שנה בציות: חמש מגמות מפתח משנת 2024

זו הייתה עוד שנה מלאה בתקריות עבור צוותי אבטחה ותאימות. מוגש במזנון התקפות כופר, שרשרת אספקה ​​וקוד פתוח איומים, גונבי מידע, הפסקות IT גלובליות, ועוד הרבה, רבים נאבקו לשמור את הראש מעל המים. כשהחדשנות הטכנולוגית, במיוחד בבינה מלאכותית (AI), הואצה בקצב, גם לרגולטורים הייתה שנה עמוסה. עם זאת, ככל שהצטברו מנדטים חקיקתיים, בטחון מסוים מקצוענים הודו שכללים חדשים רבים קשים מדי להבנה וגוזלים מדי זמן ליישום. 

זוהי מגמה מטרידה שככל הנראה תימשך כשהמחסור במיומנויות נוגס. אבל יש אור בקצה המנהרה, אם צוותי האבטחה יוכלו למצוא דרך לייעל את מאמצי הציות שלהם באמצעות תקני שיטות עבודה מומלצות כמו ISO 27001. עם זאת בחשבון, אלו הם חמשת הדברים שלמדנו מ-2024. 

אוסטרליה סוף סוף מתחילה להיות רצינית לגבי אבטחת סייבר 

זה עבר זמן רב, אבל אוסטרליה קיבלה סוף סוף את הסעיף הראשון של חקיקת אבטחת סייבר עצמאית. עדיין עושה את דרכו בפרלמנט בזמן כתיבת שורות אלה, חוק אבטחת הסייבר הוא חוק חדש שאפתני המבטיח ליישם שבע יוזמות מפתח המפורטות בחוק החדש של ממשלת אלבניה. אסטרטגיית אבטחת סייבר. הוא יחייב דיווח על תשלומי כופר ותקנים חדשים לגאדג'טים חכמים, וכן יעודד שיתוף מידע עם הרשויות, בין היתר. 

מומחים טוענים שארגונים אוסטרליים יכולים להקדים את הדרישות החדשות הסבירות על ידי סקירת נוהלי האבטחה הנוכחיים שלהם, קביעה היכן יש פערים או אזורים לשיפור, ומעקב אחר חשיבה של אבטחה לפי עיצוב. משהו בהחלט צריך לשנות את Down Under. במחצית השנייה של 483 היו 2023 הודעות על פריצות נתונים, עלייה של 19% מהחלק הראשון של השנה, כאשר רובן (67%) נגרמו על ידי התקפות זדוניות. 

איומי בינה מלאכותית בשפע כשכללים חדשים נכנסים לתוקף 

אחת הסטטיסטיקות הכותרות מה-ISMS.online דוח מצב אבטחת מידע לשנת 2024 הוא ש-30% מהנשאלים חוו התקפות הכוללות זיופים עמוקים. זה שם את זה רק מאחורי הנדסה חברתית והדבקה בתוכנה זדונית ומהווה עדות להאצה המדהימה של חדשנות טכנולוגית בשנה האחרונה. כתמיד, הרגולטורים מיהרו להדביק את זה ואת איומי AI אחרים על עסקים, צרכנים וחברה.  

האיחוד האירופי נוטל באופן לא מפתיע את ההובלה ברגולציה חוק AI, מה שישפיע על חברות בבריטניה שרוצות למכור לשוק היחיד. זה מעסיק גישה מבוססת סיכונים שמסווג מערכות בינה מלאכותית לארבע קטגוריות על סמך הנזק הפוטנציאלי שלהן. אלה בקטגוריית הסיכון הגבוה ידרשו את מירב העבודה, וידרשו מארגונים לבצע הערכות סיכונים יסודיות, ליישם מנגנוני פיקוח אנושיים, וכן להבטיח שמערכות ה-AI בטוחות, אמינות ושקופות. במקום אחר, אמנת המסגרת של מועצת אירופה בנושא בינה מלאכותית הוא בעל בסיס רחב, אמנה ברמת מדינת הלאום נועד לטפל בכל פערים משפטיים הנובעים מהתקדמות טכנולוגית מהירה של AI. נותר לראות אם יש לזה את ההשפעה הרצויה.  

ארה"ב נוקטת בגישה פחות מעשית לרגולציה, משהו שסביר שימשיך עם ממשל טראמפ חדש. אבל החור הרגולטורי הזה הוא מתמלא ברמת המדינה. ארגונים צריכים להסתכל על ISO 42001 כמדריך מועיל לשימוש בטוח ב-AI. מסמכי הנחיות חדשים מ-NIST (על איומים יריבים) וה-NCSC (לפיתוח AI) אמור גם לעזור. 

יצרני IoT נמצאים בבדיקה אינטנסיבית 

מערכות האינטרנט של הדברים (IoT) עושות את דרכן לכל דבר, החל מלהקות כושר ועד למפעלים חכמים. אבל הם גם מהווים סיכון אבטחה משמעותי, שכן ליצרנים, עד כה, לא היו תקנות רשמיות המחייבות סטנדרטים מינימליים של שיטות עבודה מומלצות. זה השתנה כעת, עם חוקים חדשים ברמת בריטניה והאיחוד האירופי. בריטניה הייתה הראשונה להכות עם שלה חוק אבטחת מוצרים ותשתיות תקשורת (PSTI). הוא מחייב סיסמאות ייחודיות וחזקות לכל מכשיר, ותוכניות גילוי פגיעות של יצרן ותוכניות עדכון אבטחה, שצריכות לפעול למשך זמן מסוים.  

למרות שהוא צנוע, זה אמור לעזור לשפר את תקני האבטחה של ה-IoT במרחב הצרכני ועשויים להיות משופרים עם הזמן. עם זאת, של האיחוד האירופי חוק חוסן סייבר (CRA) הוא הרבה יותר שאפתני ויידרש עבור כל יצרן או קמעונאי שמקווה למכור מוצרי IoT לצרכן ביבשת. יש לו היקף רחב יותר ומחייב רשימה ארוכה יותר של דרישות אבטחה. חברות בבריטניה עם עין אחת על אירופה צריכות לעמוד בדרישות ה-PSTI על ידי התמקדות ב-CRA. 

חקיקה חדשה בנושא אבטחת סייבר בבריטניה מגיעה 

בבריטניה, ממשלת הלייבור החדשה לא בזבזה זמן השנה בהפצת הודעה על חוקים חדשים הקשורים לאבטחת סייבר שנועדו להגביר את חוסנה של המדינה בפני איומים מתפתחים. העיקרי שבהם הוא ה הצעת חוק אבטחת סייבר וחוסן, שיעדכן את תקנון הש"ח. באופן ספציפי, זה יגדיל את היקף משטר ה- ₪ הנוכחי "כדי להגן על יותר שירותים דיגיטליים ושרשרות אספקה", להכניס דיווח חובה על תוכנות כופר, ולהעניק יותר סמכויות לרגולטורים - אם כי לא ברור איך בדיוק. הממשלה גם הכריזה על הצעת חוק מידע דיגיטלי ונתונים חכמים, שהיא בעצם גרסה חדשה של חוק הגנת הנתונים והמידע הדיגיטלי המיועד לעדכון משטר ה-GDPR של בריטניה. צוותי הציות יעקבו מקרוב אחר כל מידע חדש על החוקים המוצעים בשנה הבאה. 

החודשים האחרונים של הממשל הקודם גם השאירו הרבה לעסקים בבריטניה ללעוס, כולל הצעה קוד נוהג חדש עבור ממשל סייבר ו תקנות חדשות נועד לשפר את עמדת האבטחה של מרכזי נתונים. 

לספקי תשתית קריטיים יש הרבה כדי להעסיק אותם 

באיחוד האירופי, שני סעיפי חקיקה חדשים מטילים דרישות מחמירות לספקי תשתית קריטיים. המועד המיוחל עבור ביצוע 2 שקלים עבר באוקטובר. זה יכניס מספר עצום של ארגונים אירופאים נוספים לתחום, יחייב מערך חדש של דרישות אבטחה בסיסיות, ויציב רמה חדשה של אחריות לתקריות על ההנהלה הבכירה. שוב, חברות בבריטניה הסוחרות עם אירופה יצטרכו לציית, והם יכולים להשתמש בצורה הטובה ביותר לתרגל תקנים כמו ISO 27001 כדי לעזור להם לעשות זאת. 

בינתיים, חוק החוסן התפעולי הדיגיטלי (DORA) ייכנס לתוקף בתחילת השנה החדשה: 17 בינואר 2025. הוא גם מחייב מערכת חוקים חדשה וקפדנית, הפעם עבור חברות שירותים פיננסיים וספקי ה-IT שלהן. שׁוּב, ISO 27001 יכול לעזור על ידי הקמת התהליכים הבסיסיים הדרושים כדי לעמוד בדרישות בתחומים כמו תגובה לאירועים, ניהול סיכונים, ניהול סיכונים בשרשרת האספקה ​​ובדיקות חוסן. 

יד עוזרת 

ככל ששטחי ההתקפה הארגוניים מתרחבים, גורמי האיומים ממשיכים להסתובב והרגולטורים גדלים בדרישות, צוותי אבטחה ותאימות מאיימים להיות מוצפים בעומס העבודה. נראה שיש לזה השפעה מדאיגה. מחצית (50%) מהעסקים בבריטניה מדווחים כי חוו צורה כלשהי של פרצת אבטחה או התקפה ב-12 החודשים האחרונים - עלייה ל-70% מהעסקים הבינוניים ו-74% מהעסקים הגדולים. זה עלייה ניכרת מהנתונים בהתאמה של 32%, 59% ו-69% ב-2023. 

סטנדרטים ומסגרות של שיטות עבודה מומלצות אינן תרופת פלא. עם זאת, הם יכולים לעשות הרבה מהמשימות הכבדות שכן רבות מהדרישות בחקיקה שצוטטה לעיל חולקות את אותן המטרות הבסיסיות. המפתח הוא למצוא ספק המסוגל להאיץ ולייעל את נטל הציות הזה על רקע פערי מיומנויות מתמשכים. למרבה המזל, הכלים האלה קיימים.