Багато хто з нас вперше спробував ChatGPT лише 12 місяців тому. Потім хтось натиснув на кнопку мультиплікатора швидкості, і ось вже закінчується 2023 — рік прориву генеративного штучного інтелекту (GenAI). Він був одночасно захопливим і тривожним для фахівців з кібербезпеки, які розуміють, що технологічні зміни та кіберризики нерозривні.

Тим часом драматичні зміни у фізичному світі змінили ландшафт загроз, переорієнтували стратегії кібербезпеки та спричинили регуляторні реформи. Проте дещо залишилося незмінним, як-от невпинне прагнення зловмисників отримати доступ до персональних даних та перевірені способи їх викрадення і використання.

Команда CyberArk зібралася разом, щоб обговорити, як тенденції 2023 року вплинуть на 2024 рік і далі. Пропонуємо вам ознайомитися з щорічними прогнозами, заснованими на дослідженнях CyberArk, взаємодії з клієнтами та партнерами, а також на співпраці з іншими галузями.

У 2024 очікується, що…

Перехоплення сеансів буде відігравати все більш помітну роль в атаках...

Ще більше організацій перейдуть до безпарольного управління доступом, від ключів до MFA, щоб запобігти атакам. Зловмисники розвиватимуть свою тактику, щоб обманювати корпоративних і сторонніх користувачів, викрадати сесійні файли cookie та обходити надійні механізми автентифікації.

Їхня винахідливість принесе дивіденди: до 2024 року на перехоплення сеансів припадатиме 40% усіх кібератак.

Постійна пильність у захисті, моніторингу та реагуванні на зловживання/компрометацію сеансів користувачів і файлів cookie є критично важливою — особливо з огляду на обнадійливу обіцянку Google знищити файли cookie назавжди, ніколи не варто недооцінювати інноваційні ідеї зловмисників. Вони знайдуть інший спосіб.

... проте 30% організацій заплатять за слабкий захист паролями

Звичайнісінька крадіжка облікових даних стане менш поширеною, коли безпарольний доступ стане загальноприйнятим і буде використовуватися правильно. Проте ця проблема нікуди не зникне.

Організаціям, які впроваджують безпарольну автентифікацію, може знадобитися резервний фактор, і багато компаній повернуться до небезпечної опції — паролів.

Поки команди безпеки боротимуться з новими пожежами, зловмисники скористаються слабким захистом паролів, і 30% організацій зіткнуться зі збільшенням кількості інцидентів витоку даних, пов'язаних з крадіжкою облікових даних.

55% підприємств прискорять технологічну консолідацію для спрощення безпеки

ІТ-середовища та середовища безпеки більшості організацій вже надто розгалужені, складні та важкі в управлінні. Команди рідко володіють усіма інструментами, які їм доводиться поєднувати з іншими, що змушує їх наймати або залучати зовнішніх експертів.

Оскільки кожна платформа фокусується на конкретних речах і перетинається з іншими, командам важко побачити — не кажучи вже про те, щоб зрозуміти — кожну потенційну вразливість і загрозу в їхніх хмаро-орієнтованих середовищах.

Недотримання угод про рівень обслуговування, зростання накладних витрат та небезпечний дрейф безпеки підштовхнуть 55% підприємств до прискорення технологічної консолідації. Вони прагнутимуть спростити операції та максимізувати наявні ресурси, працюючи з меншою кількістю постачальників та систем.

Протягом 2025 очікується, що…

Незахищені механізми безпеки, керовані ШІ, живитимуть зачароване коло кіберризиків

Організації використовують GenAI для посилення кіберзахисту. Попри це, 80% з них не зможуть захистити ті самі моделі безпеки на основі ШІ, що підживлює зачароване коло кіберризиків.

Щоб отримати перевагу над зловмисниками, потрібно і мислити як вони. А саме залучати навчання моделей GenAI з використанням як наступальних, так і захисних зразків, прийняти гарантії якості моделей і регулярного стрес-тестування (включно зі створенням "червоних команд" і пробним тестуванням) та багато іншого. Не менш важливим буде розміщення цих моделей ШІ у високозахищених середовищах з високим рівнем захисту доступу.

Уряди випустять далекоглядні гайдлайни в цій сфері, але організації не можуть чекати кодифікованих стандартів, які можуть швидко застаріти. Впроваджувати GenAI в безпеку продуктів потрібно вже зараз.

Під тиском обставин ІТ-директори виступатимуть за своєчасне та прозоре розкриття інформації про порушення

Відповідальність за кібербезпеку стає особистим питанням.

Спочатку керівника служби безпеки Uber звинуватили в тому, що він не повідомив федеральним регуляторам про витік даних у 2016 році. Цієї осені Комісія з цінних паперів і бірж США звинуватила компанію SolarWinds та її директора з інформаційних технологій у шахрайстві та збоях у системі внутрішнього контролю. А це вже стало знаковою подією після рішення агентства про посилення вимог до розкриття інформації про кібербезпеку.

Лідери безпеки в усьому світі уважно стежать за розвитком подій. До 2025 року 60% директорів з інформаційної безпеки компаній зі списку Fortune 2000 виступатимуть за прозоре та швидке розкриття інформації — не лише через політику, а й тому, що на кону стоять їхні кар'єри та репутація. 

А у 2026 можна очікувати, що…

Майже половина рад директорів компаній зі списку Fortune 500 будуть шукати керівника служби безпеки ШІ

Кібербезпека — це основа стійкості бізнесу та довіри зацікавлених сторін, а не питання ІТ.

Більшість організацій зі списку Fortune 500 усвідомлюють високі ставки та підвищують кваліфікацію з кібербезпеки на рівні корпоративних директорів. Нові ризики, пов'язані зі штучним інтелектом, викликають ще більше відчуття нагальності.

До 2026 року 45% цих підприємств наймуть і будуть працювати над тим, щоб призначити в раду директорів керівника з питань безпеки ШІ. Цей керівник буде володіти як технічними знаннями, так і діловою хваткою, відіграючи впливову роль у просуванні інновацій у сфері ШІ, управлінні ризиками та захисті моделей безпеки, заснованих на ШІ. Він буде глибоко занурений у стратегію кібербезпеки та розширить механізми нагляду й звітності, щоб краще вимірювати та вдосконалювати ініціативи з безпеки, оцінки ризиків та плани реагування на інциденти.

Багатонаціональні організації зіткнуться з регуляторною відповідальністю

Шістдесят відсотків усіх регульованих глобальних організацій будуть докладати значних зусиль, щоб відповідати все жорсткішим вимогам щодо захисту даних та розкриття інформації про порушення. Особливо в міру того, як розширюватимуться сфери використання GenAI. Все більше організацій зіткнуться зі штрафними санкціями за недотримання вимог, оскільки регуляторні органи будуть наступати на ті ж граблі, що й вони.

Врахуйте, що сьогодні недотримання лише GDPR Європейського Союзу може коштувати організаціям до 20 мільйонів євро або 4% річного світового обороту, залежно від того, яка сума буде більшою. І без того високі штрафи продовжуватимуть зростати, що може призвести до руйнівних наслідків. 

Провідні світові держави закликатимуть до укладення Женевської конвенції з кібербезпеки

Складні атаки на державні об'єкти, особливо націлені на критично важливу інфраструктуру, можуть призвести до широкомасштабних збоїв, небезпечних для життя відключень і хвилеподібних пошкоджень у ланцюгах постачання ПЗ.

Занепокоєння ескалацією до звичайної війни спонукатиме провідні світові держави вжити рішучих заходів для підвищення кіберстійкості, зміцнення правової бази та міжнародного співробітництва. В рамках цього процесу ці країни наполягатимуть на створенні Женевської конвенції з кібербезпеки, щоб стримувати атаки з боку національних держав та притягувати винних до відповідальності.

2023 рік підкинув кілька серйозних несподіванок. Але він також нагадує нам, що потужні програми кібербезпеки не зупиняються на досягнутому і не реагують на загрози. Вони досить гнучкі, щоб залишатися в грі, постійно вдосконалюючи практики, роблячи стратегічні інвестиції з урахуванням ризиків і проактивно готуючись до того, що може статися далі.