Vše nasvědčuje tomu, že i v roce 2022 budeme pod stále větším tlakem „padouchů“ a bude stále náročnější zabezpečit data a dodržovat veškeré platné i nové předpisy a regulace. Jak se s výzvami kybernetické bezpečnosti poprat?
Objem a sofistikovanost kybernetických útoků se bude zvyšovat – tento trend totiž zrychluje již několik let. K udržení souladu s předpisy však bude zapotřebí většího úsilí. Nadcházející legislativní změny, jako je například povinné zveřejňování plateb výkupného v případě ransomwarových útoků, které některé země zavádějí, způsobí, že mnoho organizací bude mít problém udržet soulad s vyvíjejícími se vládními předpisy.
A pro organizace bude obtížnější získat ochranu a klid, které slibuje například pojištění kybernetických hrozeb. Tváří v tvář rostoucímu objemu a šíření plateb ransomwaru budou pojistitelé přísnější a pojištění bude dražší, takže se pro mnoho organizací stane finančně neúnosným. Zde je několik dalších podrobností o tom, co můžeme očekávat v roce 2022.
Náklady na ransomware se budou zvyšovat
V průběhu loňského roku rostly kybernetické útoky, kterým vévodil ransomware. Zvyšovala se nejen četnost útoků, ale také částky, které útočníci po svých obětech vymáhali. A podle všeho jde stále o jeden z nejvýdělečnějších typů kybernetických útoků. V roce 2022 je třeba očekávat výrazný nárůst nejen útoků, ale i výše výkupného.
Podle zprávy analytické společnosti IDC jsou organizace stále ochotné zaplatit výkupné. Například společnost JBS Foods zaplatila výkupné ve výši 14,1 milionu dolarů požadované po útoku, což útočníky utvrzuje v tom, že vydírání funguje.
Využívání deepfakes a umělé inteligence kyberzločinci se bude rozšiřovat
V říjnu časopis Forbes informoval o tom, jak mohlo být díky propracovanému cvičení v kybernetickém podvodu ukradeno až 35 milionů dolarů z jedné hongkongské banky. Klíčovým prvkem podvodu byl hlas známého ředitele společnosti, který útočníci zfalšovali a naklonovali. Ten poslali řediteli banky spolu s několika velmi přesvědčivými e-maily, které měly telefonát legitimizovat.
Forbes uvedl, že k incidentu došlo na začátku roku 2020 a že jde o „teprve druhý známý případ podvodníků, kteří údajně použili nástroje pro úpravu hlasu k provedení loupeže“. Bohužel to nebude poslední. A tyto podvody budou stále sofistikovanější, jak se budou podvodníci zdokonalovat ve svých dovednostech a jak se bude vyvíjet technologie pro deepfakes.
Kybernetické pojištění zpřísní
Pojišťovny připravují přísnější smluvní povinnosti pro organizace, které usilují o pojištění kybernetické bezpečnosti, a to zejména těm, které se již dříve staly obětí útoku. Výsledkem bude, že jedna nebo druhá strana od smluv o kybernetickém pojištění odstoupí. Pro pojistitele mohou být totiž rizika příliš vysoká a pro organizace budou náklady na pojistné příliš vysoké nebo požadavky příliš zatěžující.
Organizace se stávajícími pojistnými smlouvami mohou očekávat, že budou čelit větší kontrole a auditům ze strany poskytovatelů pojištění, aby prokázaly, že mají zavedeny řádné kybernetické kontroly a kybernetická hygienická opatření.
Regulace se zpřísní
Země po celém světě zpřísňují požadavky na kybernetickou bezpečnost organizací. V důsledku toho bude čekat odvětví, jako jsou potravinářství, vysokoškolské vzdělávání nebo vodovody a kanalizace, které dosud nebyly považovány za kritickou infrastrukturu, mnoho nových předpisů. Mnohé z těchto organizací na to nebudou připravené a budou mít problém splnit nová opatření v souladu s předpisy, což povede k dalším pokutám a jiným sankcím.
Útoky na dodavatelský řetězec budou nadále narůstat
V roce 2022 půjde o jeden z největších problémů kybernetické bezpečnosti, kterému bude těžké čelit. Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) v červenci předpověděla, že počet útoků na dodavatelský řetězec bude v roce 2021 čtyřikrát vyšší než v roce 2020. Agentura současně analyzovala útoky a dospěla k závěru, že „silná bezpečnostní ochrana již organizacím nestačí, když útočníci již přesunuli svou pozornost na dodavatele“.
Efektivní fungování dodavatelských řetězců je založeno na výměně dat (často velmi citlivých) mezi různými články řetězce: ohrožení jednoho článku se může snadno stát ohrožením mnoha dalších.
Očekává se, že organizace v dodavatelských řetězcích, zejména vedoucí členové, začnou vyžadovat podrobné informace o bezpečnostních opatřeních partnerů a požadovat audity. Tyto podmínky by se mohly vztahovat i na strany, které jsou v řetězci o krok dále.