D1net觀察:我們?nèi)粘R蕾嚨幕ヂ?lián)網(wǎng)可靠嗎,哪些攻擊可以造成互聯(lián)網(wǎng)的中斷,預(yù)防互聯(lián)網(wǎng)中斷可以采取哪些措施?企業(yè)如何面對物聯(lián)網(wǎng)設(shè)備遭受到勒索軟件的劫持?企業(yè)以為自己的數(shù)據(jù)很安全,但是如果和數(shù)據(jù)安全相關(guān)或者和企業(yè)關(guān)鍵信息相關(guān)的員工遭受暴力威脅,怎么辦?企業(yè)往往會根據(jù)掌握的信息制定公司戰(zhàn)略和做出決策,但是,企業(yè)掌握的信息可靠嗎?人工智能如火如荼,但是人工智能也可以被攻擊者利用,那么如何防止攻擊者利用人工智能傳播企業(yè)的虛假消息?據(jù)預(yù)測,到2019年,65%的全球頂級銀行將大規(guī)模地實施區(qū)塊鏈技術(shù),但是如果區(qū)塊鏈遭到破壞,可能導(dǎo)致未經(jīng)授權(quán)進行交易或數(shù)據(jù)泄露、資金轉(zhuǎn)移,欺詐甚至驗證欺詐交易,那么,如何避免這種情況的發(fā)生?……國際上的知名信息安全組織“信息安全論壇”經(jīng)過研究和分析,發(fā)布了關(guān)于上述問題的研究報告,讓我們來了解一下,做到心中有數(shù)。
主題3:法規(guī)和技術(shù)將削弱組織機構(gòu)控制能力,從而導(dǎo)致安全狀況惡化
在接下來的兩年中,信息安全論壇(ISF)認為,智能技術(shù)的快速發(fā)展以及國家安全和個人隱私保護不斷提高所引起的矛盾,將會削弱組織機構(gòu)來控制他們個人信息的能力。
杜賓說,旨在提高國家安全的新監(jiān)管法將要求通信提供商來大量收集可能泄露企業(yè)秘密的數(shù)據(jù)。組織機構(gòu)將無法明確了解這些數(shù)據(jù)庫的安全措施,并且這些數(shù)據(jù)庫可能成為攻擊者的理想目標,這些攻擊者具備從數(shù)據(jù)庫中提取和利用這些存儲數(shù)據(jù)的知識和技能。
與此同時,杜賓表示,類似于歐盟“一般數(shù)據(jù)保護條例(GDPR)”,這些新的數(shù)據(jù)隱私法規(guī)將使組織機構(gòu)更難監(jiān)測內(nèi)部員工的行為。“一般數(shù)據(jù)保護條例(GDPR)”要求組織機構(gòu)公開用于監(jiān)控用戶行為所使用的工具,杜賓表示,這將為惡意的內(nèi)部員工提供繞過此類控制措施所需的信息。
同時,技術(shù)創(chuàng)新將繼續(xù)超越這些規(guī)定。杜賓表示,自動化系統(tǒng)中越來越成熟的人工智能(AI)將開始做出獨立決策,這些決策將會與已明確的業(yè)務(wù)規(guī)則相抵觸,破壞業(yè)務(wù)操作并產(chǎn)生新的安全漏洞。
盡管許多因素將超出您組織機構(gòu)的直接控制范圍,但杜賓表示,業(yè)務(wù)主管和安全主管可以通過以下措施來應(yīng)對這些安全威脅,包括周全的風(fēng)險評估,與通信提供商的開誠布公地協(xié)商,通過法律顧問了解新法規(guī)的影響,并組建團隊采用先進技術(shù)。
監(jiān)督法將泄露企業(yè)秘密
一些國家政府已經(jīng)開始制定監(jiān)控法案,要求通信提供商收集和存儲電子及語音通信相關(guān)的數(shù)據(jù)。信息安全論壇(ISF)預(yù)計未來兩年這一趨勢將會持續(xù)。
這一立法的目的可能是調(diào)查和監(jiān)測恐怖分子和其他類似團體,但這種數(shù)據(jù)采集必然會收集到更多的信息,包括各組織機構(gòu)的敏感數(shù)據(jù)。
信息安全論壇(ISF)注意到,動機明確的攻擊者將很快認識到這些數(shù)據(jù)的價值,并清楚這些數(shù)據(jù)在哪里以及如何得到它,還能夠分析、解讀和利用這些數(shù)據(jù)。這些信息可能會泄露企業(yè)的并購計劃、正在研發(fā)的知識產(chǎn)權(quán)以及新產(chǎn)品的細節(jié)。
信息安全論壇(ISF)認為,綜合以下五個因素考慮,從通信提供商竊取含有企業(yè)秘密的數(shù)據(jù),這只是一個時間問題,而并不是能否發(fā)生的問題:
1. 因為這是法律的規(guī)定,所以任何組織機構(gòu)都無法避免他們的數(shù)據(jù)將被收集。
2. 這些數(shù)據(jù)可能由多個外部單位管理,存儲在多個位置,每個單位應(yīng)用不同的安全級別。
3. 全球數(shù)據(jù)泄露的數(shù)量及影響日益增加,這表明數(shù)據(jù)并未得到充分保護。
4. 試圖利用這些數(shù)據(jù)的攻擊者可能比負責(zé)保護這些數(shù)據(jù)的人有更多資金和動力。
5. 數(shù)據(jù)分析產(chǎn)生的潛在價值將使其成為攻擊者的明確目標,這些攻擊者實力雄厚、技術(shù)精湛、目的明確,其中包括有組織犯罪集團、競爭對手、恐怖組織和其他國家。
為保護您的組織機構(gòu)免受侵害,信息安全論壇(ISF)建議您采取以下措施:
• 在您機構(gòu)運營的每個司法管轄區(qū),都要聽取來自通信提供商就必須合法存儲元數(shù)據(jù)的建議。
• 在您的組織機構(gòu)內(nèi)進行協(xié)作,進行風(fēng)險評估,以清楚因通信提供商丟失元數(shù)據(jù)所產(chǎn)生的影響。
• 與通信提供商溝通,以達成相應(yīng)承擔(dān)的責(zé)任,并確定元數(shù)據(jù)安全存儲的最低要求。
• 如果數(shù)據(jù)遭到破壞,與通信提供商明確以何種方式、何時以及是否需要通知您,并共同合作,以減少由此產(chǎn)生的影響。
隱私條例會阻礙對來自內(nèi)部威脅的監(jiān)控
根據(jù)邁克菲軟件公司(McAfee)在2015年發(fā)布的一項研究,該年度43%的數(shù)據(jù)泄露是由內(nèi)部人員造成的,包括用戶、管理者、信息技術(shù)(IT)專業(yè)人員和承包商。那么,用戶行為分析(UBA)工具(用來標記用戶異常行為的軟件)變得越來越受歡迎,就不足為奇:市場研究機構(gòu)MarketAndMarkets Research的2016年報告預(yù)測,用戶行為分析(UBA)工具的銷售額將增長近600%,從2016年的1.317億美元到2021年達到9.083億美元。
但信息安全論壇(ISF)表示,新的隱私條例(如“一般數(shù)據(jù)保護條例(GDPR)”、“韓國個人信息保護法(PIPA)”、“香港個人資料(私隱)條例”及“新加坡個人資料保護法”等)有可能會限制使用這些監(jiān)控工具。這些條例規(guī)定雇主使用這些監(jiān)控工具的行為必須受到控制,而且要對用戶透明。例如,根據(jù)“一般數(shù)據(jù)保護條例(GDPR)”規(guī)定,除非員工被告知并同意對其資料進行收集分析,否則禁止對員工進行此項操作。杜賓指出,雖然透明和創(chuàng)造信任文化是好的,但這些規(guī)定將使惡意內(nèi)部員工可以逃避用戶行為分析(UBA)工具的監(jiān)控。
為了解決內(nèi)部威脅和清楚新法規(guī)的內(nèi)容,信息安全論壇(ISF)建議您做以下工作:
• 就您組織機構(gòu)運營的每個司法管轄區(qū)內(nèi),了解一些針對用戶資料分析限制的法律建議。
• 建立嚴格的工作程序(制定紀律處分規(guī)則),對員工監(jiān)控的行為保持透明。
• 讓員工了解內(nèi)部風(fēng)險,并對他們進行培訓(xùn),使其能夠辨別可疑行為。
• 對內(nèi)部員工的訪問權(quán)限進行更加規(guī)則和更加嚴格的審核,確保不同角色有恰當?shù)脑L問權(quán)限。
急于部署人工智能(AI)會導(dǎo)致意想不到的后果
人工智能(AI)系統(tǒng)是自動化領(lǐng)域的重大創(chuàng)新。自主學(xué)習(xí)的能力將使其能夠在不同領(lǐng)域自動完成日益復(fù)雜和非重復(fù)性任務(wù),包括制造業(yè)、營銷和咨詢等領(lǐng)域。但是,杜賓指出,雖然人工智能(AI)已不再處于起步階段,但在未來的兩三年內(nèi),它也只能算進入青春期。這使得它容易出錯:例如,學(xué)習(xí)錯誤的或不完整的信息可能得出不準確的結(jié)論。
當一個組織機構(gòu)使用人工智能,而其結(jié)果可能影響到該機構(gòu)的聲譽或績效時,人工智能所發(fā)揮的作用可能無法預(yù)料。舉例如下:
• 引入漏洞風(fēng)險。人工智能(AI)系統(tǒng)可以與客戶或供應(yīng)商建立起新的關(guān)系,并會連接到不安全的外部網(wǎng)絡(luò)。
• 命令的錯誤解釋。智能助手可能會獲取錯誤的對話或?qū)χ噶町a(chǎn)生誤解,然后導(dǎo)致執(zhí)行不正確的命令。
為了保護您的組織機構(gòu)免受此類威脅,信息安全論壇(ISF)建議您采取以下三個步驟:
• 在整個組織機構(gòu)內(nèi)進行協(xié)調(diào)合作,以確定哪些領(lǐng)域?qū)牟渴鹑斯ぶ悄?AI)中獲益,并且何時會獲益
• 招聘、培養(yǎng)和留住那些掌握人工智能(AI)系統(tǒng)技能的人才
• 與行業(yè)同仁和學(xué)術(shù)機構(gòu)合作,開發(fā)出部署人工智能(AI)系統(tǒng)的最佳方法
• 更新管理結(jié)構(gòu)以有效地管理人工智能(AI)系統(tǒng)(例如,將網(wǎng)絡(luò)安全納入到設(shè)計之中;對人工智能(AI)系統(tǒng)所做的決策進行監(jiān)督;如果人工智能(AI)系統(tǒng)發(fā)生嚴重事故,確??梢允謩雨P(guān)閉系統(tǒng))
京公網(wǎng)安備 11010502049343號