Cybersecurity voorspellingen voor 2021
Wat wordt de volgende grote stap op het gebied van cybersecurity?
We hebben onze experts om hun mening gevraagd.
22020 was een jaar voor de geschiedenisboeken. Verbazingwekkend genoeg hielden veel van onze voorspellingen op het gebied van cybersecurity voor 2020 stand, ondanks het feit dat we een gezamenlijke bocht hebben genomen als gevolg van een wereldwijde pandemie die bijna niemand zag aankomen. We hadden ons niet kunnen voorstellen dat #Coronavirus een populaire zoekterm zou zijn in 2020. We voorspelden echter wel een toename in het gebruik van DevOps- en DevSecOps-tools, wat werd gestimuleerd door de toename van apps die werden ontwikkeld om bedrijven te helpen hun activiteiten in fysieke winkels om te zetten in digitale activiteiten. Er was ook een ongekend aantal cyberaanvallen op apparaten en organisaties in de gezondheidszorg. Quantum mag dan wel wat dichterbij zijn dan vorig jaar, we hebben nog een lange weg te gaan.
Wat brengt de toekomst? Dat is moeilijk te zeggen. Het zijn immers vreemde en onzekere tijden. Maar we vonden het een goed idee om een aantal van onze interne experten te vragen wat we van dit uitdagende jaar kunnen leren en wat we mogelijk kunnen verwachten in 2021.
Zoals u zult zien, bestrijken hun meningen een breed scala aan onderwerpen in de cybersecurity. We hopen dat u tijd hebt om deze allemaal te lezen en te delen. En we zijn nieuwsgierig – waar denkt u aan als we dichter bij het nieuwe jaar komen? Hebben we belangrijke kwetsbaarheden of risico's over het hoofd gezien? Baanbrekende technologische ontwikkelingen? Liggen er historische gebeurtenissen om de hoek te wachten? Volg ons vandaag nog op LinkedIn of Twitter en laat ons weten wat u denkt.
De talentenkloof in cybersecurity zal kleiner worden door niet-traditionele aanwervingen
De talentenkloof in cybersecurity zal sneller verkleinen door een gezamenlijke inspanning om talent met een niet-traditionele achtergrond aan te werven, te inspireren en te begeleiden – vrouwen en minderheden. Vrouwen en minderheden die mogelijk geen traditionele opleiding in cyberinlichtingen hebben, worden naar de arbeidsmarkt van de cybersecurity gelokt door community groepen van cybersecurityprofessionals, de overheid en de privésector, die zich realiseren dat investeringen in deze vaak verwaarloosde talentenpool enorme winsten kunnen opleveren als het gaat over het invullen van veel lang openstaande vacatures. Leiders op het gebied van cybersecurity zullen deze investering zien als een enorme waarde wat betreft zowel het behouden van talent via verbeterde loyaliteit als het inzetten van capabel en zeer geëngageerd talent in open vacatures die aanzienlijke hiaten in de expertise en dekking van cybersecurity opvullen.
Het onhoudbare niveau van vacatures op het gebied van cybersecurity maakt organisaties kwetsbaar voor zowel non-compliance-bevindingen rond de beveiliging van kritieke infrastructuurnetwerken, PII en IP-beveiliging, als voor het ontstaan van zeer reële beveiligingsproblemen. Het is mijn persoonlijke doel om elke niet-traditionele, aankomende cybersecurityprofessional te begeleiden die ofwel een moedige eerste carrièrestap wil zetten, ofwel een tweede carrière wil starten in de boeiende en zeer lonende wereld van cybersecurity. Een van die organisaties die ik wil steunen is WiCyS New England een gemeenschap die zich inzet om vrouwen in de cybersecurity te begeleiden, aan te moedigen en te ondersteunen.
Gerelateerde bronnen:
Toegenomen invoering van zero trust
Zero trust-architectuur is al 10 jaar een concept binnen de beveiligingsgemeenschap, maar wordt eindelijk ingevoerd, deels versneld door de publicatie van NIST SP-800-207 in augustus. Volgend jaar zullen we het momentum zien groeien. Zero trust in cybersecurity is het principe dat iedereen en alles als niet-vertrouwd wordt beschouwd, waarbij geen onderscheid wordt gemaakt tussen werknemers, internetgebruikers, thuiswerkers of werknemers op kantoor. De focus ligt op het identificeren van legitieme gebruikers op basis van sterke multi-factor-authenticatie, in plaats van op de vraag of ze een internetklant zijn of een werknemer die een zakelijk of BYOD-apparaat gebruikt, en waar ze zich bevinden (kantoor, thuis).
Gerelateerde bronnen:
Het wereldwijde paradigma van werken op afstand zal nieuwe tools van IT- en cybersecurityteams vereisen
Naarmate bedrijven van elke omvang zich blijven aanpassen aan een cultuur van ‘standaard werken op afstand’, zullen IT- en cybersecurityteams volledig nieuwe tools moeten ontwikkelen voor het in stand houden en bewaken van de veiligheid. Dit zal sporen dragen van de seismische verschuiving naar ‘BYOD’ tien jaar geleden, maar nu omgekeerd – door het bedrijf gecontroleerde apparatuur in een fysiek en logisch onveilige omgeving. Dit vereist een totaal ander beveiligingsparadigma, dat niet van invloed zal zijn op sommige bedrijven, maar andere (vooral grotere bedrijven die altijd een grote, vaste perimeter hebben aangenomen) zullen hun controles en processen volledig moeten herzien. Cybercriminelen zullen zich natuurlijk snel op de bedrijven richten die tijdens deze veranderingen fouten maken. Digitale handtekeningen van alle vormen zullen een groot deel van deze nieuwe wereld vormen, niet alleen ter vervanging van handtekeningen in inkt op fysiek gedrukte documenten, maar ook van certificaten op e-mails en apparaten, die de identiteit bewijzen wanneer de fysieke locatie niet langer de garantie van herkomst is.
De decentralisatie van werknemers zal ook gevolgen hebben voor de bedrijfsinfrastructuur, zowel intern als via SaaS. De overstap van rekenkracht naar de ‘Edge’ zal versnellen naarmate grote gecentraliseerde servers een minder efficiënt verwerkingsmedium worden. Hierdoor zullen hopelijk nieuwe standaarden en garanties op het gebied van SaaS-opslagbeveiliging ontstaan, zodat meer gebruikers hun bedrijfsopslag veilig kunnen verplaatsen naar meer gedistribueerde omgevingen. De voortdurende toename van de verwerkingscapaciteit van laptops in combinatie met werknemers die afhankelijk zijn van tragere internetverbindingen thuis, zorgt echter ook voor druk om terug te keren naar meer ‘traditionele’ toepassingsmodellen, die meestal op de terminal van de gebruiker draaien in plaats ‘in the edge’ of in het datacenter, waardoor de IT-afdeling nog meer werk krijgt!
Gerelateerde bronnen:
Vier IoT-voorspellingen voor 2021
Met een opleving van de economie in 2021 zullen IoT OEM's en IoT-operators in toenemende mate verder dan Proof of Concepts (POC's) en bètaversies gaan, en plannen maken voor volledige operaties. Met deze faseverschuiving in de adoptie van het IoT wordt schaalvergroting essentieel. IoT OEM's en IoT-operators zullen schaalbaarheid en kostenefficiëntie vinden bij aanbieders van cloudgebaseerde IoT-platformen en -beveiliging.
Bovendien zullen het IoT-, DevOps- en IT-beveiligingsproblemen in bedrijven conflicten veroorzaken en een stormachtige fase inluiden met losstaande, maar verwante vereisten. Een onderneming die alle gebieden bestrijkt, zal kosten willen besparen en haar veiligheidshouding eenvormig willen maken. Afwijkende bedrijfseigenaren, afgeschermde technologieën en opkomende succesblauwdrukken zullen het echter moeilijk maken om de eenwording te bereiken.
Ook zal Robotics Process Automation (RPA) zich over de bedrijven heen blijven uitbreiden om de efficiëntie van kenniswerkers te verbeteren, maar het zal worden geconfronteerd met beveiligingsobstakels in de manier waarop botidentiteiten en toegang op schaal kunnen worden beheerd in samenwerking met de wetware-tegenhangers van bots.
Ten slotte zal er, na de verkiezingschaos in de VS rond het stemmen per post, opnieuw belangstelling zijn voor het bijwerken van verouderde technologieën met veilige elektronische stemsystemen op afstand.
Gerelateerde bronnen:
Het vertrouwen op e-commerce zal alleen maar toenemen – en cybercriminelen zullen hun inspanningen verdubbelen
COVID-19 had veel directe effecten op de manier waarop we werken en met elkaar omgaan, en in 2021 zal een van de resteffecten ons blijvende gebruik van en het vertrouwen op e-commerce zijn. De technologische toegangsbarrière, die het meest aanwezig is bij oudere mensen, werd doorbroken toen grote delen van de bevolking tijdens de pandemie geïsoleerd en afgesloten werden. Plotseling was het bestellen van toiletpapier bij Amazon niet meer zo absurd.
De slinger zal tot op zekere hoogte terugkeren naar fysieke winkels zodra mensen zich weer veilig voelen, maar het zal nooit meer hetzelfde zijn als vóór COVID. Een nevenverschijnsel hiervan is dat cybercriminelen in 2021 waarschijnlijk hun inspanningen op dit gebied zullen verdubbelen.
Het is logisch dat er nu een enorme instroom van nieuwe consumenten aan e-commerce deelneemt en dat velen van hen een exploiteerbaar niveau van naïviteit met zich meebrengen. Wanneer je rekening houdt met enkele recente wijzigingen in de gebruikersinterface van browsers, zoals het minimaliseren van vertrouwensindicatoren, de mogelijkheid voor criminelen om zeer overtuigende websites te maken die deze vertrouwensindicatoren weergeven met behulp van eenvoudig te verkrijgen, gratis SSL-certificaten en het feit dat dit alles er nog overtuigender uitziet op mobiele apparaten, is het gemakkelijk te zien hoe criminele activiteiten op het punt staat om te floreren. Daarom is het nog nooit zo cruciaal geweest om het publiek te trainen in het uitbannen van fraude en oplichting op legitieme e-commercesites.
Deze zomer nog vertelde mijn eigen vader me hoe hij van $100 werd beroofd en een nieuwe creditcard moest aanvragen omdat hij dumbbells probeerde te kopen op Instagram. Ik wil me niet verder verdiepen in de reden waarom mijn vader, een zestiger, op Instagram zit, maar hij is een gepensioneerde Fortune 500-executive – niet iemand die ongeschoold is. Het punt is dat dit veel zal gebeuren – mogelijk met je eigen ouders en geliefden – tenzij we internetgebruikers gezamenlijk een betere opleiding geven. Het zou leuk zijn om dit soort fraude volledig uit te roeien, maar het vertrouwensspel is net zo oud als de mensheid zelf. De meer praktische route zou dus zijn om ervoor te zorgen dat het publiek op de hoogte is van de risico's die gepaard gaan met het gemak van e-commerce. Een goed uitgangspunt zou zijn dat e-commercebedrijven hun eigen klanten leren hoe ze kunnen controleren dat ze op de juiste site zitten. Dit moet echter een gezamenlijke inspanning van meerdere sectoren en belanghebbenden zijn.
Gerelateerde bronnen:
De pandemie zal digitale transformatie afdwingen; we zullen wereldwijd ook meer regelgeving zien
De pandemie heeft bedrijven gedwongen om hun digitale transformatie te versnellen. En omdat ze streven naar een snellere invoering van digitale processen, zullen ze geneigd zijn om beter beveiligde en vertrouwde standaarden te hanteren. Het ondertekenen van documenten, een intrinsiek onderdeel van elke digitale transformatie, zal leiden tot een grotere implementatie van op PKI gebaseerde digitale handtekeningen van bedrijven over de hele wereld, omdat het implementeren ervan minder compliance-problemen in de verschillende regio's met zich meebrengt.
In 2021 zullen nog meer regelgevende instanties over de hele wereld hun richtlijnen opstellen naar het voorbeeld van eIDAS, een specifieke EU-verordening die digitale handtekeningen een prominentere plaats geeft in termen van zekerheid en juridische waarde. We zien dit al in 2020 gebeuren voor een paar regio's, waaronder enkele in Zuid-Amerika.
De behoefte aan een snellere transformatie en een eenvoudige invoering van digitale praktijken zal sommige bedrijven in conservatieve economieën ook dwingen de deur te openen naar op de cloud gebaseerde ondertekeningsoplossingen.
Gerelateerde bronnen:
- Download onze gratis gids voor eIDAS - Binnenkort beschikbaar!
- Bekijk de webinar: “Bringing Secure Digital Signatures to Every Business with the Cloud”
Kwetsbaarheid van virtuele infrastructuren, met name voor het mkb
De pandemie heeft heel wat veranderingen teweeggebracht, waardoor zowel AI-oplossingen als externe vereisten zijn versneld.
Nu er de komende tijd op afstand wordt gewerkt, kan elk type virtuele infrastructuur kwetsbaarder zijn voor cyberaanvallen, vooral kleine bedrijven die wellicht niet over de middelen van grotere bedrijven beschikken. Daardoor zullen we in 2021 meer horen over:
- Verwacht meer te horen over beveiligde e-mailoplossingen
- VPN-beveiliging
- Cybercriminelen zullen steeds vaker gebruikmaken van ‘deep fake’ cyberaanvallen om binnen te dringen en bedrijfsgegevens te stelen.
- Er zullen meer penetratietesten en veiligheidspreventiemaatregelen komen (zoals bij alle aspecten van het leven is preventie het beste medicijn!)
- Ten slotte zullen veilige transacties (SSL) een topprioriteit zijn voor kleine, middelgrote en grote bedrijven, ongeacht hun omvang. Markten als de gezondheidszorg en de financiële sector zullen veiligheid als concurrentievoordeel gebruiken.
Gerelateerde bronnen:
Deepfakes schudden het online identiteitslandschap door elkaar
2021 zal het jaar zijn waarin we de verdere opkomst van deepfakes en andere vormen van geavanceerde aanvallen van imitatie en identiteitsfraude zullen zien. Met deze nieuwe technieken voor identiteitsfraude is het bijna onmogelijk om echte beelden van valse video's en spraakopnames te onderscheiden. Mensen zullen uitgebreid moeten worden getraind in het herkennen ervan. De realiteit is dat we innovatieve preventie- en detectiecontroles moeten ontwikkelen om op de hoogte te blijven van deze nieuwe aanvalstechnieken. Sterke technieken voor identiteitsverificatie en authenticatie zoals PKI en centrale identiteitsautoriteiten (d.w.z. CA’s) zullen in de frontlinie staan om ervoor te zorgen dat sterke digitale identiteiten alleen aan de rechtmatige houders van die identiteit worden verstrekt.
Gerelateerde bronnen:
Voorspelling: Brazilië ontwikkelt een strategie die een basisopleiding in cybersecurity voorstelt
Net als de rest van de wereld werd Brazilië dit jaar opeens geconfronteerd met de noodzaak om zijn burgers op afstand te laten werken. Dit was een belangrijke uitdaging, omdat het niveau van veiligheidsinzicht van de meeste Brazilianen enorm laag is, zozeer zelfs dat burgers privacy niet eens als een probleem beschouwen. Bovendien zijn er in Brazilië momenteel geen wetten die gevangenisstraffen voor cybercriminaliteit voorzien.
Het is dus niet verrassend dat het aantal cyberaanvallen op Braziliaanse bedrijven tussen februari en april met 330% is toegenomen, zo blijkt uit een onderzoek van Kaspersky. Aangezien Brazilië al achterliep op het gebied van de bescherming van privacy en gegevens, is het redelijk om te concluderen dat de vertraging bij het invoeren van de juiste wetten nog meer problemen kan veroorzaken. En dus zullen hackers waarschijnlijk blijven profiteren van de achterpoortjes die bedrijven hebben opengelaten. Daarom zullen phishing en kwaadwillige aanvallen in 2021 nog steeds een probleem zijn.
Gelukkig heeft de Braziliaanse regering in februari de National Cybersecurity Strategy – “E-Ciber”opgezet in een poging om het begrip van de gemiddelde burger over cybersecurity te vergroten en de verwachte toename van investeringen op dit gebied te volgen. Hopelijk wordt de strategie volgend jaar wet. Als dat gebeurt, zal Brazilië zijn houding ten aanzien van cybersecurity geleidelijk verbeteren met de stappen die in de strategie worden voorgesteld, evenals de afdwingbaarheid van de administratieve sancties waarin de LGPD (algemene wet op gegevensbescherming) voorziet.
Kijk ook volgend jaar naar de verdere groei van digitale handtekeningen. Tijdens COVID-19 begonnen bedrijven nog meer op deze handtekeningen te vertrouwen, wat de weg heeft vrijgemaakt voor extra groei volgend jaar.
Gerelateerde bronnen:
De gezondheidszorg wordt steeds meer gedigitaliseerd
Door de wereldwijde Covid-pandemie zullen steeds meer niet-dringende medische afspraken op afstand gebeuren. Elektronische voorschriften die worden ondersteund door geavanceerde of gekwalificeerde elektronische handtekeningen zorgen voor minder contactpunten voor mogelijk zieke patiënten. Hierdoor kunnen consumenten hun medicijnen krijgen zonder dat ze persoonlijk naar een dokter of zelfs een apotheek hoeven te gaan. Dit kan op zijn beurt betekenen dat niet-geteste, asymptomatische Covid-dragers niet naar een medische praktijk hoeven te gaan en geen risico lopen om het virus te verspreiden, en omgekeerd hoeven niet-geïnfecteerde kwetsbare patiënten minder bezoeken te brengen aan potentieel risicovolle omgevingen. Dit is een verandering die gemakkelijk kan worden doorgevoerd door zorgverleners, die universeel kan worden geaccepteerd door apothekers en die waarschijnlijk in 2021 en daarna op grote schaal zal worden doorgevoerd. Aangezien het gezondheidslandschap snel en drastisch verschuift naar de nieuwe normale elektronische voorschriften en raadplegingen op afstand, zullen deze de sleutel vormen tot het terugdringen van niet-Covid-gerelateerde overmatige ziektes en sterfgevallen die momenteel hoger zijn omdat minder mensen hulp zoeken uit angst voor besmetting.
Gerelateerde bronnen:
De papierloze revolutie zal een nieuw hoogtepunt bereiken
De afgelopen decennia hebben bedrijven hun processen gestaag gedigitaliseerd om volledig papierloos te worden. Met de gevolgen van COVID-19 en de wereldwijde trend om thuis te werken, is de behoefte aan digitalisering drastisch toegenomen. Plotseling moesten complete processen en workflows dit jaar worden herzien omdat er geen gewone activiteiten zoals de fysieke uitvoering van overeenkomsten konden plaatsvinden. Deze inspanning zal in 2021 worden voortgezet. Het haastig herzien van processen zoals het ondertekenen van contracten leidt tot een eigen reeks uitdagingen: het verkrijgen van een hoge mate van zekerheid over de identiteit van de ondertekenende partijen en het onweerlegbaar maken van de handtekeningen. Het aanpassen van deze concepten is complex en vereist nichekennis: als ze verkeerd worden toegepast, kan de bewijslast of zelfs de geldigheid van digitale handtekeningen worden omgekeerd.
Gerelateerde bronnen
DevSecOps zal een integraal onderdeel worden van het ontwikkelingsproces van software
De mogelijkheid om sneller applicaties te ontwikkelen, te implementeren en te upgraden om de concurrentie voor te blijven en de beveiliging in het ontwikkelingsproces van applicaties te integreren zullen de twee belangrijkste zorgen van bedrijven in 2021 zijn. Om deze tegenstrijdige prioriteiten te overwinnen, zal DevSecOps een integraal onderdeel worden van het ontwikkelingsproces van software.
Organisaties zullen zich moeten richten op de implementatie van geschikte toolchains, best practices en wijzigingsbeheer om beveiliging te integreren in alle ontwikkelingsfasen, van het bouwen, testen en uitrollen tot het implementeren. Om de kwetsbaarheden van container orchestration te overwinnen, zouden standaardinstellingen extra aanpassingen en oplossingen van derden vragen om de beveiliging te verharden.
De beveiliging zou vanaf het begin van het ontwikkelingsproces moeten worden gewaarborgd in de ingezette code en omgevingen.
Gerelateerde bronnen:
Beheerders van IoT-netwerken zullen de fabrikanten van IoT-apparaten vragen om veilige, unieke identiteiten te verstrekken
Snode aanvallen op IoT-systemen nemen toe en de aanvallen worden steeds verfijnder. Hackers zijn slim en hebben de vaardigheden om complexe aanvallen uit te voeren die hun doelen bereiken en hen toegang geven tot lucratieve gegevens en zelfs apparaatcontrole. In 2021 zullen de beheerders van IoT-netwerken en IoT-systemen, met name van hoogwaardige of kritieke infrastructuur, op zoek gaan naar manieren om hun ecosystemen beter tegen deze aanvallen te beschermen. Ze zullen zich richten op het beveiligen van hun apparaten - het meest gebruikte aanvalspunt - met apparaatidentiteiten die kunnen worden beveiligd met op certificaten gebaseerde PKI-authenticatie. Ze zullen de fabrikanten van IoT-apparaten kijken om veilige, unieke identiteiten te bieden als onderdeel van de productontwikkeling, of zelfs naar chipproducenten om attesteerbare chip-/TPM-identiteiten op te nemen die met de PKI kunnen worden geïntegreerd om de component waarin ze zijn ingebouwd, of het hele apparaat, gedurende de hele levenscyclus te beschermen.
Gerelateerde bronnen:
Training op het gebied van cybersecurity zal nog meer nodig zijn
Het is schokkend om te lezen: bijna 70% van de IT- en beveiligingsprofessionals scherpen hun cybervaardigheden buiten het werk aan, terwijl 43% van de werknemers geen regelmatige training in cybersecurity krijgt. Het is dus geen grote verrassing dat beveiligingsvaardigheden in grote mate afhangen van het initiatief van werknemers en niet zozeer van een standaard voor de hele organisatie. Wordt 2021 het jaar waarin bedrijven zich moeten richten op cybersecurity-trainingen voor hun personeel?
Met een wereldwijde pandemie die grote en kleine organisaties ertoe heeft gedwongen om op afstand te werken, zullen velen een wake-up call hebben gehad om hun cybersecurity te verbeteren. De belangstelling voor authenticatie op afstand is toegenomen, veel offlineprocessen zijn gedwongen overgeschakeld naar digitale kanalen en gelukkig zijn veel organisaties verbaasd over hoe goed op afstand werken lukt. Maar fundamentele veiligheidsprincipes blijven een mysterie voor een groot aantal werknemers, zoals:
- Phishing-pogingen herkennen
- Veilig wachtwoordbeheer
- Multi-factor-authenticatie
- Melden van verdachte activiteiten
De pandemie en werken op afstand hebben de digitale transformatie versneld, de zogenaamde data-uitbreiding vergroot en het risico op cyberaanvallen verhoogd. In 2021 zullen we dus een toename van de investeringen in en een focus op cybersecurity-training zien. Want uiteindelijk begint een betere beveiliging met slimmere medewerkers.
Gerelateerde bronnen:
Overheden zullen online nog meer controle proberen uit te oefenen
Nu China al vele jaren een nationaal intranet heeft, proberen andere landen een dergelijk concept na te bootsen. Rusland voerde eind vorig jaar al een aantal tests uit. Tegelijkertijd ontregelde Iran het internet om te voorkomen dat demonstranten informatie met elkaar uitwisselden.
Zelfs westerse democratieën proberen politieke invloed op het internet uit te oefenen. Op het moment van schrijven heeft de EARN IT Act zijn weg gevonden naar het Amerikaanse Huis van Afgevaardigden. In een notendop moet de EARN IT Act zowel de staats- als federale wetgever in staat stellen om verdere regelgeving aan te nemen voor wat er online gebeurt. In de Europese Unie gaan er stemmen op om veilige end-to-end encryptie te reguleren, in een misplaatste poging om seksueel misbruik van kinderen te bestrijden.
Het is heel duidelijk dat veel van dergelijke politieke initiatieven worden genomen zonder onafhankelijke deskundigen op het gebied van technologie te raadplegen. Daarom zal het in 2021 belangrijker dan ooit zijn dat deskundigen op het gebied van technologie, privacy en gegevensbescherming samenkomen en de wetgever helpen om zijn doelstellingen te bereiken, terwijl tegelijkertijd de fundamentele waarden van democratie en vrijheid van de burgers worden beschermd.