Что ждет информационную безопасность в 2021 году. Актуальные угрозы, отказ от паролей, изменения в нормативке и не только
Как и в случае с большинством технологичных отраслей, пандемический 2020-й сильно встряхнул информационную безопасность. Появились новые угрозы, новые методы и средства защиты и, конечно же, серьезно поменялись тренды в развитии отрасли. Впрочем, в некоторых аспектах всё осталось более или менее как было. Например, запланированные еще до пандемии Covid-19 изменения в нормативных документах — здесь регуляторы не дают поблажек.
Рассказываем, что будет с ИБ в 2021 году: чего опасаться, к чему готовиться, что и кому нужно будет соблюдать.
Актуальные угрозы в информационной безопасности в 2021 Портал Anti-Malware.ru опубликовал объемный материал с прогнозом развития киберугроз и СЗИ в 2021. Среди экспертов, которые давали прогнозы — представители Fortinet, Cisco, R-Vision, Group-IB и еще два десятка ИБ-компаний, преимущественно российских. Вот что было отмечено в качестве новых проблем, которые появились в 2020-м и, по прогнозам, останутся актуальными в 2021.
Дистанционка. Из-за того, что ИТ-инфраструктура многих компаний стала распределенной и разрозненной, а большинство сотрудников оказались за пределами офисного периметра безопасности, появились новые угрозы и уязвимости. Самый расхожий вариант атаки — когда злоумышленники получают доступ к служебной учетной записи жертвы. Теперь это проще, потому что удаленные сотрудники остались без присмотра коллег-безопасников; некоторые компании до сих пор не обновили политики безопасности; к тому же сотрудники часто подключаются к корпоративной сети с личных устройств. На этом фоне приемы социальной инженерии и то же вирусное ПО работают эффективнее, чем когда-либо.
Утечки данных. С каждым годом эта проблема все насущнее, а в 2020 — тем более (см. п. 1). По подсчетам IBM Security, в среднем каждая утечка стоит компаниям в 3,86 млн долл. Злоумышленники получают доступ к корпоративным сетям чаще всего путем кражи учетных данных сотрудников.
Атаки на 5G-сети. Хотя для России, учитывая темпы внедрения 5G это не так актуально, в целом атаки на инфраструктуру нового стандарта мобильной связи и пользовательские устройства — угроза довольно реалистичная. Как и любая новая массовая технология, 5G — благодатное поле для киберпреступников. Бреши в защите придется устранять по ходу дела, и на то, чтобы обеспечить приемлемый уровень безопасности технологии, уйдет, вероятно, не один год.
ИИ на вооружении киберпреступников. Некоторые эксперты опасаются, что злоумышленники всё активнее будут использовать возможности искусственного интеллекта и машинного обучения. Уже сейчас киберпреступники из числа продвинутых применяют ИИ, чтобы составлять профиль жертв и находить уязвимости в устаревших информационных системах. Также не вселяет оптимизма все большая доступность фреймворков ИИ, которые можно использовать по подписке, то есть разрабатывать эффективные инструменты для атак без серьезных вложений.
Новые услуги и подходы к обеспечению ИБ Хотя SECaaS (Security as a Service) услуга не такая уж и новая, считается, что в 2021 году ее популярность заметно вырастет. Рынок созрел, а известные обстоятельства этому дополнительно поспособствовали. Управляемые ИБ-сервисы — подходящий вариант для компаний, которым по разным причинам сложно создавать собственный ИБ-отдел или даже брать в штат одного безопасника. Передача информационной безопасности на доверительное управление сторонней компании становится таким же привычным сервисом, как, например, удаленное управление ИТ-инфраструктурой. К тому же, как показывает практика ITGLOBAL.COM, массовая удаленка и локдаун не помеха для тех, кто стремится к реальной, а не виртуальной («бумажной») информационной безопасности.
Беспарольная аутентификация — еще один тренд отрасли, который задает Microsoft. В 2021 году корпорация перестанет использовать пароли в своих сервисах. Аутентификация с помощью паролей появилась еще в 1960-х и с тех пор регулярно подтверждает свою несостоятельность (сколько ни усложняй парольную политику). Если верить Microsoft, около 80 % кибератак связаны с кражей паролей; каждый месяц взламывается каждая 250-я корпоративная учётка. Вместо паролей американская компания планирует использовать новые пользовательские и API-интерфейсы, чтобы управлять ключами безопасности. В основе технологии — стандарт FIDO2, совместная разработка FIDO Alliance и Консорциума всемирной паутины (W3C).
Изменения в нормативной документации для финансовых организаций Они коснутся сразу нескольких важных положений и стандартов. Отметим главные в порядке их вступления в силу.
1 января 2021
Начинают действовать пункты 3.1 и 9 Положения 683-П. Теперь кредитные организации должны обеспечить проведение оценки соответствия по ГОСТ Р 57580 не реже одного раза в два года. При этом согласно п. 9.2, с 1 января необходимо обеспечить третий уровень защищенности.
Вступает в силу пункт 6 Положения 684-П: некредитные финансовые организации (НФО) должны обеспечить проведение оценки соответствия по ГОСТ Р 57580 не реже раза в год (усиленный уровень защищенности) или одного раза в три года (стандартный уровень защищенности). Впрочем, реализовывать третий уровень защищенности нужно будет только с 1 января 2022 года. То есть, у НФО есть дополнительный год для подготовки.
1 июля 2021
Вступают в силу пункты 3 и 4 Положения 672-П, согласно которым кредитные организации должны обеспечить проведение оценки соответствия по ГОСТ Р 57580 не реже одного раза в два года для сегментов ССНП и СБП.
Перестает действовать Информационное письмо Банка России № ИН-014-56/88 «О неприменении мер в связи с коронавирусной инфекцией». Теперь регулятор вправе применять санкции по отношению к кредитным ФО, которые используют несертифицированные системы для проведения банковских операций, а также к некредитным ФО — за неисполнение требований Положения 684-П.
Общество всемирных межбанковских финансовых каналов связи (SWIFT) планирует релиз Customer Security Controls Framework v2021. После этого все организации — пользователи SWIFT должны будут выполнять ежегодную оценку выполнения требований безопасности только с привлечением независимой внешней организации или независимого внутреннего подразделения (не связанного напрямую с обеспечением безопасности финансовой организации). Пока SWIFT разрешает проводить самооценку, но с 1 января 2022 это уже будет считаться нарушением.
В завершении заглянем на год вперед С 1 января 2022-го вступает в силу Положение Банка России 719-П. Оно отменяет устаревшее Положение 382-П. Согласно 719-П, операторы по переводу денежных средств должны реализовать четвертый уровень соответствия ГОСТ Р 57580 с — важное уточнение — 1 января 2022 года, а не 2023-го, как прописано в Положении 683-П.