欧洲没有准备好迫在眉睫的网络罢工,说Infosec专业人士
欧洲的大多数信息安全专业人士认为网络攻击将在未来两年内突破多个国家的临界法案,许多人表示他们的组织还没有准备好进入或遵守新的欧洲数据保护法规,调查表明。
根据一项以上120多人的民意调查和注册的安全专业人员2017年,俄罗斯和中国的主要国家各州的西北部门表示俄罗斯和朝鲜等流氓国家的袭击对欧盟造成最大威胁基础设施。
显着性,仅11%期望欧盟对网络和信息系统安全性的指令(NIS指令),以改善2018年的关键基础设施安全性。
该调查描绘了欧洲组织捍卫自己的能力及其对现代网络攻击威胁的关键基础设施的黯淡。
欧洲的Infosec专业人士,如美国的同行,在围困中,通过组织网络犯罪集团和国家赞助威胁行动者的威胁组合延伸到极限。
组织与关键的基础设施违规是关注的,因为它们是关于他们自己的IT系统和服务的攻击,该调查的近三分之二的受访者表示,他们的组织可能必须在接下来的12年内回应主要的安全漏洞几个月。
但欧洲的安全专业人士认为,他们没有时间,预算或员工以满足日益增长的安全挑战,并按照一般数据保护条例(GDPR)等法规(如额外的规定为他们提供的额外负担。
近40%的人认为GDPR的要求将对来年的目前的工作人员和IT预算产生重大影响,10名受访者中的近六个人表示,他们没有预算,可以充分防御当前和新兴威胁。
安迪诺顿威胁情报总监持久性普遍存在公司持续的普遍存在公司表示,GDPR为欧洲公民的收集,管理,储存和处置个人身份信息(PII)规定了法律要求。
“如果您在欧洲公民上举行了PII的信息,则无论您在世界的位置还是举行信息,您都会受到GDPR的要求,或者举行信息,”诺顿说。
他说,NIS指令是关于基本服务提供者和关键基础设施的指令应该向其环境应用安全控制,以使其适应攻击。
“实际上,GDPR实际上是确保提供隐私被视为关键基础设施,”他说。“GDPR中的许多文章与确保,审计和监测要求相关的,从NIS指令中取出。”
据诺顿介绍,迄今为止的大部分“疯狂活动”已经涉及发现数据的地方以及是否以合规的方式举行,但许多组织尚未解决在监测和审计安全控制中持续警惕的要求。
“一旦组织发现恶意感染到其内部网络,就有72小时的滴答度时钟,它必须在时钟耗尽之前证明感染没有被认为是pii的数据,”他说。
“如果在72小时结束时,他们对妥协的程度不确定,他们有决定。如果进一步调查发现PII数据涉及妥协,或者确实通知管理机构[ico在英国的情况],风险增加了罚款的风险增加了,或者在英国的情况下通知ico],并风险客户信心损失。 “
但是,通过实施可以证明没有采取PII数据的系统,组织可以避免不必要地报告违规行为。
同时,根据审计,税收和咨询网络RSM的研究,92%的欧洲企业对GDPR毫无准备。
欧洲400名商业领袖民意调查亦透露,28%的人不熟悉他们需要从2018年5月观察的新规定,熟悉其GDPR战略的26%的商业领袖承认其组织不符合截止日期。
超过一半(51%)相信该监管对于中小企业和中部市场业务来说太复杂,尽管达成了需要增加个人数据的规定是必要的。有41%的人意识到其组织的战略认为,GDPR的要求将大大增加其业务支出,包括咨询服务。
外部专业知识的使用越来越普遍,有60%的企业希望在2018年5月之前的截止日期前寻找外部支持。
调查显示,为GDPR准备的过程已经影响了业务运营,受访者表示他们的企业正在削减其他领域,包括计划创造创新产品(23%)或通过国际扩张燃料增长(22%)。
RSM的首席执行官Jean Stephens表示,客户询问了关于GDPR咨询服务的客户。“然而,从这项研究中可以清楚地看出,许多企业并没有完全理解他们必须在快速接近的截止日期之前克服的障碍,”她说。
“业务领导者需要了解这不是一个简单的刻度箱锻炼。他们可能需要实施可能为整个组织影响其组织的重大变化,因此他们越早开始准备,更好。“