上接 未来两年内的九大信息安全威胁(二)
D1net观察:我们日常依赖的互联网可靠吗,哪些攻击可以造成互联网的中断,预防互联网中断可以采取哪些措施?企业如何面对物联网设备遭受到勒索软件的劫持?企业以为自己的数据很安全,但是如果和数据安全相关或者和企业关键信息相关的员工遭受暴力威胁,怎么办?企业往往会根据掌握的信息制定公司战略和做出决策,但是,企业掌握的信息可靠吗?人工智能如火如荼,但是人工智能也可以被攻击者利用,那么如何防止攻击者利用人工智能传播企业的虚假消息?据预测,到2019年,65%的全球顶级银行将大规模地实施区块链技术,但是如果区块链遭到破坏,可能导致未经授权进行交易或数据泄露、资金转移,欺诈甚至验证欺诈交易,那么,如何避免这种情况的发生?……国际上的知名信息安全组织“信息安全论坛”经过研究和分析,发布了关于上述问题的研究报告,让我们来了解一下,做到心中有数。
主题3:法规和技术将削弱组织机构控制能力,从而导致安全状况恶化
在接下来的两年中,信息安全论坛(ISF)认为,智能技术的快速发展以及国家安全和个人隐私保护不断提高所引起的矛盾,将会削弱组织机构来控制他们个人信息的能力。
杜宾说,旨在提高国家安全的新监管法将要求通信提供商来大量收集可能泄露企业秘密的数据。组织机构将无法明确了解这些数据库的安全措施,并且这些数据库可能成为攻击者的理想目标,这些攻击者具备从数据库中提取和利用这些存储数据的知识和技能。
与此同时,杜宾表示,类似于欧盟“一般数据保护条例(GDPR)”,这些新的数据隐私法规将使组织机构更难监测内部员工的行为。“一般数据保护条例(GDPR)”要求组织机构公开用于监控用户行为所使用的工具,杜宾表示,这将为恶意的内部员工提供绕过此类控制措施所需的信息。
同时,技术创新将继续超越这些规定。杜宾表示,自动化系统中越来越成熟的人工智能(AI)将开始做出独立决策,这些决策将会与已明确的业务规则相抵触,破坏业务操作并产生新的安全漏洞。
尽管许多因素将超出您组织机构的直接控制范围,但杜宾表示,业务主管和安全主管可以通过以下措施来应对这些安全威胁,包括周全的风险评估,与通信提供商的开诚布公地协商,通过法律顾问了解新法规的影响,并组建团队采用先进技术。
监督法将泄露企业秘密
一些国家政府已经开始制定监控法案,要求通信提供商收集和存储电子及语音通信相关的数据。信息安全论坛(ISF)预计未来两年这一趋势将会持续。
这一立法的目的可能是调查和监测恐怖分子和其他类似团体,但这种数据采集必然会收集到更多的信息,包括各组织机构的敏感数据。
信息安全论坛(ISF)注意到,动机明确的攻击者将很快认识到这些数据的价值,并清楚这些数据在哪里以及如何得到它,还能够分析、解读和利用这些数据。这些信息可能会泄露企业的并购计划、正在研发的知识产权以及新产品的细节。
信息安全论坛(ISF)认为,综合以下五个因素考虑,从通信提供商窃取含有企业秘密的数据,这只是一个时间问题,而并不是能否发生的问题:
1. 因为这是法律的规定,所以任何组织机构都无法避免他们的数据将被收集。
2. 这些数据可能由多个外部单位管理,存储在多个位置,每个单位应用不同的安全级别。
3. 全球数据泄露的数量及影响日益增加,这表明数据并未得到充分保护。
4. 试图利用这些数据的攻击者可能比负责保护这些数据的人有更多资金和动力。
5. 数据分析产生的潜在价值将使其成为攻击者的明确目标,这些攻击者实力雄厚、技术精湛、目的明确,其中包括有组织犯罪集团、竞争对手、恐怖组织和其他国家。
为保护您的组织机构免受侵害,信息安全论坛(ISF)建议您采取以下措施:
�6�1 在您机构运营的每个司法管辖区,都要听取来自通信提供商就必须合法存储元数据的建议。
�6�1 在您的组织机构内进行协作,进行风险评估,以清楚因通信提供商丢失元数据所产生的影响。
�6�1 与通信提供商沟通,以达成相应承担的责任,并确定元数据安全存储的最低要求。
�6�1 如果数据遭到破坏,与通信提供商明确以何种方式、何时以及是否需要通知您,并共同合作,以减少由此产生的影响。
隐私条例会阻碍对来自内部威胁的监控
根据迈克菲软件公司(McAfee)在2015年发布的一项研究,该年度43%的数据泄露是由内部人员造成的,包括用户、管理者、信息技术(IT)专业人员和承包商。那么,用户行为分析(UBA)工具(用来标记用户异常行为的软件)变得越来越受欢迎,就不足为奇:市场研究机构MarketAndMarkets Research的2016年报告预测,用户行为分析(UBA)工具的销售额将增长近600%,从2016年的1.317亿美元到2021年达到9.083亿美元。
但信息安全论坛(ISF)表示,新的隐私条例(如“一般数据保护条例(GDPR)”、“韩国个人信息保护法(PIPA)”、“香港个人资料(私隐)条例”及“新加坡个人资料保护法”等)有可能会限制使用这些监控工具。这些条例规定雇主使用这些监控工具的行为必须受到控制,而且要对用户透明。例如,根据“一般数据保护条例(GDPR)”规定,除非员工被告知并同意对其资料进行收集分析,否则禁止对员工进行此项操作。杜宾指出,虽然透明和创造信任文化是好的,但这些规定将使恶意内部员工可以逃避用户行为分析(UBA)工具的监控。
为了解决内部威胁和清楚新法规的内容,信息安全论坛(ISF)建议您做以下工作:
�6�1 就您组织机构运营的每个司法管辖区内,了解一些针对用户资料分析限制的法律建议。
�6�1 建立严格的工作程序(制定纪律处分规则),对员工监控的行为保持透明。
�6�1 让员工了解内部风险,并对他们进行培训,使其能够辨别可疑行为。
�6�1 对内部员工的访问权限进行更加规则和更加严格的审核,确保不同角色有恰当的访问权限。
急于部署人工智能(AI)会导致意想不到的后果
人工智能(AI)系统是自动化领域的重大创新。自主学习的能力将使其能够在不同领域自动完成日益复杂和非重复性任务,包括制造业、营销和咨询等领域。但是,杜宾指出,虽然人工智能(AI)已不再处于起步阶段,但在未来的两三年内,它也只能算进入青春期。这使得它容易出错:例如,学习错误的或不完整的信息可能得出不准确的结论。
当一个组织机构使用人工智能,而其结果可能影响到该机构的声誉或绩效时,人工智能所发挥的作用可能无法预料。举例如下:
�6�1 引入漏洞风险。人工智能(AI)系统可以与客户或供应商建立起新的关系,并会连接到不安全的外部网络。
�6�1 命令的错误解释。智能助手可能会获取错误的对话或对指令产生误解,然后导致执行不正确的命令。
为了保护您的组织机构免受此类威胁,信息安全论坛(ISF)建议您采取以下三个步骤:
�6�1 在整个组织机构内进行协调合作,以确定哪些领域将从部署人工智能(AI)中获益,并且何时会获益
�6�1 招聘、培养和留住那些掌握人工智能(AI)系统技能的人才
�6�1 与行业同仁和学术机构合作,开发出部署人工智能(AI)系统的最佳方法
�6�1 更新管理结构以有效地管理人工智能(AI)系统(例如,将网络安全纳入到设计之中;对人工智能(AI)系统所做的决策进行监督;如果人工智能(AI)系统发生严重事故,确保可以手动关闭系统)