Trendy, které by nejen CISO měli v oblasti kybernetické bezpečnosti sledovat

1.7.2022
Kateřina Kubištová

Globální platnost předpisů typu GPDR, jednotné zabezpečení přístupu ke všemu, potíže se ZeroTrust nebo nová ransomware legislativa jsou mezi trendy, které by nejen CISO, ale vlastně téměř všichni ve vedení podniku měli v oblasti kybernetické bezpečnosti sledovat. V minulém týdnu se uskutečnila první ze série konferencí Gartner security and risk management summit 2022 – jejího evropského běhu se dočkáme krátce po prázdninách (12.–14. září v Londýně), jako první z ochutnávek jsme proto vybrali osm nejdůležitějších kyberbezpečnostních předpovědí pro nadcházející roky.

#1 Předpisy a zákonná nařízení v oblasti ochrany práv a soukromí spotřebitelů se do roku 2023 budou vztahovat na pět miliard občanů a více než 70 % globálního HDP. Pro evropské firmy to je svým způsobem dobrá zpráva – vzhledem k tomu, že budou ze svého „domácího“ prostředí na drakonické a někdy až obskurní předpisy v oblasti soukromí zvyklé, měly by zvládnout přizpůsobit se podobné legislativě i na dalších trzích – nicméně ďábel se jako obvykle skrývá v detailech a ty se nejspíš budou mimo EU lišit. Stále vyšší požadavky v této oblasti budou navíc neúměrně zatěžovat segment SMB.

#2 Do roku 2025 zavedou čtyři z pěti podniků strategii sjednocení přístupu k webovým, cloudovým a privátním aplikacím přes platformu od jednoho SSE dodavatele. Organizace, které se na tuto změnu chtějí včas připravit, by již dnes měly usilovat o vytvoření specializovaného týmu bezpečnostních a síťových expertů se sdílenou odpovědností za bezpečný přístup v podniku, pro vzdálené pracovníky, zaměstnance poboček a vzdálených (edge) lokalit.

#3 60 % organizací přijme do roku 2025 coby „startovní bod“ v oblasti bezpečnosti přístup zero trust. Nicméně víc než polovině se nepodaří dosáhnout touto cestou zásadního zlepšení. Klíčem k úspěšnému zavedení zero trust je vysvětlovat jeho relevanci pro byznys – zejména pro oblast odolnosti a agility.

#4 Do roku 2025 začne 60 % organizací používat kyberbezpečnostní riziko jako primární určující faktor při vedení transakcí se třetími stranami a byznys interakcemi obecně. Již dnes je proto vhodné zaměřit ze na způsoby vyhodnocování rizika v obchodních vztazích, zdůrazňovat význam transparentnosti a odměňovat účastníky, kteří jsou v tomto směru napřed.

#5 Do roku 2025 zavede 30 % národních států právní předpisy týkající se ransomwaru, například všeobecně uzákoní povinnost informovat o jednání a platbách výkupného ransomware útočníkům. Organizace by si měly uvědomit, co získají a co nezískají, když útočníkům zaplatí. Mohou sice získat rychle přístup ke svým datům a příslib, že nebudou zveřejněna – to se ale nakonec později stejně může stát, pokud útočník zjistí, že data mají velkou hodnotu.

#6 Do roku 2025 se objeví první případy, kdy využití OT (provozních technologií) coby „zbraně“ povede k první ztrátě na lidských životech. Provozní technologie – ať už jde o průmyslové či scada systémy a jiné, jsou stále častěji cílem útoků (s tím, jak se stávají připojenými) a v případě těch nejvážnějších mají potenciál způsobit vážné škody na majetku i životech (například v energetice a utilitách, ale i ve výrobní sféře apod.).

#7 Do roku 2025 zavede 70 % generálních ředitelů a CEO povinnost zvyšovat odolnost organizace coby prvek podnikové kultury. Poslední dva roky donutily organizace k odklonu od zaměření na provozní a nákladovou optimalizaci směrem k odolnějším provozním (nákupním, obchodním) modelům. V první fázi se ale změna dotkla zejména oblastí, jako je řízení dodavatelských řetězců. Do budoucna musejí organizace učinit z odolnosti jeden ze svých základních aspektů.

#8 Do roku 2026 40 % správních a dozorčích rad podniků vytvoří specializované kybervýbory a 50 % zavede výkonnostní ukazatele pro podnikovou exekutivu. Kybernetická bezpečnost se stane jedním z hlavních témat pro nejvyšší vedení nejen v technologických firmách, ale napříč ekonomikou a také ve veřejném sektoru.