2022 Cybersecurity Voorspellingen
Vorig jaar was helemaal niet slecht (maar we zouden liegen als we zeiden dat we niet blij zijn dat het jaar voorbij is).
#Digitale transformatie bleef een trending topic in 2021, omdat werknemers op afstand bleven werken, de uitgaven aan IT en technologie stegen en screentime voor alle leeftijden werd genormaliseerd. Veel van onze voorspellingen van vorig jaar hielden stand, zoals Patrick Nohe's vooruitziende blik op onze collectieve afhankelijkheid van e-commerce. Hackers pikten de trend snel op, met tal van aanvallen om onze inwonende nieuwscurator bezig te houden. Zoals voorspeld, is er ook veel beweging op het regeringsfront, met nieuwe initiatieven om online beveiliging en privacy aan te pakken op de tafel in de VS.
Benieuwd wat onze experts voor ogen hebben voor 2022? Als ze net zo doelgericht zijn als ze de afgelopen jaren waren, staan ons nog een paar gedenkwaardige cyberbeveiligingsmomenten te wachten.
Bekijk hun gedachten over wat de toekomst in petto heeft, en blijf hier voor genoeg "gerelateerde lectuur" om u tot ver in januari bezig te houden.
2022 wordt het jaar van de SBOM
Code signing en virusscanning alleen worden onvoldoende geacht om netwerken te beschermen tegen de verspreiding van malware. Enter de Software Bill of Materials - SBOMs. De hack van SolarWinds heeft een van de grootste kwetsbaarheden blootgelegd waarmee organisaties te maken hebben als het gaat om het bepalen van de impact van ransomware of andere soorten malware die worden geïnjecteerd via wat vaak lijkt op legitieme software. Het gebruik van SBOM-tools zal toenemen naarmate organisaties zichzelf uitrusten met snelle en effectieve tools om alleen de aangetaste delen van een bepaald netwerk in quarantaine te plaatsen. De groothandel in elektriciteit en andere deelnemers aan kritieke infrastructuur zullen het voortouw nemen wanneer CISA een basisbeleid voor cyberbeveiliging begint op te stellen voor het beheer van software van derden. Door precies te weten welke software en softwareversie waar in een netwerk draait, zullen organisaties in staat zijn om op een veel flexibelere manier te voorkomen en te reageren, waardoor de operationele impact en andere negatieve gevolgen worden beperkt.
Gerelateerde bronnen:
Kwaadwillenden zullen misbruik blijven maken van de COVID-19 pandemie
De COVID-19-pandemie en iedereen die thuis werkt, hebben geleid tot een reeks aanvallen gericht op de pandemie en nieuwe manieren van werken. Sinds maart 2020 hebben we een reeks uiteenlopende aanvallen gezien, van phishing tot de verkoop van valse COVID-19-vaccinatiecertificaten.
Het is zeer waarschijnlijk dat deze aanvallen in 2022 zullen doorgaan, maar we moeten ook een grotere verschuiving verwachten naar kwaadwillenden die zich richten op pogingen om digitale COVID-19-certificaten en hun validatiemechanismen te kraken om vervalste COVID-19-certificaten te produceren en te verkopen.
Gerelateerde bronnen:
Post-kwantum cryptografie (PQC) normen zullen beginnen te worden gebouwd
Het onderzoek naar en de discussies over quantumcomputers, en vooral post-quantumcomputers, zijn de laatste jaren sterk toegenomen. Een van de meest interessante veiligheidsaspecten is dat kwantumcomputers - wanneer zij eenmaal op grote schaal beschikbaar zijn - in staat zullen zijn veel van de huidige cryptografiesystemen met publieke sleutels te breken. Dit zou een ernstige bedreiging kunnen vormen voor de cyberveiligheid van verschillende digitale communicatie- en datasystemen die momenteel in gebruik zijn.
Volgens Nature hebben de snelste kwantumcomputers vandaag niet meer dan 100 qubits, en worden ze geplaagd door willekeurige fouten. In 2019 toonde Google aan dat zijn 54-qubit kwantumcomputer in enkele minuten een probleem kon oplossen waar een klassieke machine 10.000 jaar over zou doen.
Post-quantum cryptografie (PQC) is gericht op het ontwikkelen van cryptografische systemen die zowel in klassieke als in kwantum en computers veilig kunnen zijn. De snelheid waarmee problemen worden opgelost, zal met vele ordes van grootte toenemen. Maar om dat te kunnen doen, moeten nieuwe cryptografische normen worden vastgesteld.
Het National Institute of Standards and Technology (NIST) is er sinds 2016 op gericht om precies dat te doen, toen het een oproep deed voor voorstellen over PQC om het standaardisatieproces te starten. De wedstrijd, die is gericht op public-key encryptie- en digitale handtekeningalgoritmen, bevindt zich nu in de laatste fase van de beoordeling met zeven overgebleven finalisten. Als volgend jaar de winnende algoritmen bekend worden gemaakt, is het NIST van plan deze te gebruiken om vóór 2025 een of meer kwantumbestendige publieke-sleutel cryptografische algoritmen vast te stellen en PQC-normen te bouwen. Daarna kunnen bedrijven eindelijk beginnen met de implementatie van technologieën die op het nieuwe algoritme zijn gebaseerd, waarmee een heel nieuw tijdperk van beveiligingsproducten wordt ingeluid.
Sectoren waar we de postkwantumtechnologieën vrij snel ingang zullen zien vinden, zijn IT, financiële diensten en de automobielsector.
In de IT zal PQC gebruikt blijven worden voor softwareverificatie of classificatie van ongestructureerde gegevens.
In de financiële sector kun je verwachten dat quantumcomputing zal worden gebruikt om markttrends te voorspellen en te voorspellen of om handelsstrategieën te maken door bedrijven als Goldman Sachs en Citigroup.
We zullen ook meer partnerschappen zien, zoals het werk van Volkswagen met Google voor de ontwikkeling van programma's voor verkeersbeheer.
Gerelateerde bronnen:
- Lees onze blog, "What is Quantum Computing? A Quick Guide"
- Lees het Forbes artikel, "Don’t Get Fooled by Post-Quantum Snake Oil: We are Still Years Away from Being ‘Quantum-Proof’"
- Download ons eBook, "Planning for the Unknown: Why IT Leaders Should Focus on Cementing Their Cybersecurity Infrastructure Now, Not Later"
eIDAS en gekwalificeerde certificaten zullen in 2022 nog meer ingang vinden
Naarmate de wereld om ons heen digitaler wordt, zullen meer processen worden gestroomlijnd en papierloos worden. Daardoor zal het vertrouwen in en de integriteit van documenten nog belangrijker worden. Als gevolg hiervan zal het gebruik van digitale zegels en handtekeningen toenemen. Ook de invoering van eIDAS-kwalificatiecertificaten zal in de EU toenemen, samen met de vooruitgang in eIDAS-systemen. Dit zal leiden tot een snellere aanmaak van gekwalificeerde certificaten en de toepassing ervan via dienstverleners voor ondertekening op afstand. eIDAS zal ook als benchmark dienen voor veel meer landen in niet-EU-regio's. Als gevolg daarvan zullen we zien dat deze landen hun huidige kaders voor elektronische handtekeningen en records heroverwegen en deze afstemmen op de mondiale praktijken onder leiding van eIDAS, wat zal leiden tot openheid ten aanzien van mondiale normen en wederzijdse aanvaarding van vertrouwenslijsten.
Gerelateerde bronnen
2022 wordt het jaar waarin eIDAS eindelijk van start gaat
Hoewel de eIDAS-verordening (elektronische identificatie, authenticatie en vertrouwensdiensten) in 2014 werd vastgesteld, verliep de invoering ervan vrij traag.
Het kader dat eromheen was gebouwd, miste de marktspelers om de technologie te leveren voor grootschalige adoptie, waardoor de bedrijven niet genoeg opties hadden om het daadwerkelijk te implementeren.
In de loop der jaren zijn er veel innovatieve oplossingen op de markt gekomen, waardoor de concurrentie is toegenomen en de automatisering is toegenomen, terwijl de kosten zijn gedaald. Gehoste signeerdiensten waren nodig om een hoge doorvoer, schaalbare en API-gebaseerde oplossing te bieden. De implementatie van deze diensten voor digitale archivering, Document Management System (DMS) en Customer Relationship Management (CRM) leveranciers om te voldoen aan de behoeften van hun klanten voor eArchiving en eInvoicing werd essentieel.
GlobalSign zag deze behoefte en antwoordde met de Digital Signing Service en bood daarmee een cloudgebaseerde oplossing die de hardwarelast wegneemt en tegelijkertijd de flexibiliteit toevoegt om te ondertekenen met een bedrijfsidentiteit en namen van werknemers of afdelingen toe te voegen.
Nu COVID-19 begin 2020 in Europa zijn intrede doet en elk aspect van ons leven beïnvloedt, heeft het niet alleen bedrijven, maar hele sectoren in een stroomversnelling gebracht om hun processen en workflows te digitaliseren. De tijd voor eIDAS is eindelijk aangebroken gezien alle ingrijpende veranderingen die als gevolg van de pandemie hebben plaatsgevonden.
Als we kijken naar de uitdagingen van digitale transformatie, dan zien we dat de meeste te maken hebben met het toevoegen van vertrouwen en authenticiteit aan een formeel analoge workflow. Audit trails moeten goed worden gedocumenteerd, ondertekenaars van contracten of werkorders moeten worden geïdentificeerd en alle extra "data in transit" moeten worden beveiligd.
Wij zien het effect vooral bij de huidige projecten van dienstverleners en klanten op het gebied van Document Management. Klanten eisen in toenemende mate op zijn minst geavanceerde elektronische zegels, om vertrouwen en integriteit te bieden aan hun uitgaande communicatie om fraude en phishing te voorkomen en tegelijkertijd te voldoen aan e-facturatie en e archiveringsvoorschriften in het kader van het eIDAS framework.
Met dit alles in het achterhoofd is mijn voorspelling voor 2022 dat we deze grondslagen zullen zien als gevestigde normen voor digitale transacties en processen, terwijl we Geavanceerde Elektronische Handtekeningen zullen instellen als de minimumnorm die wordt toegepast voor digitale documenten.
Gerelateerde bronnen:
Wat staat ons te wachten voor de KMO-markt in 2022?
Het is onvermijdelijk dat, wanneer we het over voorspellingen hebben, de pandemie van invloed is geweest op de manier waarop we vandaag met vooruitgang en technologie omgaan en de vooruitgang in de toekomst heeft versneld! We leven in een dynamische wereld, die voortdurend en snel verandert. De digitale transformatiebeweging heeft het vermogen gebracht om gemakkelijk met ieder ander te communiceren, en om zonder zorgen toegang te krijgen tot talloze vormen van informatie en kennis. Als gevolg van de aanzienlijke vooruitgang op het gebied van kunstmatige intelligentie (AI) worden de huidige digitale technologieën ook steeds slimmer en persoonlijker. De interactie van bijna elke menselijke ervaring wordt bemiddeld door een gesofisticeerde schil die verbonden is met big data. Hier is mijn kijk op wat ik zie gebeuren in de KMO-markt volgend jaar:
- Werkwijzen - Werken op afstand is niet meer weg te denken en de manier waarop we in de wereld van vandaag functioneren is drastisch veranderd. Belangrijker nog is dat de impact van deze "werk van overal"-modellen zo veel meer is dan de verandering van locatie. De pandemie heeft ons laten zien dat het handhaven van sterke privacybescherming en cyberveiligheidsmaatregelen voor telewerkers een nog grotere uitdaging is en belangrijker dan ooit! Technologieën zoals S/MIME voor beveiligde e-mail en SSL voor websitebeveiliging en -authenticatie zullen nodig zijn om het mkb te beschermen tegen cyberaanvallen.
- Samenwerking in het post-pandemische tijdperk - Om in te spelen op wat wel eens de snelste sociale verandering in de moderne tijd zou kunnen zijn, hebben bedrijven wereldwijd bijna van de ene dag op de andere werkkrachten op afstand ingeschakeld. Kleine ondernemers moeten sneller en veiliger zaken kunnen doen en een digitale handtekening stroomlijnt hun mogelijkheden om documenten in te dienen, waar zij zich ook bevinden, of het nu gaat om een ingenieur die een tekening indient of een directeur die een voorstel verstuurt vanuit zijn/haar thuiskantoor - de digitale handtekening fungeert als een soort "digitale ID-kaart" en kan de identiteit van de ondertekenaar verifiëren en er ook voor zorgen dat er niet geknoeid is met de inhoud van een document, zowel in eigen land in de VS als nu ook internationaal beschikbaar dankzij een slimme regeling genaamd eIDAS. Digital Signing is zeker een game changer voor KMO's!
- AI - De uitdaging voor het MKB is geweest om de gemakken van AI (kunstmatige intelligentie) toe te passen op de dagelijkse werkzaamheden. Het mkb moet dit blijven doen en de implementatie van een sterke authenticatiestrategie zal helpen alle aspecten van hun bedrijfsmodel te beveiligen.
- Klantenservice – bedenk tenslotte dat de pandemie het MKB heeft geïnspireerd om zich opnieuw te concentreren op klantenservice. Waar het op neerkomt, is dat het voor KMO's van cruciaal belang is te weten hoe ze met hun klanten moeten communiceren, terwijl ze toch uitmuntendheid moeten leveren. Maar verlies niet uit het oog dat het leveren van die eersteklas ervaring moet gebeuren terwijl het veilig blijft. Daarom is het belangrijk de juiste leveranciers te kiezen om uw kleine of middelgrote onderneming te helpen haar doelstellingen te bereiken en tegelijkertijd een veilige ervaring voor uw klanten te behouden.
Gerelateerde bronnen:
Brede bedrijfsaanpassing van cloud en zero trust, waardoor account- en autorisatierisico's toenemen
Aangezien ondernemingen nu op grote schaal afstappen van on-premises bestandsopslag, zal er een toename zijn van aanvallen gericht op het compromitteren van SSO (Single Sign-On) credentials van werknemers om toegang te krijgen tot al hun cloud-diensten, waaronder persoonlijke en afdelingsbestandsopslag. Veel beveiligingsbarrières die de toegang tot traditionele on-premise bestandsopslag verhinderden (LAN-toegang, VPN-referenties ...) bestaan niet in de cloud en inbreuken in het afgelopen jaar hebben aangetoond hoe belangrijk het is om MFA en goede monitoring te implementeren voor toegang tot cloud SSO-accounts. Het toenemende gebruik van de cloud brengt ook een andere reeks uitdagingen met zich mee voor werknemers die kopieën van vertrouwelijke bedrijfsinformatie meenemen op onbeheerde apparaten. Terwijl vroeger gegevens alleen op bedrijfslaptops en -infrastructuur stonden, kan een cloudomgeving met onvoldoende autorisatie en monitoring leiden tot onbekende/ongecontroleerde kopieën van gegevens die het risico lopen te worden gelekt wanneer (ex-)werknemers kwaadwillig worden of een apparaat met een onbekende kopie wordt gecompromitteerd.
Gerelateerde bronnen:
De behoefte aan sleutelbeheer in de EU zal toenemen
Het recente nieuws over de private sleutels van "EU Digital Covid-certificaten" die circuleren op messaging apps, zoals Telegram, geeft ons een bitter voorproefje van wat we in 2022 mogen verwachten.
Overheden en uitgevende instanties hebben een steeds grotere vraag naar digitale identiteiten (en dus PKI), maar slechts beperkte tijd, middelen en bekwame mensen om aan deze eisen te voldoen.
Wanneer zich een dergelijke "dramatische" compromittering van sleutels voordoet, die een impact kan hebben op duizenden gebruikers, wijzen wij - als aanbieders van identiteiten - nogmaals op de vitale noodzaak van een goede sleutelbehendigheid en sleutelrotatie. Dit vormt de basis van elke gezonde sleutelbeheerpraktijk.
Cryptografische wendbaarheid fungeert als veiligheidsmaatregel of incidentresponsmechanisme wanneer ontdekt wordt dat een cryptografisch primitief van een systeem kwetsbaar is.
Roterende sleutels helpen anderzijds te voldoen aan industrienormen en beste praktijken op cryptografisch gebied.
PKI is "zo sterk als de zwakste schakel"; dus zelfs met de beste bedoelingen en de grootste voorzorgsmaatregelen kan één misstap het kaartenhuis in elkaar doen storten. Maar het belangrijkste is niet de val, want die is tegenwoordig onvermijdelijk. Het belangrijkste is te weten hoe je opstaat en je ecosysteem/structuur herstelt.
Neem geen risico's, besteed uw PKI uit aan degenen die er hun expertise omheen bouwen; of eindig met vervalste certificaten in de naam van Adolf Hitler, Mickey Mouse, of Sponge Bob.
Gerelateerde bronnen:
- Bekijk onze infographic, "Best Practices for Key Management"
- Ontdek hoe Auto Enrollment Gateway u kan helpen bij het beheer van encryptiesleutels in uw hele organisatie
Hybride werkomgevingen zullen veel bedrijven blootstellen aan inbreuken en cyberaanvallen
In de afgelopen twee jaar zijn veel organisaties gedwongen geweest om in allerijl een digitale transformatie door te voeren, bij wijze van spreken alleen maar om het licht aan te houden en de deuren open te houden. Dit is typisch geen proces dat onder dwang wordt ondernomen, laat staan op zo'n korte termijn. Nu we beginnen aan een geleidelijke terugkeer naar het kantoor - waarbij we een evenwicht vinden tussen werken op afstand en werken op locatie - zien we een verontrustend hoog aantal bedrijven dat onbedoeld kwetsbare hybride werkomgevingen heeft gecreëerd. En hoewel de natuurlijke neiging is om zich te concentreren op een veilige en soepele terugkeer naar kantoor, is het belangrijk om ook stappen te blijven ondernemen om ervoor te zorgen dat de digitale werkplek van uw bedrijf ook veilig is. 2022 zal een toename zien van aanvallen en inbreuken die gebruikmaken van deze nieuw geopende aanvalsvectoren. Met een steeds groeiend aantal verbindingen van apparaten en machines, zowel binnen uw netwerk als daarbuiten, is het nog nooit zo belangrijk geweest om de toegang te beveiligen, identiteiten te beheren en de risico's te begrijpen die zijn verbonden aan onze nieuwe werkregelingen voor midden en (hopelijk uiteindelijk) na de pandemie. Als er nu maar iemand was, een vertrouwenspartner, die je om hulp kon vragen. . .
Gerelateerde bronnen:
Biometrie en digitale ID's in Afrika kunnen leiden tot nieuwe problemen in verband met privacy van gegevens en toezicht
Het Afrikaanse continent heeft de biometrische technologie nu volledig omarmd en is een technologische broeinest geworden voor ontwikkelde landen die op zoek zijn naar greenfieldkansen op dit gebied.
Dankzij grote investeringen van organisaties als de Wereldbank zijn verschillende West- en Centraal-Afrikaanse landen erin geslaagd hun digitale groei te versnellen en een aantal sociaaleconomische ongelijkheden in de regio weg te werken.
Parallel daaraan hebben grote landen als China of Brazilië hun kans gegrepen om vroegtijdig te investeren in een regio waar een ware revolutie op til is.
Voor (Afrikaanse) regeringen spreekt de aantrekkingskracht van biometrische identificatie voor zich: meer controle, meer belastingen, meer inkomsten, meer ontwikkeling. Het is voor hen bijna een no-brainer.
Voor ondernemingen kan het ook leiden tot een robuuster identiteitsbeheer en een veiliger netwerkbeveiliging.
Zelfs voor de burgers kan deze digitalisering leiden tot meer rijkdom en meer toegang tot verschillende diensten, als de biometrische gegevens worden geïntegreerd in robuuste dienstverleningsprogramma's.
Het is dus een win-win situatie voor iedereen.
Maar dit holistisch opgebouwde ecosysteem voor identiteitsbeheer lijkt met dezelfde uitdagingen te worden geconfronteerd als wij op het noordelijk halfrond.
Implementatieplannen die vooruitlopen op de wetgeving en het bereiken van volledige inclusiviteit onder de bevolking en het behouden van talent in de publieke sector zijn enkele van de uitdagingen waarmee deze pas gedigitaliseerde overheden worden geconfronteerd.
En dan heb ik het nog niet eens over de bezorgdheid over de privacy van gevoelige persoonsgegevens of het illegale digitale toezicht van sommige Afrikaanse regeringen op hun burgers, ondanks het feit dat de privacyrechten op papier goed beschermd zijn.
Maken we allemaal weer dezelfde fouten? Of is identiteitsbeheer door ontwerp onderhevig aan gebreken en misbruik?
Related Resources:
Bedrijven zullen zich moeten bezighouden met het cookie-confundrum, en we zouden wel eens een "Brexit Plus" kunnen meemaken in het VK
De wereld veranderde drastisch in 2020 en ging door in 2021, maar de pandemie was slechts een van de gebeurtenissen die plaatsvonden. Op het gebied van gegevensbescherming werden enkele van de grootste financiële sancties tot nu toe opgelegd, onder meer aan Google en Amazon, die de eerste plaats innamen met een boete van bijna 1 miljard dollar tegen laatstgenoemde.
Dus, wat staat ons het komende jaar te wachten?
Er zijn twee hete hangijzers in de sector die op de voorgrond zullen treden.
Ten eerste, het onderwerp cookies. Deze schijnbaar onschuldige bestandjes op uw computer worden afgeschilderd als de manier om het web sneller te maken, maar dat gaat ten koste van een prijs - uw privacy. De doorsnee burger is zich nu veel meer bewust van zijn privacy en hoe bedrijven cookies gebruiken om al zijn bewegingen te volgen. Super cookies, die gebruik maken van lokale opslagcaches, maken het probleem alleen maar erger. In het komende jaar zullen browserleveranciers gedwongen worden deze kwestie aan te pakken. Google en Mozilla hebben al toegezegd, maar zij zijn niet de enigen. Kunnen degenen die er al tegen strijden hun schema's vervroegen? Het publieke momentum zal alleen maar groeien en nu bedrijven zoals Meta regelmatig in het nieuws komen wegens schendingen van de gegevensprivacy, zal zelfs de toevallige internetbezoeker geïnformeerd zijn en in staat worden gesteld actie te ondernemen.
We zijn allemaal gebombardeerd met cookiewalls en banners wanneer we websites bezoeken en dit brengt me bij het tweede hete hangijzer dat in 2022 op de agenda staat. De regering van het Verenigd Koninkrijk heeft samen met regelgevende instanties besloten dat deze inbreuken niet bevorderlijk zijn voor een positieve webervaring en spreekt daarom van een afwijking van het GDPR-kader van de EU om 'het alleen te doen'. Hoewel de details op dit moment nog vaag zijn, is één ding zeker: het Verenigd Koninkrijk kan niet te ver afdwalen als het relaties en routes voor gegevensverkeer open wil houden zodat bedrijven efficiënt kunnen blijven werken. Dit is natuurlijk allemaal het gevolg van het gebrek aan correct cookiebeheer door uitgevers van websites. Moet de wet worden veranderd en onze wereldwijde gegevenscapaciteiten in gevaar worden gebracht - of moeten we privacydeskundigen, webontwikkelaars en andere belanghebbenden gewoon leren om dingen beter te doen? In 2022 zou het VK wel eens een "Brexit Plus" kunnen krijgen en wie weet waar dat toe zal leiden.
Gerelateerde bronnen:
Beveiligingsnormen zullen in alle sectoren veranderen
- Dit is wat ik zie gebeuren in 2022:
- Kortere live-certificaten zullen in meer industrieën vereist zijn
- De overheid zal betere beveiliging invoeren
- Werken op afstand voor meer bedrijven als must- meer diensten op afstand - maar ook meer individuele aanvallen op werknemers
- Documenten ondertekenen met biometrie
Gerelateerde bronnen
Lees onze blog, "Maximum SSL/TLS Certificate Validity is Now One Year"