- 采取措施验证和维护关键数据库的完整性。
- 将妥协信息诚信的方案纳入业务风险评估;涉及整个组织规范业务影响的适当利益相关者。
- 与同行合作,分享有关信息完整性攻击的智能。
- 在公开提供提供事实证据的任何信息之前咨询法律专业人士,以反击虚假索赔。
- 使用联合身份和访问管理(FIAM)系统和内容管理系统(CMS)等工具,监视对敏感信息所做的敏感信息所做的更改。
颠覆块状破坏信任
许多组织正在探索区块链技术,因为它有望确保交易的完整性,而无需在交流中心的可信第三方。
在一篇文章哈佛商业评论去年,Don Tapscott和Son Alex Tapscott,作者BlockChain革命:比特币后面的技术如何变化金钱,商业和世界据称,“我们的两年度研究项目涉及数百人与区块链专家的采访,提供了强有力的证据表明区块链可以改变业务,政府和社会,这也许更加深刻的方式。”
Tapscotts建议65%的全球银行将在2019年到2019年的大规模区块实施。
但德宾指出,就像任何技术一样,区块链将容易受到妥协。潜在的漏洞包括弱加密,散列和关键管理;书面差价差;权限不正确;业务规则不足。如果陷入困境,ISF表示客户,高级管理层和受影响过程中的用户信任将被破坏,并将需要大量努力重建。
受损区块链可能导致未经授权的交易或数据泄露,资金转移,欺诈甚至验证欺诈性交易。
为避免这种命运,德国表示,必须注意将信息安全性建设到基于区块链的设计,构建,实施和操作阶段。商业经理,开发人员和信息安全专业人员之间将需要密切合作。
ISF建议您执行以下操作:
- 任命赞助商或指导委员会,广泛磋商,并采取关于在您的组织中通过和使用区块链的决定。
- 培训员工如何安全地使用BlockChains,并检测可疑活动。
- 使用Blockchains评估外部各方的安全控制(例如,审核其安全控制的强度,例如加密密钥管理和访问控制措施)。
- 与行业论坛和专家聘用,为安全实施的良好做法和标准做出贡献。
- 咨询合法以了解使用区块链的合同影响。
- 要求信息安全要求在基于区块链的设计,实现和操作期间纳入。
- 考虑分散区块区系统对现有治理和变更管理流程的影响
主题3:当控制被规定和技术侵蚀时恶化
在未来两年内,ISF认为,智能技术的快速进步和国家安全和个人隐私所带来的冲突需求将侵蚀组织控制自己信息的能力。
Durbin说,旨在改善国家安全的新监视法将要求通信提供商能够批量收集能够揭示企业秘密的数据。组织将无法定义这些数据库周围的安全安排,并且它们可能成为具有提取和利用存储在其中数据的数据的知识和能力的攻击者的有吸引力的目标。
与此同时,德国表示,新的数据隐私法规,如欧盟一般数据保护条例(GDPR)将使组织受到监测内部人士的行为的影响更加困难。GDPR要求组织对他们对监视用户行为的使用工具来透明,Durbin表示将为恶意内部人提供绕过此类控制所需的信息。
同时,技术创新将继续超出规定。Durbin说,在自动化系统中越来越成熟的AI将开始做出独立的决策,这些决定将违反定义的业务规则,破坏操作并创建新的安全漏洞。
虽然这些因素中的许多因素将出于您的组织的直接控制,但德宾表示,通过考虑与通信提供商的风险评估,开放和诚实的谈判,以法律顾问来了解新法规的影响,可以通过考虑风险评估并建立劳动力准备采用先进技术。
监视法令公开企业秘密
一些政府已经开始创建需要进行通信提供商收集和存储与电子和语音通信相关的数据的监督立法。ISF预计该趋势将在未来两年内持续下去。
此类立法的目的可以是识别和监控恐怖分子和其他这些组,但数据收集将必然会扫除更多信息,包括来自组织的敏感数据。
ISF注意激励攻击者将快速识别此数据的价值,知道它是以及如何获得它,并具有分析,解释和利用它的能力。此类信息可以揭示类似于兼并和收购的计划,在管道中开发和新产品的详细信息。
ISF认为,五个因素将结合,以使其存在一个问题,而不是如果来自通信提供商的数据窃取将暴露秘密:
- 没有组织将能够避免收集其数据;这将是一个法律要求。
- 数据可能会被多个外部各方存储在多个位置 - 每个应用程序的不同级别。
- 全球数据泄露的越来越大的体积和影响表明数据不会被充分保护。
- 寻求利用数据的攻击者可能会更好地资助和比负责保护它的人更有动力。
- 来自数据分析的潜在价值将使良好资源,高技能和确定的攻击者成为明显的目标,包括有组织的犯罪集团,竞争对手,恐怖主义团体和国家各国。
要保护您的组织,ISF建议您采取这些行动:
- 获取关于通信提供商必须合法存储的元数据的建议,在您运行的每个司法管辖区中。
- 在您的组织上进行合作,并进行风险评估,以了解通信提供商丢失的元数据的影响。
- 与通信提供商接触以同意责任,并为您的安全存储设置最低要求。
- 建立通信提供商如何以及当通信提供商将如何通知您违规并共同努力以尽量减少影响。
隐私法规妨碍了对内幕威胁的监测
根据2015年McAfee发布的一项研究,今年的43%的数据泄露是由内部人员造成的:用户,经理,IT专业人员和承包商。它应该没有惊喜,然后,用户行为分析(UBA)工具(UBA)工具(UBA)工具(UBA)工具,哪些标志的用户行为越来越受欢迎:Marketsandmarkets Research的2016年报告预计UBA工具的销售将从2016年的13170万美元增加到2021美元至90830万美元。
但ISF表示,新的隐私法规,如GDPR,韩国的个人信息保护法(PIPA),香港的个人数据(隐私)条例和新加坡的个人数据保护法,有可能限制使用此类工具。他们规定雇主使用这些工具必须对用户控制和透明。例如,在GDPR下,否则雇员的所有分析都被禁止,除非雇员被告知逻辑下降的逻辑。虽然德国指出透明度和创造信任文化是好的,但这些法规将定位恶意内部人士来规避UBA。
要解决内部威胁和新规定的影响,ISF建议您执行以下操作:
- 对您组织经营的每个司法管辖区的用户分析的限制采取法律建议。
- 建立一个严谨的计划(与纪律流程相关),这对任何员工监测活动透明。
- 让员工了解内幕风险并培训他们以识别可疑行为。
- 对内部人员的访问权限进行更定期和严格审核,确保基于角色的基于角色。
一个笨重的急于部署ai导致意外的结果
AI系统代表自动化方面的重大创新。独立学习的能力将使它们在从制造业到营销和咨询范围内的区域中自动化越来越复杂和非重复的任务。但德宾指出,虽然AI不再处于初期期,但他们只有可能在未来两到三年内达到青春期。这使得他们容易出错:从错误或不完整的信息中学习可能导致不准确的结论。
在杠杆在结果的环境中可以影响组织的声誉或表现时,AI可以不可预测地运作。例子包括以下内容:
- 漏洞介绍。AI系统可以启动与客户或供应商的新关系,并连接到不安全的外部网络。
- 对命令的误解。智能助手可以挑选错误的对话或误解指令,导致它处理不正确的订单。
为了保护您的组织免受这种威胁,ISF建议您采取这三个步骤:
- 协作整个组织,建立哪些区域将从AI部署中受益,而何时会受益
- 招聘,开发和留住才能与理解和管理AI系统的技能
- 与行业同行和学术机构合作,开发部署AI系统的最佳实践
- 更新治理结构有效地管理AI(例如,在设计中包含安全性,提供AI系统所采取的决策的监督,确保如果发生严重事件,则可以手动关闭系统)
这个故事,“9年最大的信息安全威胁到2019年”最初发布CIO. 。