Глобальная нехватка специалистов по кибербезопасности | Рост поверхности атаки | OTP токены вместо постоянных паролей и др.
1 – Как молодые работники принимают на себя больше рисков кибербезопасности
Это может показаться нелогичным, но сотрудники в молодом возрасте как правило, менее осторожны в вопросах кибербезопасности.
Несмотря на то, что эти сотрудники являются технически подкованными «цифровыми аборигенами», они более склонны к рискованному поведению, чем их старшие коллеги, согласно данным исследования «2022 EY Human Risk in Cybersecurity Survey», проведенного компанией Ernst & Young.
В частности, высокий процент молодого поколения:
- повторно используют пароли для личных и профессиональных аккаунтов.
- игнорируют необходимые обновления ИТ-системы как можно дольше.
- принимают куки-файлы браузера каждый раз или часто.
Рекомендации по повышению уровня знаний и готовности сотрудников в области кибербезопасности включают следующее:
- Проводите обучение, соответствующее их ролям, не реже одного раза в год. Это повысит вероятность того, что они примут такие методы, как использование надежных паролей, выявление попыток фишинга и шифрование данных.
- Реагируйте на ошибки сотрудников не наказаниями, а обучением. Позитивная культура безопасности заставляет сотрудников охотнее обращаться за помощью и сообщать об инцидентах.
- При проведении тренингов по безопасности не ограничивайте их практикой на рабочем месте, а включайте информацию, применимую к личной жизни сотрудников.
Для получения дополнительной информации об исследовании, которое было основано на опросе 1000 американских сотрудников, пользующихся компьютером, выданным на работе, ознакомьтесь с кратким изложением полученных результатов.
Другие ресурсы об обучении сотрудников безопасности:
- «Cybersecurity Awareness: Шесть советов, которые помогут вашим сотрудникам стать киберумными» (Tenable).
- «Обучение осведомленности о безопасности: 6 важных методов обучения» (EC-Council).
- «Обучение сотрудников основам безопасности: Переход за пределы соблюдения требований «check-the-Box» (Национальный институт стандартов и технологий США).
- «Советы по повышению осведомленности в вопросах кибербезопасности, которые помогут вашей команде стать #BeCyberSmart» (Microsoft).
2 – Проблемы безопасности препятствуют использованию цифровых государственных услуг
Для привлечения граждан к использованию цифровых услуг государственные органы по всему миру должны улучшить работу по нескольким направлениям, включая кибербезопасность. В настоящее время существует глобальный «разрыв доверия» в способности правительств обеспечить безопасность цифровых данных граждан.
Об этом говорится в новом исследовании Accenture под названием «Опыт государственной службы через новую призму», основанном на опросе 5500 потребителей и 3000 работников государственной службы в 10 странах Северной Америки, Европы и Азиатско-Тихоокеанского региона.
Ключевой вывод: 53% опрошенных заявили, что доступ к государственным услугам вызывает у них разочарование. В целом, исследование показало, что граждане хотят, чтобы получение государственных услуг было простым и безопасным.
Уделяя особое внимание аспекту безопасности, исследование призывает правительства повысить уровень безопасности, чтобы укрепить уровень доверия к ним со стороны граждан и государственных служащих.
- Среди опрошенных граждан только 49% заявили, что уверены в том, что государственные учреждения используют их данные по назначению.
- Только 33% опрошенных государственных служащих заявили, что проходят обучение по кибербезопасности и защите данных.
- 43% респондентов заявили, что они с большей вероятностью воспользовались бы цифровыми государственными услугами, если бы чувствовали себя более уверенно в отношении безопасности и конфиденциальности данных.
Как же государственные учреждения могут улучшить свою работу в этой области? По мнению Accenture, решение выходит за рамки технологии и включает в себя, помимо прочего:
- превращение руководителей учреждений в адептов безопасности;
- устранение организационных противоречий;
- определение приоритетов культурных изменений;
- повышение осведомленности общественности с помощью «прозрачных» информационно-разъяснительных кампаний.
Для получения дополнительной информации ознакомьтесь с кратким содержанием отчета или прочитайте его полностью.
3 – Пароли используются реже, не смотря на то, что это основной метод аутентификации
Использование паролей снизилось, но они остаются механизмом аутентификации номер один, оттесняя на второй план, возможно, более безопасные и удобные методы. Так говорится в отчете FIDO Alliance, консорциума технологической индустрии, целью которого является продвижение использования альтернативных технологий входа в систему и создание стандартов аутентификации.
В своем втором ежегодном отчете «Барометр онлайн-аутентификации» группа сообщает, что использование паролей снизилось на 5% — 9% в пяти основных случаях использования, в то время как использование одноразовых кодов (OTP), доставляемых по SMS, выросло на 1% — 4%.
Тем не менее, специалисты считают SMS OTP «устаревшим» методом многофакторной аутентификации, который предлагает незначительное улучшение по сравнению с паролями, и выступает за внедрение современных и «устойчивых к фишингу» методов, таких как биометрия на устройстве, ключи безопасности FIDO и пропускные ключи.
Пока пароли остаются доминирующим методом входа в систему, организации будут страдать от негативных последствий забытых и украденных паролей, говорится в отчете, основанном на опросе 10000 потребителей в 10 странах.
Для получения более подробной информации ознакомьтесь с отчетом.
А вот дополнительная информация об Альянсе FIDO и продвижении аутентификации без пароля:
- «MFA следующего уровня: аутентификация FIDO» (Агентство по кибербезопасности и инфраструктурной безопасности США).
- «Инфографика: Что такое FIDO?» (SC Magazine)
- «Существует большая проблема с планами Apple и Google отказаться от паролей» (Fast Company)
4 – Компании испытывают трудности с заполнением вакансий в сфере кибербезопасности
Жизнь рекрутеров в сфере кибербезопасности не становится легче. Насколько все плохо? В настоящее время на каждые 100 размещенных вакансий приходится 65 работников – большинство из них трудоустроены.
Между тем, спрос на специалистов по кибербезопасности опережает спрос на сотрудников в целом, увеличиваясь в 2,4 раза за 12-месячный период. Число вакансий в сфере кибербезопасности в третьем квартале выросло на 30% в годовом исчислении и на 68% по сравнению с 2020 годом. Эти данные, напоминающие Хэллоуин, получены с помощью аналитической платформы CyberSeek, совместной работы Национальной инициативы США по образованию в области кибербезопасности, Lightcast и CompTIA.
5 – Кадровая ситуация в глобальном масштабе не намного лучше
3,4 миллиона. Именно такое количество специалистов по кибербезопасности необходимо для ликвидации кадрового дефицита в мире, согласно исследованию (ISC)² Cybersecurity Workforce Study.
Хотя численность сотрудников в сфере кибербезопасности выросла на 464 000 человек и достигла исторического максимума – 4,7 миллиона человек, ситуация в прошлом году не улучшилась. Почему? Кадровый дефицит вырос на 26,2% – более чем в два раза по сравнению с ростом численности персонала.
Последствия этой проблемы значительны, как показано на графике ниже, основанном на опросе почти 5 000 специалистов по кибербезопасности, чьи команды испытывают нехватку персонала.
Что же можно сделать? Вот некоторые шаги, которые предпринимают организации для привлечения и удержания сотрудников, основанные на результатах опроса почти 12 000 специалистов по кибербезопасности и лиц, принимающих решения, по всему миру:
- Обеспечить гибкие условия, например, работу из дома (на это указали 64% респондентов).
- Инвестировать в обучение (64%) и сертификацию (58%).
- Автоматизировать некоторые аспекты работы в сфере кибербезопасности (57%).
- Нанимать по способностям и отношению к работе, а обучать техническим навыкам (50%).
- Расширение географических границ при найме.
- Набирать сотрудников, которые не работают в сфере ИТ и безопасности.
Подробнее по этой теме:
- «Последний отчет Комиссии по кибербезопасности 2.0 сосредоточен на киберкадрах» (CSO Magazine).
- «Затрудняетесь заполнить вакансии в сфере ИТ и кибербезопасности? Ищите кандидатов, не связанных с технологиями» (Tenable).
- «Пробел в навыках кибербезопасности: Почему он существует и как его решить» (TechTarget)
- «Командам специалистов по кибербезопасности необходимо заполнить рабочие места. Им нужны должности начального уровня». (Protocol)
- «Наем кандидатов начального и младшего уровня может уменьшить дефицит навыков в области кибербезопасности» (TechRepublic)
6 – Опрос о проблемах поверхности атаки
Не секрет, что поверхность атаки расширяется благодаря внедрению современных технологий, которые делают ИТ-среды более распределенными, сложными в сопровождении и динамичными и, в конечном счете, более сложными для защиты. Чтобы проверить реальность, мы опросили участников вебинара Tenable на эту тему, и вот что они ответили.
Для получения дополнительной информации ознакомьтесь с этими ресурсами Tenable:
«Наконец-то найдены «неизвестные» по всей поверхности атаки» (блог).
«Управление уязвимостями: Наше видение обеспечения безопасности при анализе возможных путей атак» (блог).
«Снижение риска на современной поверхности атаки» (блог).
«3 реальные проблемы, с которыми сталкиваются организации, занимающиеся кибербезопасностью: Как комплексная платформа Tenable может помочь» (технический документ).
Источник: https://bit.ly/3UcSzV7
