分享

网络犯罪:每个商业领袖应该知道的10件事

0
网络犯罪:每个商业领袖应该知道的10件事

网络犯罪不仅仅是讨厌头条新闻:它对整个商业景观构成了迫在眉睫的威胁。 导向器 要求专家为英国商业领袖提供基本指针

从凯撒密码 - 罗马政治家使用的基本形式 - 到莫里斯蠕虫,这是一个人性化的人性,从凯撒密码 - 以1988年通过网络分发的第一个恶意软件。

根据2014年6月迈克菲报道,网络犯罪的迈克菲报道,这让我们越来越减少了一段时间,以至于世界经济超过400亿美元(£260亿英镑);要将这一点放在视角下,全球援助预算一年至约1000亿美元。

网络犯罪并没有爬行我们 - 它咆哮到我们的后视镜子,如juggernaut,作为呈指数级别的进展,并且随着同样的数字革命,我们倾向于奇迹,但实际上已经创造了这种情况绝大多数我们几乎不了解我们整个Modus Operandi的核心的工具。

当您的国家机构负责它 - 英国国家犯罪机构时,您知道您有一个网络犯罪问题 - 本身就是九月发生的影响。然而,根据身份保护专家CSID的一项新研究,该国较小的公司的一半以上(52%)“并没有采取任何预防措施来保护自己免受网络犯罪”。据Canterbury Christ教堂大学网络犯罪学院中心主任的Nigel Jones表示,他们需要快速或最终开始演奏昂贵而繁重的追赶游戏。

“这让领导者很长一段时间意识到这实际上是一个商业问题而不是技术问题,”他说。 “几年来,它应该是公司优先列表的最重要名单。问题是,组织顶部的人通常有背景预测网络犯罪。所以他们没有关于威胁和危险的知识。“

威胁不仅仅是隐私和金钱:公司与客户的全部信任,合作伙伴和投资者有风险。 “我根本无法理解任何企业如何与网络威胁如何作为福利的主要风险,除非你是赫布赖特的一个农场,”因为琼斯把它放了。

所以,根据专家的说法,这里有10件商业领导者需要了解网络空间的黑暗底层的东西。

1. 这是一个董事会问题

“最近的高调企业网络攻击,如涉及阿什利·麦迪逊,应该作为对世界各地的企业的警告,影响网络犯罪的公司可以进入底线,”EMEA总裁Andrew Elder在英特尔安全。 “随着违规意义损害Ashley Madison对未来IPO的希望,这一事件突出了攻击对公司财务或确实是未来的财务计划的严重影响。”

对于长老而言,只需拒绝机会主义的网络犯罪策略就不再足够了。 “公司需要将网络安全决策嵌入正常风险管理过程中,”他说。 “措施应设计为不仅仅停止攻击,而且因此系统备份和运行,并且一旦检测到攻击,就尽快恢复数据安全性。”

老年人维护,这个问题不再是IT部门的汇款。 “首席财务官,首席执行官和其他高管在理解其暴露和建立有意义和有效的战略方面的风险水平担任积极作用是至关重要的,”他说。 “这包括占据公司数据资产的价值,并实施缓解策略适当与所涉及的风险水平相称。公司的财务未来 - 或客户的财务未来 - 可以遵守所存储信息的安全性。“

2. I这是一个无定形的野兽

您知道数字革命如何将笔记本电脑转为便携式录制工作室,赌场或胶片编辑套件?以同样的方式,可以使用软件,使小型网络犯罪分子能够与大男孩混合起来。因此,勒索,破坏和恐怖主义如勒索,破坏和恐怖主义现在正在跳跃数字快门以及普通的旧身份盗窃和偷窃。

“无论是盗窃者,如盗窃者麦迪逊客户数据,或国家黑客和勒索民主义者,今天的黑士滥音士的动机现在就像他们攻击一样多样化,”手表护卫局首席执行官Prakash Panjwani说。 “在持续的国家黑客和大型私营部门违规方面使用的复杂攻击载体正在下游进入平民黑客社区。”

任何特定攻击背后的动机都不仅仅是多种多样的,而且常被难以捉摸。 “三年前,英国妊娠咨询服务[BPA]被威胁释放与他们询问的人的数据的人被砍成,”迈克尔弗里斯比争议决议合作伙伴史蒂文斯史蒂文斯&博尔顿。 “BPA - 慈善机构,谨慎 - 被信息专员办公室允许它罚款200,000英镑,以允许它发生。

“这是关于他们所做的事情的道德反对意见。考虑一下阿什利·麦迪逊:可能已经陷入了道德反对意见,或者他们可能会被击杀它以便在以后延迟资金 - 也许他们在思考,“那么对他们来说不会有很多公众的同情使它不会那么风险 - 也许它甚至不会进入开放。“

3. 这不仅仅是关于电脑

今年早些时候由美国申请安全公司Veracode警告说,事物互联网(IOT)和云软件服务代表了严重的网络安全风险,因为连接的设备没有设计和生产数据安全性。该地球上的50亿物品预计将在今年年底截至2020年底,200亿美元。

“企业现在需要一种多层的安全和安全方法,以便将IOT转向设备管理到付款工具中,”万事达卡的企业安全解决方案总裁Ajay Bhalla说,它刚刚在秘密中开设了“Digisec Lab”位置在英格兰,专家团队进行测试和证明跨国金融服务巨头网络中使用的所有支付设备。

然后,人们的问题是使用自己的硬件工作的人:国际软件安全集团卡巴斯基实验室的一半消费者与B2B International一起调查,最近表示他们使用他们的个人设备进行工作,只有一个严重关注相应地保护与工作相关的信息。据Emea的移动安全公司Lookout副总裁Gert-Jan Schenk称,带来的 - 您自己的设备时代导致“员工个人和职业世界之间的模糊”。

“无论安全策略到位,员工正在通过个人设备访问和共享敏感信息。没有密码的手机,文件发送到个人电子邮件,登录未经验证的WiFi,越狱设备未更新 - 这些只是最安全的系统的一些方式,即使最安全的系统变得宽阔攻击。“

另一个不断增长的威胁涉及互联网协议(VoIP)技术的语音,例如Skype,罪犯是侵犯或犯下“收费欺诈”的罪名。

“基本上是一个黑客团队获得不安全的VoIP网络的机会,并将自动拨号设置为每分钟5英镑的数字 - 一个非常好的收入,让[受害者公司]与一个可以遇到数万的法案,”解释Paul德语,CTO在VoIP安全公司Voipsec,添加:“应用于Web流量的安全最佳实践也应该应用于语音流量 - 以及最新一代的基于云的Freemium Viceover防火墙产品可以在几分钟内下载和安装。 。“

4. 中小型公司是素数

尽管有利润丰厚的数据持有束缚,但许多中小企业具有非常适度的IT安全预算 - 最近的PWC调查发现,在2014年的预付款低于100亿美元的公司实际降低了20%,而安全投资增加了5%较大的公司 - 使较小的组织成为黑客有吸引力的攻击前景。

“对于更雄心勃勃的罪犯,他们的供应链链接到更大的大公司,使中小企业有吸引力,因此需要企业级防御,”Panjwani说。 “你在高街上传递的企业现在是网络罪犯的珍贵目标。根据2013年通过国家小型商业协会的调查,44%的中小企业承认他们是网络攻击的受害者。在不知道它的情况下,零售商可以被劫持,并成为一个不安的代理,通过该代理通过该代理程序被路由到新的攻击。事实是,小企业在所有商家数据泄露妥协中占10的大约九。“

在光明的一面,他补充道,各种倒战工具都在那里和实惠。 “许多中小企业将其网络安全限制为[技术],只会阻止有限的网络攻击,并且是新零恶意软件变体的几天甚至几周,”他说。 “软件补丁和升级是免费的或相对较低的,不采取特殊的技术专业知识来安装,是任何大小的企业最重要的基本安全步骤之一。”

5. 警惕需要制度化

“减轻风险的最佳方法是假设已经发生攻击,通过采用解决整个攻击连续体的安全性 - 之前,期间和之后,”Cisco Uki网络安全总监Terry Greer-King说。他说,“安全的安全方法”,必须被屋顶下的每个人都掌握。 “确保策略记录并清楚地了解每个员工和每个用户是很重要的。在这样做时,员工本身将受到教育和动力,以坚持本组织的安全流程,并能够对个人一级承担责任。“

IT招聘顾问Stott的网络安全经理Simon Kouttis同意。 “企业应该将安全要求从一开始,而不是改造它,而不是改造。” “如果网络安全符合更广泛的业务目标,这种方法也适用于招聘,企业将主动聘请与长期目标保持一致的人。”

Nigel Jones补充说:“网络犯罪现在是有组织犯罪的一部分 - 组织罪犯善于招募具有完成工作的技术能力的合适人士。你必须询问企业和政府是否以同样的方式招募有害的人。“

6. 有一个巨大的抵押法律威胁......

“当您持有人的个人数据时,最明显的风险是数据保护法案下的监管风险,”弗里斯比说。 “我们建议的客户甚至没有在行为下登记的客户,因为他们应该是。然后存在被起诉的风险 - 如果您输入了您所拥有的合同,您未能占有机密信息,并且您未能采取基本步骤,以保护它和客户遭受,他们可以为您违反合同。你有责任。“

据弗里斯比,另一个不被认为是应该是董事的个人风险,如果他们的企业没有充分保护。 “他们对公司的信托职责延伸到采取措施,以确保有权保护网络攻击,如果他们不这样做,他们最终会对股东回应,”他说。

7. ......和保险没有安全毯

弗里斯比说,政策覆盖率没有统一性,“所以你必须仔细看看不同的政策,并确保封面适合您的业务。另一个元素是这是一个国际威胁:没有理由假设,因为你是英国公司的肇事者在英国。有关损坏已经完成的问题,并且当事件超出大多数保险政策的领土限制时出现损失的问题。您的政策的排他性和限制是什么?“

弗里斯比说,优先的道路只是刚刚被奠定了。 “目前正在使用的政策措辞尚未在法庭上进行尝试和测试,因此我们将不确定它实际意味着什么 - 在适当的时候,它会出现在案件中。无论生活中的新奇,都有不确定性。“

8. 传统加密是一种防守 - 但没有灵丹妙药

强大的加密仍然是任何公司反网络犯罪的核心部分,而且不会将其视为一个不可用的虚拟护城河。 “多年来,加密被视为一个银弹 - 只需打开它,您的数据神奇地固定,”数据保护解决方案提供商Thales电子安全的John Grimm说。 “但是今天的信息系统比以往更加全球,攻击越来越复杂。”

因此,GRIMM表示,更智能的加密策略需要到位。 “数据分类是拼图的重要作用,”他说。 “数据保护可能是复杂的,企业应该避免尝试诱惑,通过根据对”皇冠珠宝“的数据不太敏感的数据来试图煮沸海洋。

9. 其他防御(越来越多)可用

“我们许多人熟悉静态生物识别学,如指纹和视网膜扫描,归功于前者被智能手机巨头和后者成为许多国际机场的常态,”行业首席执行官尼尔的Costigan说。

“相比之下,行为生物识别是,在大多数情况下,尚未进入消费者的良心。该技术坐在设备的背景下,使用复杂的机器学习工具来构建用户行为的简档 - 分析个人的特征,例如人拥有设备或其打字速度的角度。这远离依赖依赖消费者为“他们知道的东西”,朝着非侵入性,无摩擦验证。“

10. 它可以创造就业机会

是的,更多好消息。任何新出现的问题都会创造职业机会,网络犯罪也不例外:网络弹性团队将是未来公司工资单的明确夹具(谈判目前正在布鲁塞尔最终确定,其结果可能是许多人公司将 - 截至2017年底 - 被要求指定专门的独立数据保护官)。

“技术正在不快发展,我们可以产生具有我们需要的技能和经验的个人,”Kouttis说。 “商业的敏捷性质以及遥控工作技术,使更多公司对网络攻击的风险开放,具有较少的合格专业人士来处理这一增加。我们现在正在遇到阀杆[科学,技术,工程和数学]科目的历史技能短缺造成的问题,尽管现在这是正确的教育议程。还需要成为一种创造性的方法 - 你需要长期的角色可能不存在。“

随着所有影响和排列的网络犯罪显然是一直关注 - 长期关注。

网络犯罪

£2bn 根据“的”攻势网络武装能力“,英国将在未来五年内花费的金额 周日时报.

$300 根据网络犯罪主题的一本新书,可以从网上犯罪分子购买价值150,000美元的在线银行账户 - 核糖脑梗:身份,信任,安全和互联网,由爱德华卢卡斯。

61398 第三届总参谋部第二十届局的单位数,中国人民解放军雇用了数千人,几乎肯定是为了破解西方公司的系统。

46 金融服务专业人员的百分比,在寄存器信托的一项研究中&清算公司(DTCC),将网络风险视为对金融业的最大威胁。八十百分之八十百分之一是前五名之一。

1.2bn 发现俄罗斯犯罪戒指的用户名和密码组合的数量去年囤积。他们还累积了420,000个网站的5亿电子邮件地址。

网络犯罪词汇表

富裕的词汇挂毯中最好的六个由数字担保的人编织......

勒索制造器 阻止用户从系统中阻止用户的恶意软件,直到他们支付费用

黑客病学 意识形态上积极的攻击

机器人  侵入性软件机器人执行自动任务

复活模块 一种具有使病毒无敌的目的的插件

数字珍珠港 一个国家网络攻击的概念另一个

黑帽 坏人,基本上,与老学校的西方人一样

网络犯罪:更多阅读

有关Canterbury Christ Church University的网络Essentials计划的信息可以找到 Canterbury.ac.uk.

@canterburyccuni

IOD成员的网络安全简报

点击此处登录IOD成员的网络安全上的独占内容 (opens new page)

IOD网络安全峰会2017年

了解网络犯罪竞技场的新兴全球和国家趋势,并接受您在116年3月27日在116 Pall Mall的Iod Cyeber安全峰会上保护您的业务的实际步骤。订票 这里 .
分享

关于作者

尼克斯科特

尼克斯科特

尼克澳大利亚澳大利亚GQ副主编的前任主编,尼克曾在包括ESQuire,监护人,观察者运动每月和滚石澳大利亚的标题中发表的功能,是杂志导演的贡献编辑。他接受了采访的名人,包括Hugh Jackman,Daniel Craig和Elle Macpherson,以及包括Richard Branson,Charles Middleton和Nick Giles和Michael Hayman Mbe的商人。

No comments

时间限制耗尽。请重新加载CAPTCHA。