大数据 ？ 大安全 ！

大数据？大证券Y！ 如何保护您的数据免受日益增加的网络威胁风险 AUTHORS 数字化过程带来的革命使生成和收集日益扩大的数据量成为可能。因此，公共和私人组织必须定义新的策略，设计和实施保护系统，调整其运营模式，并通过减轻与网络威胁相关的风险来学习管理信息-同时保持遵守现行主要法规的规定。在这个观点中，我们描述了组织必须采取的措施来减轻风险。 马里奥NicoMichaelKolkDarioGaranteRiccardoCalogiuriLorenzoCimarelli CYBERATTACKSHAVE在T E N S IF IE D S在C E E ND O F T H E FI R S T Q UA R T ER O F 2 0 2 3 更多数据，更多攻击！ 数据是一种基本的商业资产。它的损失或妥协可能会严重损害公司和组织 财务业绩、品牌声誉或客户流失。组织是否利用数据来运营其业务，或者数据是副产品 进行日常运营，或者机构将数据资产作为一次性产品销售，所有数据都必须进行管理、保护、跟踪和更新。随着企业进行数字化转型，数据的经济价值进一步放大，导致增加 然而，随着数据呈指数级增长，网络攻击的持续增长（尽管尚未证明直接相关性）。信息安全杂志报告称，针对政府机构和公共部门服务的网络攻击在2023年第二季度比第一季度增加了惊人的40%。黑莓网络安全公司声称，在2023年3月至5月的90天内，它阻止了150万次攻击，其中55,000次攻击是针对公共部门的。数据分析显示，自2023年第一季度末以来，网络攻击加剧。根据BlacBerry的说法，在此期间网络攻击的分布最高： 数据生产。 组织尚未掌握有关数据的所有方面，包括这些重要考虑因素： -谁可以访问数据，并且什么数据他们能看见吗？-如何保护数据免受非法侵害访问尝试?-How主管are用户，以及你如何确保他们继续被告知风险与信息处理相关的？ -金融机构-医疗保健服务和设备-政府/公共实体-关键基础设施 对攻击类型的进一步分析揭示了网络攻击背后的原因分为两类： 在“网络战场”的观点中，ArthurD.Little（ADL）分享了公司建立网络安全的几种策略虽然大多数数据安全漏洞（74％，根据Verizon）由内部用户错误，采用特权访问管理等IT系统允许 1.经济。这些袭击是由犯罪组织犯下的，利用了的各种可用的工具（例如，勒索软件，分布式拒绝服务[DDoS]，恶意软件，网络钓鱼）返回利润。作为一个例子，考虑英国的皇家邮政的情况下，在1月的勒索软件攻击后，2023年，拒绝支付£6700万（约 8500万美元)肇事者要求。 组织来管理用户对信息的访问，限制未经授权访问的风险。同时，可以采用解决方案（e。Procedre，安全信息和事件管理）来控制谁访问什么并监视数据如何更改。这样的IT系统使组织能够检测可以追溯到恶意访问尝试的异常行为，从而允许及时干预。像这样的投资使组织能够主动应对。 网络攻击带来的风险。 规管景观转型 2.政治。这些攻击在其基础上与政治问题有关（有时是本地的，但更多是国际的）。它们通常可以追溯到激进主义行为，但也可能 根据DemandSage的数据，平均每天创建3.2877亿TB的数据。但是，确保对数据进行适当管理和保护的能力仍然遥不可及。而从安全和隐私的角度来看，欧盟通用数据保护条例（GDPR）已经提出 被用来煽动网络战争，可以与恐怖主义行为相提并论。例如，在俄罗斯联邦和北约封锁之间的紧张关系下，2023年11月，俄罗斯黑客入侵了22家丹麦电力公司。 作为保护信息的盾牌，对大数据使用的监管仍在等待《欧盟数据法案》的最终批准，该法案与《人工智能法案》（专注于监管基于人工智能[AI]技术的数据分析过程的立法）一起加入。这两项立法都面临着大约12个月（2024年底）的道路，等待欧盟的最终批准。此后将开始欧盟国家将这些行为转化为国家法律的过程。 考虑到数据泄露在资金方面的高昂成本(IBM估计2023年数据泄露的平均成本为445万美元)、时间和声誉，防止攻击的重要性非常清楚。为此，组织必须: -了解监管环境— 尽管GDPR的覆盖范围仅扩展到个人数据，但《数据法》涵盖了个人和非个人数据，使其应用范围更加广泛。《数据法》旨在消除公共和私人组织的数据访问障碍， 释放数据的价值；保护数据免遭未经授权的访问、披露、更改或破坏；维护个人和组织的隐私 -承诺增加投资 使其更简单 防御性技术解决方案-以更好地了解竞争，客户和技术趋势为目标;支持业务增长;并确保信息安全管理 在服务提供商之间传输数据，并鼓励包括中小型企业在内的更广泛的参与者参与数据经济。这些新法规将使消费者和企业在确定其连接设备产生的数据的使用方面拥有发言权。 -采用标准和框架和 定义业务实践-保证定性和定量水平 信息安全，不断适应不断增长的攻击，并平衡数据共享与保护（请参阅ADL观点“利用外部数据共享来解锁变革性协作”）。 此外，随着人工智能系统越来越多地融入日常生活，围绕数据保护和道德考虑的问题已经走到了最前沿。网络犯罪分子可以使用AI轻松开发恶意软件，这些恶意软件可以发现以前未知的漏洞或逃避检测并创建复杂的网络钓鱼攻击。GDPR支持创建AI和大数据应用程序，这些应用程序有效地在数据保护与其他社会和经济利益之间取得平衡，但在实现这一目标方面提供的指导有限。因此，人工智能法案旨在通过基于风险的方法来规范人工智能，该方法根据智能软件和应用程序可能带来的潜在风险来区分合规义务。 承诺投资 数据可用性的增长是领先的公司，无论是公共的还是私人的，都在为其管理获取工具和技术方面进行越来越多的投资。目的是了解竞争，客户以及创新的技术趋势和工具；通过规划和实施有效的战略来支持业务增长；和 确保信息的安全管理。 但是，尽管投资集中在获取用于分析，处理和可视化信息的专有技术上 风险越高，智能应用程序创建者的合规要求和责任就越大。 以及商业智能，数据分析和AI系统等技术工具，欧盟网络安全机构（ENISA）发布的一份报告强调了与2023年信息安全支出的主要增长驱动因素相关的数字。该报告确定了增长的主要驱动因素为混合工作，从虚拟专用网络(VPN)过渡到零信任网络访问，并迁移到基于云的部署模型。该研究估计2023年支出的总体增长为1430亿美元，2024年的估计为1630亿美元，增长高达14%(见图1)。 欧盟国家完成数据和人工智能法案的监管路径将要求公共和私营组织在一定的时间范围内进行调整，并改变流程，承诺新的预算并调整商业模式以确保合规性。 G R O W T H I N数据AVA ILA B IL I T Y I SL E AD I N G C O M PAN I EST O M A K E E V E R G R E AT E R I NV E S T MEN T S I N T HEAC Q U I SI T I ON OF T O O LS A N D T ECH NOL O G I E SFO R T HE I R M A N AG EMEN T 根据ENISA报告，2024年支出增幅最大的担忧云安全（同比增长24%），符合从专有本地架构到云解决方案的实质性和一般迁移过程，以及数据隐私（同比增长24%），因为组织的重点仍然是出于隐私目的处理数据（见图2）。 这些数字背后的因素与日益增长的网络威胁风险以及影响组织及其在适应 新的商业范式，它承认数据是公司的基本资产，无论是公共的还是私人的。这种价值使实施和感知的安全级别变得越来越重要：首先，为了保证法规遵从性并确保公司能够从信息访问中产生的价值， 该报告预测到2026年的可持续增长，每年的百分比为两位数。按地理区域划分，北美平均占全球年度支出的三分之二。北美与其他地区之间的差距突出表明，该地区更加重视安全问题，并强调其他地区需要增加投资，以弥合技术和文化差距。 第二，作为利益相关者和股东关注的要素。 应用合适的框架&业务实践 采用标准框架可以使组织获得一系列好处，包括： -信息安全意识-启用 结构化框架对于有效的信息安全管理至关重要。在考虑信息安全和个人身份信息(PII)保护时，组织可以参考广泛认可的标准，如ISO/IEC27001:2022或NIST网络安全框架(CSF)。这些标准提供结构化框架和最佳实践 采取强有力的措施保护敏感信息 -风险缓解-获得更深的 了解风险管理，并提供识别漏洞、评估风险和实施策略以减轻风险的能力 用于评估和减轻信息安全风险。采用组织框架可以通过标准化流程，自动化安全性和隐私合规性以及建立一致的措施来缩短上市时间。 -法规合规性-符合 相关法律和不断发展的法规，为维护信息安全提供了积极的方法 表1突出了 -增强声誉-增加一个 这两个框架，但重要的是要指定这些框架通常涵盖相同的领域，例如识别风险，实施控制以减少风险以及监控绩效。组织可以协同整合框架以创建整体的网络安全方法。 组织的声誉，并为组织的客户和合作伙伴提供更大的信心，促进更好的关系并创造更多的商业机会 -节约成本-followingtheinitial 投资，由于信息安全“文化”的增强，降低了泄露的可能性，随后减少了法律费用和声誉损害，从而促进了中长期利益 一般来说，ISO/IEC27001:2022标准对于操作成熟的组织是有用的，这些组织旨在建立或改善其整个信息安全管理周期，并且 通过与这些完善的标准保持一致，组织可以有条不紊地识别和解决潜在的威胁，保护信息安全和隐私，同时展示他们对合规性和数据保护的承诺。重要的是要记住，没有一刀切的方法，因此每个组织都必须选择最适合其需求的模型。 寻求认证以证明公司对安全性和合规性的奉献精神。相反，NISTCSF更适合在制定网络安全风险管理计划的第一阶段或试图减轻先前的故障或数据泄露的尝试中评估成熟度。 案例研究：保护意大利的水资源 -物联网(IoT)传感器-通过Sentinel-1（雷达）获取的光学和雷达图像进行遥感和Sentinel-2（光学）星座欧洲航天局哥白尼计划-视频监控-用于查看地理空间数据和监视仪表板的Web应用程序 意大利的一个项目寻求加强领土治理和水资源保护监测系统的信息资产。其主要目标是保护水源免受人为和 通过综合监测网络评估水资源和土壤的状况。 ADL设计了一个系统来监测水的质量，可用性和安全性，允许当局-根据其职责和能力-采取必要措施来减轻危害和风险，促进适当的预防措施。 项目的复杂性集中在关键数量的重要数据的管理。 该系统包括一个隔离网络，由一个多因素身份验证防火墙保护，只能通过VPN和安装在单个服务器上的防火墙从外部访问。该体系结构旨在按照ISO/IEC27001：2022标准管理信息，以确保战略信息的最大安全性，同时制定内部流程以定义正确的集合。 此外，信息管理系统需要确保数据能够支持各当局的调查，特别是 在侦查环境犯罪方面，并允许进行这些调查以确保其不可否认。 该系统的结构旨在支持客户对现有资源的规划、管理和监控功能，以及与外部的通信，该系统利用以下数据和信息构建： 并根据GDPR维护信息。为此，ADL支持通过设计、风险分析和数据保护影响评估，使用隐私实现隐私。 Conclusion S I MPR OV E ME NT O R G AN I Z AT I O N S M U S T M AN AG ET H E E VO LU T I O N O F R EG U L AT I O N SA N D T ECH NOL O GY T R A N SFOR M AT I ON 数据和数字化流程的增加导致针对公司和机构的网络攻击升级，以及不断变化的监管环境，以及公司需要不断适应不断变化的数据经济动态。因此，组织必须投资于预防和保护技术，同时同时提供沟通和培训，以确保他们的员工意识到安全文化是良好的业务实践。总体而言，组织必须管理法规和技术转型的演变，特别注意： 1