Исследование PwC очень объемное, поэтому публикуется частями.
Сегодня информационная безопасность является неотъемлемой частью бизнес рисков. Теперь этот вопрос касается не только информационных технологий и специалистов по безопасности, в вопросы ИБ теперь вовлечены топ-менеджмент и советы директоров. Потребители также обеспокоены и желают быть в курсе о возможных инцидентах и угрозах безопасности.
Посмотреть вложение 29197
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
информацию о том, что 3000 компаний, в том числе банков, предприятий розничной торговли и военных подрядчиков стали жертвами кибер атак в 2013 году. Впоследствии Министерством юстиции США было предъявлено обвинение пятерым китайским военным хакерам в проведении экономического кибер шпионажа против американских компаний в секторах атомной энергетики, металлопромышленности и солнечной энергетики. Это был первый раз, когда США обвинили государственных должностных лиц в экономическом шпионаже с помощью внешних кибер атак в соответствии с разделом 1831 Закона об экономический шпионаже. Эта тенденция скорее всего продолжится, согласно прогнозу Шона Джойса (глава департамента консалтинга в PwC и бывший заместитель директора ФБР). «Я думаю, что мы увидим, как Министерство юстиции и ФБР продолжат реализацию агрессивной стратегии направленной против субъектов, которые приносят значительный экономический ущерб для экономики США», — говорит Джойс.Нападения на крупные компании ритейл сектора достигли невероятных масштабов в прошлом году, в результате чего произошли кражи сотен миллионов записей платежных карт клиентов. Это привело к значительному росту количества судебных разбирательств и срочного введения нового стандарта платежных карт в США. В Великобритании инсайдером в компании была украдена информация о заработной плате и номерах банковских счетов 100’000 сотрудников сети супермаркетов, после чего эту информацию опубликовали онлайн. В Южной Корее также сообщают о кражах данных потребителей в огромных масштабах, 105 миллионов счетов платежных карт подверглись атакам. В Вердене, Германия, городские чиновники объявили о краже 18 миллионов адресов электронной почты, паролей и другой информации.
Посмотреть вложение 29198
Вслед за разоблачениями Сноудена, атаки на розничные сети придали еще большей огласки проблемам информационной безопасности. Громкие разоблачения в слежке подтолкнули международные корпорации и даже правительства пересмотреть список поставщиков товаров и услуг, исключив оттуда компании, которые могут быть связаны с государственными органами. В частности в Symantec
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
об обнаружении шпионажа за правительствами основных стран Евросоюза. Исходя из выбранных целей и крайне нетривиальных вредоносных программ, в Symantec сделали вывод, что координировала атаки группа при поддержке одного из государств. Геополитические конфликты, особенно между Россией и Украиной, выливаются во встречные атаки на государственные сайты и распространение вредоносных программ на устройства посольств.Другие важные поставщики инфраструктуры также находятся под атаками. Группа хакеров успешно проникла в общественное коммунальное предприятие США через интернет и скомпрометировала систему управления, хотя вторжение было остановлено, прежде чем был нанесен какой-либо ущерб. Преступники, за спинами которых находятся третьи государства, используют сложные вредоносные программы для проникновения в промышленные системы управления сотен энергокомпаний в США и Европе.
Лидерами среди жертв кибер атак остаются компании финансового сектора. Атаки на фондовые биржи стали уже обыденным делом.
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
46 фондовых бирж по всему миру, проведенное Международной организацией комиссий по ценным бумагам (IOSCO) и Всемирной федерацией бирж показало, что более половины (53%) площадок подвергались кибер аткам. Банковский сектор тоже не отстает, во время одной из атак, кибер преступники ограбили банкоматы двух ближневосточных банков по всему миру на сумму $45 млн.Мы также наблюдаем увеличение атак на так называемый сегмент «интернет вещей» – набирающие обороты экосистемы устройств, подключаемых к сети, и призванных облегчить нам жизнь, например, видеоняни, домашние термостаты, новые телевизоры и т.д. Эти подключенные к интернету устройства являются крайне уязвимыми для атаки, потому что в них не заложены даже элементарные системы безопасности, что подтверждает недавнее
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
HP Fortify on Demand. Компания HP исследовала 10 наиболее популярных соединенных устройств и подтверждает, что 70% из них содержат серьезные уязвимости.IOActive опубликовали
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, которое демонстрирует в деталях, как хакеры могут контролировать электронные блоки управления конкретных автомобилей и предлагает механизмы для обнаружения атак. Сообщается, что, что автомобили, которые содержат в себе десятки электронных устройств, связанных между собой, а в некоторых случаях соединяются с внешним миром через беспроводную связь, могут быть взломаны с последующим контролем тормозов, рулевого управления и даже двигателя.Посмотреть вложение 29199
Регуляторы
Некоторые из наиболее уважаемых и популярных мировых новостных организаций, в том числе The New York Times, The Financial Times, CNN, Reuters были скомпрометированы в прошлом году. Многие из самых известных атак были проведены хакерами, связанных с властями ближневосточного региона. Этот список далеко не полный, невозможно узнать точное количество компаний, которые подверглись атакам или были скомпрометированы, и этому есть несколько объяснений. Во-первых, часть компаний так и не узнают, что они были атакованы, во-вторых, компании бояться публично заявлять об инцидентах во избежание репутационных или материальных потерь, судебных исков и прочих проверок. К слову о проверках, регуляторы по всему миру начинают ужесточать правила и требования к компаниям в сфере информационной безопасности.
В качестве подтверждения вышесказанного можно привести пример планов Комиссии США по ценным бумагам и биржам о проведении тестов по информационной безопасности в более чем 50 брокер-дилерах и компаниях инвестиционного консалтинга. В Азии, Акт о защите персональных данных Сингапура устанавливает новые стандарты для сбора, использования и раскрытия личных данных. Организации, которые не будут соблюдать новые требования ожидает штраф до 1 млн SGD или $788’995.
Посмотреть вложение 29200
В новом руководстве от Комиссии США по ценным бумагам и биржам есть несколько новых и уникальных требований, таких как наличие страховки от кибер атак и наличие возможности производить полную инвентаризацию всех инцидентов и нарушений. Руководство также требует, чтобы предприятия внедряли механизмы оценки риска, а также более эффективно оценивали риски и дью дилидженс вендоров.
Руководители транснациональных организаций в ожидании принятия европейских норм по защите данных (European Union Data Protection Regulation), финальная версия которых ожидается в 2015 году. Участники рынка ожидают ужесточение требований к компаниям, которые обрабатывают персональные данные, в частности проведение оценок рисков и аудитов систем информационной безопасности, и более чем двойное увеличение штрафов для скомпрометированных компаний (с 2% до 5% от годового оборота компании). Новые требования ЕС об уведомлениях в случае инцидентов безопасности позволят оценить ситуацию с кибер атаками в Европе более точно. По словам Джона Вудса (один ведущих сотрудников департамента практики кибер безопасности в юридической фирме Baker & McKenzie): «В США государственные законы об уведомлении в случаях инцидентов безопасности позволили обнаружить массу случаев атак и компрометаций, что привело к более серьезному отношению и более пристальному вниманию к информационной безопасности. Будет интересно понаблюдать, если европейские нормы возымеют такой же результат».
Мы также наблюдаем новые усилия правительства, чтобы помочь организациям улучшить свою информационную безопасность на добровольной основе. В США в 2013 году специальным приказом президента о повышении уровня информационной безопасности был создан стандарт Национального института стандартов и технологий (NIST). Версия 1.0 стандарта добровольно реализуется отдельными компаниями для оценки и улучшения ИБ, а также создает общую платформу для обсуждения, сотрудничества и тактики реагирования на кибер угрозы. Усилия частного сектора по продвижению безопасности представлены запуском инициативы компании Google – Project Zero, которая призвана продвигать безопасность путем выявления и блокировки неизвестных угроз, прежде чем хакеры могут ими воспользоваться. В Google говорят, что инженеры из Project Zero будут работать над повышением безопасности широко используемого программного обеспечения, а также изучать мотивы и приемы злоумышленников и проводить исследования в сфере эффективного мониторинга и ликвидации последствий компрометаций.
Рынок услуг в сфере информационной безопасности растет
В результате увеличения количества инцидентов (на 48% в 2014 по сравнению с 2013) и ужесточения требований регуляторов, компании и государственные органы вынуждены повышать уровень ИБ, чтобы защитить свои данные. Это в свою очередь дает импульс для роста количества решений и технологий в области информационной безопасности.
Посмотреть вложение 29201
Исследовательская фирма Gartner
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, что глобальные расходы на ИТ-безопасность вырастут на 7,9% до $ 71’100’000’000 в 2014 году, и на 8,2% до $ 76’900’000’000 в 2015 году. Рост инцидентов безопасности и их освещение в СМИ помогли открыть поток инвестиций венчурного капитала в компании, которые предоставляют услуги в сфере ИБ. В течение первых шести месяцев 2014 года венчурные фонды проинвестировали $894’000’000 в США в стартапы сегмента информационной безопасности. Сумма почти аналогична инвестициям во все стартапы в 2013 году. Это превышает все инвестиции в сектор ИБ за последние 10 лет. В то же время, капитализация некоторых охранных фирм достигла новых максимумов в прошлом году. Например, поставщик сетевой безопасности FireEye, после оценки в $304 млн во время IPO в 2013 году, в настоящее время имеет рыночную капитализацию в размере около $4,6 млрд. Palo Alto Networks (специализируется на ИБ корпоративного сектора) привлекла $260 млн в 2012 на IPO, и теперь имеет рыночную капитализацию в размере около $6,2 млрд.
Посмотреть вложение 29202
В разгар бума вечнурного капитализма оценка некоторых компаний сегмента ИБ составляла пять-десять их годовых доходов. В данный момент на рынке происходит коррекция, все понимают, что сегмент превратился в «пузырь», и во избежание обвала инвесторы постепенно сокращают темпы инвестиций в ИБ. Это привело к тому, что некоторые компании потеряли до половины предыдущих оценок. Мы считаем, что программное обеспечение и рынок услуг в сфере ИБ продолжат рост т.к. топ-менеджмент и советы директоров понимают, что кибер атаки никогда не прекратятся, а требования регуляторов будут только ужесточаться.
Рынок венчурного капитала в сфере ИБ растет и в Европе:
— лондонская компания С5Capital собрали фонд ориентированный на ИБ в объеме $125 млн и объявила об инвестициях в компанию BalaBit 22 в объеме $8 млн;
— фонд Index Ventures открыл свои двери для компаний в сфере ИБ из Европы, Израиля и США, выделив на данный сегмент $550 млн. Фонд также проявлял активность в этом году в области слияний и поглощений в сегменте ИБ;
— FireEye приобрели Mandiant примерно за $1 млрд;
— Cisco Systems приобрели Sourcefire за $2,7 млрд.
Посмотреть вложение 29203
Дополнительно: данное исследования отдельно по сегменту финансовых услуг есть
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.