BLACK HAT EUROPE 2023 – Лондон – Очаквайте правителствата да наложат по-строги регулации в областта на киберсигурността, ако предприятията не могат да се защитят от големи атаки и да спрат нарушенията.
Това прогнозира основателят на Black Hat Джеф Мос, който говори на Black Hat Europe в Лондон тази седмица. Той вярва, че в крайна сметка светът ще достигне до критична точка, в която твърде много силно въздействащи пробиви и ескалиращи инфраструктурни удари от спонсорирани от държави нападатели ще подтикнат правителствата да действат.
„Саморегулирането не работи“, отбеляза той от основната сцена.
Мос също така заяви, че сигурността може да се насочи към момента на Сарбейнс Оксли (SOX) – американски закон, въведен след срива на Enron през 2001 г., който защитава инвеститорите чрез проверка за измамни счетоводни и съмнителни финансови практики в публично търгувани компании. Постигането на съответствие с изискванията на SOX изисква финансовите отчети да включват доклад за вътрешния контрол, за да се покаже, че финансовите данни на компанията са точни и са въведени адекватни механизми за контрол за защита на финансовите данни – и лесно може да се види как това може да се пренесе в одита на киберсигурността.
Междувременно основният говорител на Black Hat Europe и бивш директор по сигурността на Uber Джо Съливан (който сам е осъден и е в изпитателен срок за измама заради това, че не е предупредил регулаторните органи за пробив в киберсигурността на гиганта за споделено пътуване през 2016 г.) подчертава, че регулаторните органи трябва да бъдат равнопоставени по отношение на това кой трябва да носи отговорност за опазването на безопасността на хората и да вземат предвид реалностите, свързани с пробивите в данните и тяхното ограничаване на място. Трябва ли някой да бъде осъден на затвор за това, че се е поддал на социално инженерство, например? Трябва ли финансовият директор, който не смята, че двуфакторната автентикация е подходяща за бюджета на компанията, да плаща глоби, когато превземането на акаунт доведе до атака с рансъмуер? А какво да кажем за екипа по сигурността, който не е успял да обоснове по подходящ начин необходимостта от нея?
В разговор с Dark Reading Съливан използва примера с новоприетите правила на SEC за докладване на нарушения на сигурността на данните; той твърди, че когато SEC е отправила искане за обратна връзка по проекта на правилата, тя не е успяла да вземе предвид мнението на работещите на предна линия.
„Бих искал общността по сигурността действително да им даде обратна връзка, а не само [жертвите, засегнати от пробиви]“, казва той. „Мисля, че повечето от хората, които са седели на тези правителствени места, никога не са седели на мястото на CISO или на мястото на инженера по сигурността и няма да бъдат съпричастни.“
Дори и така, ако регулаторният подход се прилага правилно, той би могъл да превърне сигурността във фокус на цялата компания, което може да доведе до положителни резултати по отношение на готовността и защитата, казва той.
„[Посланието на] регулаторите е: „Ако не се погрижите за сигурността на хората, ще има последствия“, отбелязва той. „Необходимо е това да бъде чуто на най-високите нива в компанията, а не само на ниво сигурност на компанията, и тогава ще постигнем истинска промяна.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.