Najčešći izazov za CISO je ograničenje resursa: nema dovoljno osoblja, budžeta ili tehnologije da podrži potreban sigurnosni program ili ispuni zahtjeve usklađenosti, prema DirectDefenseu.
Industrija cyber sigurnosti suočava se sa stalnim nedostatkom talenata
Svjetski ekonomski forum tvrdi da postoji globalni nedostatak od skoro 4 miliona profesionalaca u industriji cyber sigurnosti – i taj nedostatak je nakon rasta radne snage za cyber sigurnost od 12,6% između 2022. i 2023. godine. Državni i zdravstveni sektori su među onima koji imaju najveću radnu snagu u cyber sigurnosti. nestašice, što predstavlja jedinstvene izazove jer su ove industrije tako visoke regulisano.
“Ova ista priča se ponavlja godinama; preduzeća se sele na cloud i suočavaju se sa strožim propisima o usklađenosti – sve dok budžeti ostaju ograničeni, a bezbjednosne pretnje postaju sve ozbiljnije“, rekao je Jim Broome CTO u DirectDefense. “Sve to zahtijeva više osoblja s naprednim skupovima vještina i sposobnošću učenja i prilagođavanja stalnim promjenama – što može dovesti do izgaranja.”
CISO i drugi sigurnosni profesionalci zreli su za izgaranje . Istraživanja pokazuju da 99% CISO-a radi dodatne sate svake sedmice, a 1 od 5 radi dodatnih 25 sati sedmično. Utvrđeno je da zahtjevi radnog okruženja za cyber sigurnost utiču na produktivnost 64% stručnjaka za cyber sigurnost, što može dovesti do povećanog broja kršenja . Broome vjeruje da je jaz u vještinama cyber sigurnosti jedan od najvećih izazova pri dizajniranju za cyber otpornost.
Izveštaj takođe ukazuje na nedostatak bezbjednosnih prilagođavanja. Različite industrije suočavaju se s jedinstvenim izazovima cyber sigurnosti i ono što brine jedan sektor možda se ne tiče ni drugog. Kombinacija specifičnih hakera, tehnološke infrastrukture, tipova podataka i metoda pristupa stvara složenu mrežu sigurnosnih rizika.
Broome kaže: „Ako niste sigurni šta vam je potrebno da ojačate svoj sigurnosni program, postavljajući pitanje: ‘Šta ne radi?’ često može brže doći do odgovora. Jeste li zabrinuti zbog ransomware-a? Imate li problema sa phishingom zaposlenih? Iskoristite ovo kao svoju polaznu tačku.”
CISO se bore da održe korak sa rastućim cyber kriminalom
Konačno, CISO izvještavaju o nemogućnosti da održe korak s rastom cyber kriminala. Ransomware , iznuda, vjestačke inteligencije i deepfakes postaju sve sofisticiraniji. Sve više se ransomware povezuje s iznuđivanjem i dok vjestačka inteligencija ogroman potencijal za dobro, isto toliko ima i za zlo.
S jedne strane, organizacije se osjećaju sigurnije u usvajanju generativne vjestačke inteligencije, što će im dati prednost u odnosu na napadače. Ipak, organizacijama je postalo teže nego ikada da se zaštite od napada socijalnog inženjeringa kada phishing prevare generisane vjestačkom inteligencijom mogu biti nevjerovatno uvjerljive.
Zabrinutost oko ransomware-a od prije pet ili 10 godina bila je potpuni prekid cijele mreže. Međutim, sigurnosni mandati u cijeloj industriji za otpornija rješenja sigurnosne kopije – koja su takođe postala pristupačnija – omogućili su organizacijama da se oporave od napada i brže vrate poslu. Brz oporavak nije zabava za napadače jer smanjuje njihov potencijal isplate. Dakle, vrijeme je za novi pristup.
Danas napadači dobijaju veliku platu od iznuda . Oni će provaliti, ukrasti vaše podatke i zaključati vaše važne fajlove tako što će detonirati ransomware na serverima ili on-prem cloud sistemima – samo da bi vas obavijestili da su tamo. Oni namjerno traže podatke za koje znaju da su ukradeni podaci koje organizacija mora otkriti i prijete da će ih objaviti ako otkupnina ne bude plaćena – taktika poznatija kao iznuda. Zbog mandata za otkrivanje podataka, ovaj metod napada posebno je uticao na zdravstvenu industriju , koja ranije nije bila tolika meta.
„Svi volimo da mislimo da smo dovoljno pametni da uočimo prevaru, ali je jasno da prevaranti, uz pomoć vještačke inteligencije, ulažu vreme, novac i trud kako bi bili sigurni da to ne možete“, rekao je Brum. „Obuka o podizanju svijesti o sigurnosti, jaka autentifikacija i programi bez povjerenja su preventivne metode za zaštitu vaše organizacije.”
Izvor:Help Net Security