大数据 ？ 大安全 ！

VIEWPOINT 2024 大数据？大证券Y！ 如何保护您的数据免受日益增加的网络威胁风险 数字化过程带来的革命使生成和收集日益扩大的数据量成为可能。因此，公共和私人组织必须定义新的 策略，设计和实施保护系统，调整其运营模式，并通过减轻与网络威胁相关的风险来学习管理信息-同时保持遵守现行主要法规的规定。在这个观点中，我们描述了组织必须采取的措施来减轻风险。 AUTHORS 马里奥NicoMichaelKolkDarioGaranteRiccardoCalogiuriLorenzoCimarelli 更多数据，更多攻击！ 数据是一种基本的商业资产。它的损失或妥协可能会严重损害公司和组织 财务业绩、品牌声誉或客户流失。组织是否利用数据来运营其业务，或者数据是副产品 进行日常运营，或者机构将数据资产作为一次性产品销售，所有数据都必须进行管理、保护、跟踪和更新 。随着企业进行数字化转型，数据的经济价值进一步放大，导致增加 数据生产。 组织尚未掌握有关数据的所有方面，包括这些重要考虑因素： -谁可以访问数据，并且什么数据他们能看见吗？ -如何保护数据免受非法侵害 访问尝试? -How主管are用户，以及你如何确保他们继续被告知 风险与信息处理相关的？ 在“网络战场”的观点中，ArthurD.Little（ADL）分享了公司建立网络安全的几种策略 虽然大多数数据安全漏洞（74％，根据Verizon）由内部用户错误，采用特权访问管理等IT系统允 许 组织来管理用户对信息的访问，限制未经授权访问的风险 。同时，可以采用解决方案（e。Procedre，安全信息和事件管理）来控制谁访问什么并监视数据如何更改。这样的IT系统使组织能够检测可以追溯到恶意访问尝试的异常行为，从而允许及时干预。像这样的投资使组织能够主动应对。 网络攻击带来的风险。 CYBERATTACKSHAVE 在TENSIFIEDS在CEEN DOFTHEFIRSTQUARTEROF2023 然而，随着数据呈指数级增长，网络攻击的持续增长（尽管尚未证明直接相关性）。信息安全杂志报告称，针对政府机构和公共部门服务的网络攻击在2023年第二季度比第 一季度增加了惊人的40%。黑莓网络安全公司声称，在 2023年3月至5月的90天内，它阻止了150万次攻击，其 中55,000次攻击是针对公共部门的。数据分析显示，自2023年第一季度末以来，网络攻击加剧。根据BlacBerry的说法，在此期间网络攻击的分布最高： -金融机构 -医疗保健服务和设备 -政府/公共实体 -关键基础设施 对攻击类型的进一步分析揭示了网络攻击背后的原因分为两类： 1.经济。这些袭击是由犯罪组织犯下的，利用了 的各种可用的工具（例如，勒索软件，分布式拒绝服务[DDoS]，恶意软件，网络钓鱼）返回利润。作为一个例子，考虑英国的皇家邮政的情况下，在1月的勒索软件攻击后，2023年，拒绝支付£6700万 （约 8500万美元)肇事者要求。 2.政治。这些攻击在其基础上与政治问题有关（有时是本地的，但更多是国际的）。它们通常可以追溯到激进主义行为，但也可能 被用来煽动网络战争，可以与恐怖主义行为相提并论。例如，在俄罗斯联邦和北约封锁之间的紧张关系下，2023年11月，俄罗斯黑客入侵了22家丹麦电力公司。 考虑到数据泄露在资金方面的高昂成本(IBM估计2023年数据泄露的平均成本为445万美元)、时间和声誉，防止攻击的重要性非常清楚。为此，组织必须: -了解监管环境— 释放数据的价值；保护数据免遭未经授权的访问 、披露、更改或破坏；维护个人和组织的隐私 -承诺增加投资 防御性技术解决方案-以更好地了解竞争，客户和技 术趋势为目标;支持业务增长;并确保信息安全管理 -采用标准和框架和 定义业务实践-保证定性和定量水平 信息安全，不断适应不断增长的攻击，并平衡数据共享与保护（请参阅ADL观点“利用外部数据共享来解锁变革性协作”）。 规管景观转型 根据DemandSage的数据，平均每天创建3.2877亿TB的数据。但是，确保对数据进行适当管理和保护的能力仍然遥不可及。而从安全和隐私的角度来看，欧盟通用数据保护条例（GDPR）已经提出 作为保护信息的盾牌，对大数据使用的监管仍在等待《欧盟数据法案》的最终批准，该法案与《人工智能法案 》（专注于监管基于人工智能[AI]技术的数据分析过程的立法）一起加入。这两项立法都面临着大约12个月（2024年底）的道路，等待欧盟的最终批准。此后将开始欧盟国家将这些行为转化为国家法律的过程。 尽管GDPR的覆盖范围仅扩展到个人数据，但《数据法 》涵盖了个人和非个人数据，使其应用范围更加广泛。 《数据法》旨在消除公共和私人组织的数据访问障碍，使其更简单 在服务提供商之间传输数据，并鼓励包括中小型企业在内的更广泛的参与者参与数据经济。这些新法规将使消费者和企业在确定其连接设备产生的数据的使用方面拥有发言权。 此外，随着人工智能系统越来越多地融入日常生活，围绕数据保护和道德考虑的问题已经走到了最前沿。网络犯罪分子可以使用AI轻松开发恶意软件，这些恶意软件可以发现以前未知的漏洞或逃避检测并创建复杂的网络钓鱼攻击。GDPR支持创建AI和大数据应用程序，这些应用程序有效地在数据保护与其他社会和经济利益之间取得平衡，但在实现这一目标方面提供的指导有限。因此，人工智能法案旨在通过基于风险的方法来规范人工智能，该方法根据智能软件和应用程序可能带来的潜在风险来区分合规义务。 风险越高，智能应用程序创建者的合规要求和责任就越大。 欧盟国家完成数据和人工智能法案的监管路径将要求公共和私营组织在一定的时间范围内进行调整，并改变流程，承诺新的预算并调整商业模式以确保合规性 。 图1.2023-2026年各地区信息安全支出 承诺投资 数据可用性的增长是领先的公司，无论是公共的还是私人的，都在为其管理获取工具和技术方面进行越来越多的投资。目的是了解竞争，客户以及创新的技术趋势和工具；通过规划和实施有效的战略来支持业务增长；和 确保信息的安全管理。 但是，尽管投资集中在获取用于分析，处理和可视化信息的专有技术上 以及商业智能，数据分析和AI系统等技术工具，欧盟网络安全机构（ENISA）发布的一份报告强调了与2023年信息安全支出的主要增长驱动因素相关的数字。 该报告确定了增长的主要驱动因素为混合工作，从虚拟 专用网络(VPN)过渡到零信任网络访问，并迁移到基于云的部署模型。该研究估计2023年支出的总体增长为 1430亿美元，2024年的估计为1630亿美元，增长高 达14%(见图1)。 95 108 120 131 33 38 15 +10% 199 +12% 在数十亿美元 183 +14% 163 44 17 48 19 20 143 2023202420252026 北America欧盟亚太地区 来源：ArthurD.Little，ENISA GROWTHIN数据AVAILABILITYIS LEADINGCOMPANIES TOMAKEEVERGREATERINVESTMENTSINTHE ACQUISITIONOFTOOLSANDTECHNOLOGIES FORTHEIRMANAGEMENT 该报告预测到2026年的可持续增长，每年的百分比为两位数。按地理区域划分，北美平均占全球年度支出的三分之二。北美与其他地区之间的差距突出表明，该地区更加重视安全问题，并强调其他地区需要增加投资，以弥合技术和文化差距。 根据ENISA报告，2024年支出增幅最大的担忧云安全（同比增长24%），符合从专有本地架构到云解决方案的实质性和一般迁移过程，以及数据隐私（同比增长24%），因为组织的重点仍然是出于隐私目的处理数据（见图2）。 这些数字背后的因素与日益增长的网络威胁风险以及影响组织及其在适应 新的商业范式，它承认数据是公司的基本资产，无论是公共的还是私人的。这种价值使实施和感知的安全级别变得越来越重要：首先，为了保证法规遵从性并确保公司能够从信息访问中产生的价值， 第二，作为利益相关者和股东关注的要素。 图2.2023-2024年全球最终用户在安全和风险方面的支出增长 24% 24% 24% 数据隐私 云安全 其他信息安全软件 安全 全 15% 网络应用程序安全设备 理 身份访问基础设施保护 数据安 13% 管 15% 18% 综合风险管理 安全服务 10% 10% 5% 消费者安全软件 19% 来源：ArthurD.Little，ENISA VIEWPO在TARTHURD.LITTLE 大数据？大数据安全！6 应用合适的框架& 业务实践 结构化框架对于有效的信息安全管理至关重要。在考虑信息安全和个人身份信息(PII)保护时，组织可以参考广泛认可的标准，如ISO/IEC27001:2022或NIST网络安全框架(CSF)。这些标准提供结构化框架和最佳实践 用于评估和减轻信息安全风险。采用组织框架可以通过标准化流程，自动化安全性和隐私合规性以及建立一致的措施来缩短上市时间。 表1突出了 这两个框架，但重要的是要指定这些框架通常涵盖相同的领域，例如识别风险，实施控制以减少风险以及监控绩效。组织可以协同整合框架以创建整体的网络安全方法。 采用标准框架可以使组织获得一系列好处，包括 ： -信息安全意识-启用 采取强有力的措施保护敏感信息 -风险缓解-获得更深的 了解风险管理，并提供识别漏洞、评估风险和实施策略以减轻风险的能力 -法规合规性-符合 相关法律和不断发展的法规，为维护信息安全提供了积极的方法 -增强声誉-增加一个 组织的声誉，并为组织的客户和合作伙伴提供更大的信心，促进更好的关系并创造更多的商业机会 -节约成本-followingtheinitial 投资，由于信息安全“文化”的增强，降低了泄露的可能性，随后减少了法律费用和声誉损害 ，从而促进了中长期利益 表1.不同框架的方法 改善组织的信息安全管理系统 管理和减少网络安全风险到网络/数据 提供管理敏感公司信息的系统方法，包括数据管理、访问控制和风险管理 提供任何组织都可以用来提升其网络安全风险计划成熟度的框架 93个控件之间划分4主题: 1.人员（8个控件）2.组织(37个控制)3.技术（34个控制）4.物理（14个控件） 6功能自定义网络安全控制： 1.Identify2.保护3.检测4.回应5.恢复6.Govern 涉及一系列审计和认证这涉及到更大的费用 自愿，允许组织使用首选的pace和资源实施标准 ISO/IEC27001:2022 NIST网络安全框架2.0 Focus 简要说明 需求数量 预期成本 来源：ArthurD.Little，OneTrust 大数据？大数据安全！7 一般来说，ISO/IEC27001:2022标准对于操作成熟的组织是有用的，这些组织旨在建立或改善其整个信息安全管理周期，并且 寻求认证以证明公司对安全性和合规性的奉献精神。相反 ，NISTCSF更适合在制定网络安全风险管理计划的第一阶段或试图减轻先前的故障或数据泄露的尝试中评估成熟度。 案例研究：保护意大利的水资源 意大利的一个项目寻求加强领土治理和水资源保护监测系统的信息资产。其主要目标是保护水源免受人为和 通过综合监测网络评估水资源和土壤的状况。 ADL设计了一个系统来监测水的质量，可用性和安全性，允许当局-根据其职责和能力-采取必要措施来减轻危害和风险，促进适当的预防措施。 项目的复杂性集中在关键数量的重要数据的管理。 此外，信息管理系统需要确保数据能够支持各当局的调查，特别是 在侦查环境犯罪方面，并允许进行这些调查以确保其不可否认。 该系统的结构旨在支持客户对现有资源的规划、管理和监控功能，以及与外部的通信，该系统利用以下数据和信息构建： 通过与这些完善的标准保持一致，组织可以有条不紊地识别和解决潜在的