Исследование Глобального Состояния Информационной Безопасности 2015 Г. (Gsiss 2015). Часть 1

Исследование PwC очень объемное, поэтому публикуется частями.

Сегодня информационная безопасность является неотъемлемой частью бизнес-рисков.

Теперь этот вопрос касается не только специалистов по информационным технологиям и безопасности; Высшее руководство и советы директоров теперь занимаются вопросами информационной безопасности.

Потребители также обеспокоены и хотят быть в курсе возможных инцидентов и угроз безопасности.

Сообщения средств массовой информации об инцидентах безопасности (инцидент безопасности определяется как непредвиденный инцидент, угрожающий ряду аспектов информационной безопасности) стали таким же обычным явлением, как прогноз погоды, и за последние 12 месяцев практически каждый сектор промышленности во всем мире был подвергается некоторому типу киберугроз.

По мере увеличения числа инцидентов правительства становятся все более активными, помогая организациям бороться с киберпреступностью.

Например, ФБР опубликовало информацию о том, что 3000 компаний, включая банки, розничные торговцы и военные подрядчики, стали жертвами кибератак в 2013 году.

Министерство юстиции США впоследствии предъявило обвинения пяти китайским военным хакерам в проведении экономического кибершпионажа против американских компаний в ядерной, металлургия и солнечная энергетика.

Это был первый случай, когда США обвинили правительственных чиновников в экономическом шпионаже посредством внешних кибератак в соответствии с разделом 1831 Закона об экономическом шпионаже.

Эта тенденция, скорее всего, продолжится, по прогнозу Шона Джойса (главы консалтингового отдела PwC и бывшего заместителя директора ФБР).

«Я думаю, мы увидим, что Министерство юстиции и ФБР продолжат проводить агрессивную стратегию по преследованию тех, кто наносит значительный экономический ущерб экономике США», — говорит Джойс.

В прошлом году атаки на крупные розничные компании достигли невероятных масштабов, что привело к краже сотен миллионов записей о платежных картах клиентов.

Это привело к значительному увеличению количества судебных разбирательств и срочному введению нового стандарта платежных карт в США.

В Великобритании инсайдер компании похитил информацию о зарплатах и номерах банковских счетов 100 тысяч сотрудников сети супермаркетов, после чего эта информация была опубликована в сети.

Южная Корея также сообщает о массовой краже потребительских данных: атаковано 105 миллионов счетов платежных карт. В немецком Фердене городские власти заявили о краже 18 миллионов адресов электронной почты, паролей и другой информации.

После разоблачений Сноудена атаки на торговые сети привлекли еще большую огласку к вопросам информационной безопасности.

Громкие разоблачения о слежке побудили международные корпорации и даже правительства пересмотреть свои списки поставщиков товаров и услуг, исключив компании, которые могут иметь связи с правительственными учреждениями.

Особенно в Symantec сообщил о раскрытии шпионажа против правительств основных стран Евросоюза.

На основании выбранных целей и крайне необычного вредоносного ПО компания Symantec пришла к выводу, что атаки координировались группой при поддержке одного из государств.

Геополитические конфликты, особенно между Россией и Украиной, приводят к контратакам на правительственные сайты и распространению вредоносного ПО на устройствах посольств.

Другие важные поставщики инфраструктуры также подвергаются атакам.

Группа хакеров успешно проникла в коммунальное предприятие США через Интернет и скомпрометировала его систему управления, однако вторжение было остановлено до того, как был нанесен какой-либо ущерб.

Преступники, поддерживаемые третьими сторонами, используют сложное вредоносное ПО для проникновения в системы промышленного контроля сотен энергетических компаний в США и Европе.

Компании финансового сектора остаются лидерами среди жертв кибератак.

Нападения на фондовые биржи стали обычным явлением.

Изучать Опрос 46 фондовых бирж по всему миру, проведенный Международной организацией комиссий по ценным бумагам (IOSCO) и Всемирной федерацией бирж, показал, что более половины (53%) бирж подверглись кибератакам.

Банковский сектор также не отстает; В ходе одной из атак киберпреступники ограбили банкоматы двух ближневосточных банков по всему миру на сумму $45 млн.

Мы также наблюдаем рост атак на так называемый сегмент «Интернета вещей» — растущую экосистему подключенных устройств, призванных облегчить нашу жизнь, например, радионяни, домашние термостаты, новые телевизоры и т. д. Эти интернет- подключенные устройства чрезвычайно уязвимы для атак, поскольку у них отсутствуют даже базовые системы безопасности, что подтверждается недавними исследованиями.

изучать HP Fortify по требованию.

HP изучила 10 самых популярных подключенных устройств и подтвердила, что 70% из них содержат серьезные уязвимости.

IOActive опубликовано изучать , который подробно демонстрирует, как хакеры могут управлять электронными блоками управления конкретных транспортных средств, и предлагает механизмы обнаружения атак.

Сообщается, что автомобили, содержащие десятки электронных устройств, соединенных между собой, а в некоторых случаях связанных с внешним миром посредством беспроводной связи, могут быть взломаны с последующим контролем тормозов, рулевого управления и даже двигателя.

Регуляторы В прошлом году были скомпрометированы некоторые из наиболее уважаемых и популярных новостных организаций в мире, в том числе The New York Times, The Financial Times, CNN и Reuters. Многие из самых известных атак были осуществлены хакерами, связанными с властями ближневосточного региона.

Этот список далеко не полный; невозможно узнать точное количество компаний, которые подверглись атаке или компрометации, и этому есть несколько объяснений.

Во-первых, некоторые компании так и не узнают о том, что на них напали, а во-вторых, компании боятся публично заявлять об инцидентах во избежание репутационных или материальных потерь, судебных исков и других проверок.

Говоря о проверках, регуляторы всего мира начинают ужесточать правила и требования к компаниям в сфере информационной безопасности.

В качестве доказательства этого Комиссия по ценным бумагам и биржам США планирует провести тесты информационной безопасности более чем 50 брокеров-дилеров и инвестиционных консультационных фирм.

В Азии Закон о конфиденциальности Сингапура устанавливает новые стандарты сбора, использования и раскрытия персональных данных.

Организациям, не соблюдающим новые требования, грозит штраф в размере до 1 миллиона сингапурских долларов или 788 995 долларов США.

Новое руководство Комиссии по ценным бумагам и биржам США содержит несколько новых и уникальных требований, таких как наличие страховки от кибератак и возможность вести полный перечень всех инцидентов и нарушений.

Руководство также требует от предприятий внедрения механизмов оценки рисков и более эффективной оценки рисков и комплексной проверки поставщиков.

Руководители транснациональных организаций ожидают принятия Регламента Евросоюза о защите данных, окончательная версия которого ожидается в 2015 году.

Участники рынка ожидают ужесточения требований к компаниям, осуществляющим обработку персональных данных, в частности оценки рисков и аудита систем информационной безопасности, а также увеличение штрафов для скомпрометированных компаний более чем в два раза (с 2% до 5% от годового оборота компании).

Новые требования ЕС к уведомлению в случае инцидентов безопасности позволят более точно оценить ситуацию с кибератаками в Европе.

По словам Джона Вудса (соруководителя практики кибербезопасности в юридической фирме Baker & McKenzie): «В США законы об уведомлении правительства об инцидентах, связанных с безопасностью, выявили ряд атак и компрометаций, что привело к еще большему беспокойству и вниманию к информационной безопасности.

Будет интересно посмотреть, окажут ли европейские правила такой же эффект».

Мы также наблюдаем новые усилия правительства по оказанию помощи организациям в улучшении их информационной безопасности на добровольной основе.

В США в 2013 году специальным указом президента был создан стандарт Национального института стандартов и технологий (NIST) для повышения уровня информационной безопасности.

Версия 1.0 стандарта добровольно внедряется отдельными компаниями для оценки и улучшения информационной безопасности, а также создает общую платформу для обсуждения, сотрудничества и тактики реагирования на киберугрозы.

Усилия частного сектора по обеспечению безопасности представлены запуском инициативы Google Project Zero, которая призвана повысить безопасность путем выявления и блокировки неизвестных угроз до того, как хакеры смогут ими воспользоваться.

В Google заявляют, что инженеры Project Zero будут работать над повышением безопасности широко используемого программного обеспечения, а также изучать мотивы и методы злоумышленников и проводить исследования по эффективному мониторингу и устранению компрометаций.

Рынок услуг информационной безопасности растет В результате роста количества инцидентов (на 48% в 2014 году по сравнению с 2013 годом) и ужесточения нормативных требований компании и государственные учреждения вынуждены повышать уровень информационной безопасности для защиты своих данных.

Это, в свою очередь, дает импульс росту количества решений и технологий в сфере информационной безопасности.

Исследовательская фирма Гартнер предсказывает что глобальные расходы на ИТ-безопасность вырастут на 7,9% до 71 100 000 000 долларов США в 2014 году и на 8,2% до 76 900 000 000 долларов США в 2015 году.

Рост числа инцидентов, связанных с безопасностью, и их освещение в средствах массовой информации помогли открыть поток венчурных инвестиций в компании, предоставляющие услуги информационной безопасности.

За первые шесть месяцев 2014 года венчурные фонды инвестировали в США $894 млн в стартапы в области информационной безопасности.

Сумма практически равна инвестициям во все стартапы в 2013 году.

Это превышает все инвестиции в сферу информационной безопасности за последние 10 лет. В то же время капитализация некоторых охранных фирм в прошлом году достигла новых максимумов.

Например, рыночная капитализация провайдера сетевой безопасности FireEye, оцененного в 304 миллиона долларов во время IPO в 2013 году, теперь составляет около 4,6 миллиарда долларов.

Palo Alto Networks (специализирующаяся на корпоративной безопасности) привлекла $260 млн в ходе IPO в 2012 году и теперь ее рыночная капитализация составляет около $6,2 млрд.

В разгар бума вечного капитализма стоимость некоторых компаний в сегменте информационной безопасности составляла от пяти до десяти их годовых доходов.

В настоящий момент на рынке происходит коррекция, все понимают, что сегмент превратился в «пузырь», и чтобы избежать обвала, инвесторы постепенно снижают норму вложений в информационную безопасность.

Это привело к тому, что некоторые компании потеряли до половины своих предыдущих оценок.

Мы считаем, что рынок программного обеспечения и услуг информационной безопасности будет продолжать расти, потому что.

Высшее руководство и советы директоров понимают, что кибератаки никогда не прекратятся, а нормативные требования будут только ужесточаться.

В Европе растет венчурный рынок в сфере информационной безопасности: — Лондонская компания C5Capital собрала фонд, ориентированный на информационную безопасность, в размере $125 млн и объявила об инвестициях в компанию BalaBit 22 в размере $8 млн; — Фонд Index Ventures открыл двери для компаний сектора информационной безопасности из Европы, Израиля и США, выделив в этот сегмент $550 млн.

В этом году фонд также активно работал в сфере слияний и поглощений в сегменте информационной безопасности; — FireEye приобрела Mandiant примерно за 1 миллиард долларов; — Cisco Systems приобрела Sourcefire за 2,7 миллиарда долларов.

ПРОДОЛЖЕНИЕ СЛЕДУЕТ… Теги: #информационная безопасность #ГСИСС #2015 #pwc #информационная безопасность