוש מושכל, אסטרטגיות חסרות סיסמה ואפס אמון יכולות לקחת את ניהול הזהויות לשלב הבא.

מגמה 4: בעיית שרשרת האספקה נמשכת

בשנה שעברה, חזינו שהתקפות סייבר בשרשרת האספקה יתגברו ככל שגורמי איומים מחפשים נקודות חדירה חדשות. לרוע המזל, התחזית הזו התממשה במלואה, עם תקריות משמעותיות שהדגימו את הפגיעות המתמשכת של שרשרת האספקה.

כמה חברות בעלות פרופיל גבוה נפלו קורבן להתקפות מתוחכמות של שרשרת האספקה ב-2023, כולל BA, Boots ו-BBC, שנפרצו באמצעות שימוש של חברות השכר שלהם בכלי העברת קבצים בשם MOVEit. ענקית הטכנולוגיה Okta סבלה גם מפרצה של למעלה מ-5,000 נתונים של עובדים באמצעות ספק שירותי בריאות צד שלישי. וכנופיות תוכנות כופר מכוונות יותר ויותר לספקי שירותים מנוהלים כדי לגשת ללקוחות שלהם במורד הזרם.

תקריות אלה מדגישות את הסיכונים של חוליות חלשות שהתעלמו מהן ושל שותפים בעלי אמון יתר. בתגובה, עסקים הכפילו את אסטרטגיות הסייבר של שרשרת האספקה, ואימצו מסגרות כמו ISO 27001 ו-NIST כדי לבסס בקרות ותהליכים מקיפים של אבטחת מידע המתייחסים לאינטראקציות של צד שלישי; זה כולל יישום סקירות אבטחה קבועות עבור ספקים, מתן עדיפות לאבטחת ענן לנעילה של סביבות ספקים ולחץ על ספקי שירותים מנוהלים להפגין מוכנות סייבר ללקוחות.

אמנם צעדים חיוביים, אך אבטחת שרשרת האספקה נותרה עבודה בתהליך עבור ארגונים רבים. שינויי תרבות לוקחים זמן, שכן לא ניתן לפרק אמון עמוק בין בני זוג בין לילה. אבל האיומים ימשיכו להתפתח, כלומר ערנות שרשרת האספקה לא יכולה לדעוך.

במבט קדימה, אנו מצפים שתוכניות ניהול סיכונים של צד שלישי (TPRM) יהיו נפוצות בכל תעשיות. אבטחת סייבר תשפיע יותר ויותר בהחלטות הרכש. והפיקוח על הספקים יתהדק באמצעות ביקורת וגילויי חובה. בעוד שבעיית שרשרת האספקה לא תיעלם ב-2024, עסקים חידשו את ההכרח להתמודד עם האיומים המתמשכים הללו.

מגמה 5: נוף הסיכון של האינטרנט של הדברים (IoT).

בשנה שעברה, ציפינו שההתפשטות של מכשירי IoT תרחיב את משטח ההתקפה עבור ארגונים. התחזית הזו התממשה, שכן IoT לא מאובטח הופיע כעקב אכילס באירועי סייבר ב-2023.

תוקפים כיוונו בעקביות למכשירי IoT פגיעים כדי לקבל גישה לרשת. נקודות התורפה של Log4j במערכות IoT נוצלו לפריסת כורי קריפטו. מכשירי IoT לא מוגנים של שירותי בריאות נפגעו כדי לגנוב נתוני מטופלים. התקפות DDoS מינפו מצלמות ונתבים IoT מאובטחים בצורה גרועה כדי להציף את הקורבנות.

בתגובה, תקנות אבטחת ה-IoT המיוחלות זכו השנה לתפיסה עולמית. חוק חוסן הסייבר של האיחוד האירופי יחייבו תקני אבטחה בסיסיים של IoT החל משנת 2024. ארה"ב, בריטניה ואחרות רודפות אחר כללים דומים כדי לסגור פרצות IoT. החוקים הללו מטרתם לבלום את התפשטותם של מכשירים שאינם תואמים.

בצד הארגוני, צוותי IT מיהרו לבצע מלאי של נכסים מחוברים, לעדכן קושחה של מכשירי IoT ולנטר את התעבורה בסביבות IoT. פילוח רשתות IoT עזר להגביל את התנועה הצידית לאחר הסתננות. אבל עבור רבים, סולם ה-IoT הלא ידוע והבלתי מנוהל הקשה על תיקון בזמן.

בעוד שרגולטורים ועסקים עובדים כדי לטפל בסיכונים, אינטגרציית IoT ממשיכה להתרבות במהירות. גרטנר צופה שיהיו למעלה מ-30 מיליארד מכשירי IoT עד 2025, לעומת 11.4 מיליארד בשנת 2021. הרחבה מסיבית זו של נוף ה-IoT תאתגר אפילו את משטרי אבטחת המכשירים החזקים ביותר.

בשנת 2024, אנו מצפים שניהול אבטחת IoT יהפוך לתחום מיקוד ייעודי. ארגונים יאמצו את נראות ה-IoT ויגשו לכלים כדי לשלוט בהתפשטות המכשירים. ועסקים נוספים יחפשו פלטפורמות שמפשטות את ניהול הנכסים וזיהוי האיומים על פני מערכות אקולוגיות מורכבות של IoT. אבל כיווץ משטח ההתקפה ההולך ומתרחב הזה ידרוש מאמצים נמרצים ומתואמים.

מגמה 6: ניהול פער מיומנויות אבטחת סייבר בצורה יצירתית

בשנה שעברה, חזינו שיופיעו גישות יצירתיות שיסייעו לנהל את המחסור במיומנויות אבטחת סייבר המגביל את צוותי האבטחה.

כשתפקידי סייבר נותרו חסרי כוח אדם באופן כרוני, חברות אכן הפכו יצירתיות עם גיוס כישרונות, גיוס מתחומים סמוכים כמו IT, תאימות והנדסה כדי לגשת למאגרי כישרונות לא מנוצלים. תוכניות התלמדות עזרו לעצב מועמדים מתעניינים חסרי ניסיון ישיר. והדגשת מיומנויות רכות יותר לתפקידי סייבר עודדה מאגרי מועמדים רחבים יותר.

מיקור חוץ צמח גם כדי לייעל תהליכים ולפנות משאבי סייבר פנימיים. אנשי MSSP לקחו על עצמם ניטור ותגובה במיקור חוץ עבור מרכזי תפעול אבטחה מתוחים. ספקי ענן סיפקו שירותי אבטחה מנוהלים להפחתת עומסי התשתית. ויועצים סיפקו מומחיות מיוחדת כדי למלא פערי ידע.

עם זאת, מיקור חוץ מציג סיכונים פוטנציאליים, כפי שניתן לראות בהפרות גדולות של צד שלישי, אם לא מנוהלים מקרוב. וחברות עדיין היו זקוקות לעזרה כדי להנחות מנהיגות בכירה בתחום אבטחת הסייבר; פער מיקור חוץ לא יכול היה למלא.

לקראת 2024, ניהול כוח אדם בתחום הסייבר יישאר הכרחי. תוכניות הדרכה, גיוס יצירתי ושימוש טוב יותר במשאבים באמצעות מיקור חוץ ירחבו ככל הנראה. עם זאת, מחסור חריף במיומנויות סייבר מתקדמות נמשך. הסתמכות התעשייה על אנשי אבטחה עמוסים אך חיוניים תימשך בעתיד הנראה לעין. יצירתיות והשקעה מתמשכים יהיו חיוניים להצלחה.

נקודות חשובות: הדרך לאבטחת סייבר חזקה יותר

אם 2023 לימדה חברות משהו, מידע יעיל ואבטחת סייבר חיוניים כעת להצלחה עסקית.

מגמות מסוימות כמו התקפות שרשרת האספקה והתפשטות IoT הואצו בבירור כצפוי. אבל תחומים אחרים, כמו אימוץ ללא סיסמה ורגולציה גלובלית, זזו בהדרגה מהצפוי. כל אלה מדגישים שאבטחת סייבר דורשת זריזות וערנות. שאננות מסוכנת כאשר איומים משתנים כל כך בקלות.

כדי להתקדם, ארגונים חייבים לעקוב אחר מגמות ברציפות, לא רק מדי שנה. עליהם להפעיל פתרונות מתעוררים בזהירות, גם כשההבטחה גדולה. השקעה ביסודות ניתנים להסתגלות כמו מסגרות אבטחה, אבטחה מבוססת סיכונים ופיתוח כוח אדם מאפשרת ציר כדי לעמוד באתגרים חדשים.

כאשר אנו מצפים לשנת 2024, צפו לתנודתיות רבה יותר, החל ממתח גיאופוליטי המניע התקפות בחסות המדינה ועד למחשוב קוונטי ובינה מלאכותית שמציגה סיכונים טכנולוגיים חדשים. שיתוף הפעולה יהיה קריטי, משותפויות ציבוריות-פרטיות ועד לשיתוף פעולה בין מערכות אקולוגיות של ספקים כדי להעלות את החוסן הבסיסי על פני שרשראות אספקה מקושרות. סיכון הסייבר כאן כדי להישאר, אבל המאמצים הקולקטיביים שלנו יכולים ליצור מערכת אקולוגית דיגיטלית מהימנה יותר שמאזנת התקדמות והגנה.

רבקה הרפר

רבקה היא ראש תחום שיווק תוכן ב-ISMS.online. עם למעלה מ-12 שנים בתעשיית המידע והסייבר, רבקה מחויבת לחינוך, בניית מודעות והעצמת עסקים להשגת יעדי ציות, מידע ואבטחת סייבר.