Trender innen sikkerhet og samsvar: Fem ting fra Infosecurity Europe 2024

By Phil Muncaster • 9. juli 2024 • 6 minutters lesetid

Hvert år samles cybersikkerhetsindustrien på Europas største industribegivenhet: Infosikkerhet Europa. Omfanget av showet – ved Londons hule ExCeL utstillings- og konferansesenter – er et vitnesbyrd om sektorens styrke. Over 14,000 XNUMX mennesker tok turen til Londons Docklands, hvor hundrevis av sikkerhetsleverandører viste ut sin nyeste teknologi.

Cyber er en stadig viktigere del av en raskt voksende britisk teknologisektor verdt en anslått $ 1 XNUMX billioner (790 milliarder pund). De regjeringsestimater at rundt 2,000 selskaper notert i landet selger cybersikkerhetsprodukter og tjenester, genererer mer enn 10.5 milliarder pund til den britiske økonomien og sysselsetter over 58,000 XNUMX ansatte.

Men Infosecurity Europe handler ikke bare om å jakte på den nyeste teknologien. Konferanseprogrammet gir en flott sjanse til å høre fra noen av bransjens ledende skikkelser, CISO-er og fagfolk i samsvar. Med det i tankene, her er våre beste takeaways fra årets show:

Å finne og beholde cybertalent er fortsatt en utfordring

Gapet i arbeidsstyrken innen cybersikkerhet står for øyeblikket på fire millioner globalt, med britiske arbeidsgivere som mangler anslagsvis 73,000 29 arbeidere, en årlig økning på XNUMX %. Compliance fagfolk er også spredt for tynt i mange organisasjoner. Paneldeltakere på showet argumenterte for at organisasjoner burde kaste nettet sitt bredere i søket etter kandidater, inkludert tilstøtende roller som IT-helpdesk. Selv organisasjoner uten ressursene til rivaler med dype lommer kan appellere til talenter ved å fokusere på karriereprogresjon og fleksible arbeidsfordeler, hevdet de.

De sa at oppbevaring er like nødvendig, og det er der det lønner seg å finne den rette blandingen av godtgjørelse, balanse mellom arbeid og privatliv og utviklingsmuligheter. I en egen diskusjon, University of Manchester CISO, Heather Lowrie, og tidligere Trainline CISO, Munawar Valiji, understreket viktigheten av å pleie et tett sammensveiset team for å redusere risikoen for utbrenthet. De hevdet at å bygge en positiv kultur må komme ovenfra og ned; for eksempel bør CISOer alltid være der for emosjonell og strategisk støtte.

Overholdelse blir stadig tøffere

Ropes & Grey-partner Rohan Massey delte sin år med ekspertise som databeskyttelsesadvokat, og advarer om at landskapet for overholdelse av regelverk bare blir mer komplekst. For eksempel eksisterer det for tiden 104 eksisterende eller ventende deler av EU-lovgivning knyttet til cybersikkerhet, hvorav ingen definerer "cyber" på samme måte. Det viktigste å huske på når man takler samsvar er å forstå prinsippet om "proporsjonalitet", hevdet Massey. Dette er hvordan lover gjelder for din spesifikke organisasjon i sammenheng med dens størrelse, risikoprofil og arten, omfanget og kompleksiteten til dens tjenester og operasjoner.

Masseys trepunktsplan for strømlinjeformet etterlevelse fokuserer på ansvarlighet og styring, forsyningskjederisiko og risikovurdering/styring. Heldigvis kan beste praksis-standarder som ISO 27001 gi organisasjoner et fantastisk forsprang. Ettersom mange forskrifter uansett er basert på felles beste praksis, kan det å følge en av disse rammene eller standardene redusere arbeidsmengden betydelig.

Endring av brukeratferd forblir et kritisk forsøk

Brukerfeil er fortsatt en av de viktigste bidragsyterne til økt cyberrisiko i de fleste virksomheter. En nylig Keepnet-studie fant et alarmerende antall ansatte falt for en vishing simulering drevet av leverandøren – mange av dem i IT-roller. Det er dårlige nyheter for organisasjoner ettersom trusselaktører i økende grad retter seg mot helpdesk med falske forespørsler om tilbakestilling av passord. På utstillingen, sikkerhet eksperter hevdet det nøkkelen til å endre brukeratferd ligger i simuleringsøvelser fra den virkelige verden som prøver å engasjere brukere i stedet for å fange dem ut. Outreach hjelper dem å forstå konsekvensene av dårlig sikkerhetsbevissthet på organisasjonen deres.

CISOer ved advokatfirmaet Dentons og Aston Martin Lagonda hevdet at tett samarbeid med virksomheten er avgjørende – for å forklare hvorfor og hvordan sikkerhet hjelper alle med å nå sine mål. Dette kan variere fra å forklare hvordan cyber kan bidra til å vinne nye forretninger til å tilføre verdi til designprosessen og dermed gi konkurransefortrinn. Hovedpoenget: det må gjøres relevant for sluttbrukere å ta det på alvor.

Nye ransomware-grupper endrer spillereglene

Da Infosecurity Europe startet, kom nyheten om at flere London-sykehus og NHS primærhelsetjenester hadde blitt destabilisert av en brudd på løsepengevare hos en leverandør av kritisk patologi. Det var et betimelig eksempel på hvor betydelig trusselen er for britiske organisasjoner i dag – og dens potensielt livstruende implikasjoner. Eksperter på messen forklart det den nylige fjerningen og forsvinningen av henholdsvis LockBit- og BlackCat-gruppene hadde ført til en ombestilling av løsepengevaremarkedet.

Tilknyttede selskaper er nå mindre lojale til et bestemt "merke" og beveger seg i stedet mellom flere ransomware-as-a-service (RaaS)-operatører; sa de – og la til at sårbarhetsutnyttelse i edge-enheter har blitt spesielt vanlig. Den gode nyheten er at nettsikkerhetsstandarder med beste praksis kan hjelpe. Organisasjoner bør håndheve kontinuerlig risikobasert oppdatering og sette forsvar på plass for å oppdage og blokkere aktivitet etter utnyttelse som sideveis bevegelse.

AI er en mulighet, men også en kritisk risiko

Ingen diskusjon om cybersikkerhet i dag ville være komplett uten å nevne AI. Det var et tilbakevendende tema på messen, med eksperter som delte tips om hvordan man kan sikre bruken. Synopsys administrerende direktør for applikasjonssikkerhetsteknikk, Lucas von Stockhausen, argumenterte for at kodere bør velge AI-assistentene sine med stor forsiktighet og alltid vurdere alle utdata. De bør også definere retningslinjer og praksiser for bruk av AI før de begynner, og prioritere IP-beskyttelse.

University College London (UCL) CISO Sarah Lawson la til at organisasjoner må utvikle akseptable brukspolicyer og deretter holde brukere ansvarlige for beslutningene de tar ved hjelp av AI-verktøy. På den annen side må arbeidsgivere gi disse brukerne den kunnskapen de trenger for å sikre at beslutningene er godt informert, la hun til.

Det var også mye diskusjon rundt AI-drevne trusler – spesielt dype falske. ISMS.online Status for informasjonssikkerhet 2024 rapporterer avslører at 30 % av cybersikkerhetspersonell har møtt et dypt falskt angrep i løpet av de siste 12 månedene. En ekspert på slike saker, Henry Adjer, startet showet med en advarsel om trusselen mot demokratiet ved dypfalske lydlekkasjer som er maskert som skjulte opptak av politikere. Det er ingen sølvkule-løsninger på problemet, men han stod ved "innhold herkomst" som gir det beste håp. Dette refererer til kryptografisk sikrede metadata knyttet til media så snart de er fanget på en enhet eller generert ved hjelp av en algoritme.

Om det tar av eller ikke er noens gjetning. I mellomtiden bør sikkerhetsteam fokusere på å få det grunnleggende riktig: mennesker, prosesser og teknologi.