Ökningen av B2B-bedrägerier, cyberförsäkrings självbelåtenhet och brister i förvaltningen i modellen “work-from-anywhere” är bland de största hoten mot cybersäkerhet som företag möter under 2022, enligt en rapport som släpptes på tisdagen av Forrester.
På B2B-bedrägerifronten noterade företaget att bedragare i allt högre grad inte bara utger sig för att vara människor, utan skapar skalorganisationer och företag för att lura finansiella institutioner, försäkringsbolag, e-handelshandlare, biltillverkare, vårdgivare och andra.
Dessa skalorganisationer “anställer” sedan bedragare som bedrägeri huvudsakligen offer för finansiella institutioner, fortsatte det. Detta system är inte bara relevant vid bedrägerier utan också vid penningtvätt, vilket gör livet för utredare och efterlevnadsavdelningar ännu svårare.
“Medan dessa system har funnits i minst ett decennium,” förklarade det, “ser vi bedragare som övergår till B2B-drift i mycket större skala än tidigare, eftersom företag förbättrar sina B2C-bedrägeriskydd.”
“Flytet från att utge sig för att vara individer till att skapa falska organisationer är ett evolutionärt steg i denna typ av bedrägeri,” Tim Erlin, vice vd för produktledning och strategi på Snubbeltråd, ett företag för upptäckt och förebyggande av cybersäkerhetshot i Portland, Ore., berättade för TechNewsWorld. “Det kommer att kräva evolutionära förändringar i säkerhetskontroller för att även mildra hotet.”
Ökningen av B2B-bedrägerier är relaterade till hur företag gör affärer med varandra, tillade Bojan Simic, VD för Hypr, ett lösenordslöst lösningsföretag i New York City. “Traditionellt,” sa han till TechNewsWorld, “har det inte legat så stor vikt, när det gäller cybersäkerhet, mellan företag för att se till att de företag som de har att göra med har ordentliga kontroller på plats.”
Ingen ersättning för säkerhetskontroller
Inom försäkringsdomänen förklarade Forrester att tillväxten i ransomware-attacker med början 2019 och ett antal incidenter i leveranskedjan 2021 ledde till att företag köpte eller ökade sin cybersäkerhetstäckning.
När förlusterna ökade från försäkringarna, kämpade flygbolagen för att skärpa sina försäkringspolicyer, samt ökade premierna med i genomsnitt 25 % och, i vissa fall, tog de bort täckningen för vissa typer av attacker. Det ledde till ett uppvaknande i styrelserummen.
“Vad säkerhetsledare länge har vetat men ledande befattningshavare och styrelser just nu lär sig är att utan en riskreducerande strategi och investeringar i säkerhetsprograms mognad, är att förlita sig på enbart cyberförsäkringar ett hot mot organisationen,” noterade Forrester.
“Cyberförsäkring är ett skyddsverktyg, men organisationer känner ofta att det är deras fria fängelsekort”, konstaterade James McQuiggan, förespråkare för säkerhetsmedvetenhet på KnowBe4en utbildningsleverantör för säkerhetsmedvetenhet i Clearwater, Fla.
“Att vara inblandad i en cyberattack som leder till ett intrång eller läckage av data kan skada en organisations varumärke och rykte, vilket leder till förlust av vinster och så småningom att någon förlorar sitt jobb,” sa han till TechNewsWorld.
Chris Hills, chefssäkerhetsstrateg för BeyondTrust, en tillverkare av privilegierad kontohantering och lösningar för sårbarhetshantering, sa att det fanns en tid före Covid att cyberförsäkring användes som ett stopp på grund av bristen på ordentliga säkerhetskontroller. Men idag, med antagandet av Ransomware Supplemental Addendum/Application (RSA), håller mäklare företag ansvariga för sina säkerhetskontroller.
“Om företag inte kan ge och bevisa positiva svar i de nio kategorierna som beskrivs i RSA, kommer mäklare inte ens att svara med ett citat,” sa han till TechNewsWorld. “Företag måste nu bevisa mer i dag än för två år sedan vad de gör när det gäller säkerhetskontroller för att till och med behålla sin nuvarande cyberförsäkring eller få ny täckning.”
Era ritning till slut
Garret Grajek, VD för Du intygarett identitetsrevisionsföretag i Irvine, Kalifornien, höll med om att cyberförsäkring inte är ett alternativ till korrekt IT-säkerhetspraxis.
“Faktiskt,” sa han till TechNewsWorld, “går försäkringar i riktning mot en upprätthållande av förbättrad praxis och procedurer kring identitet och nätverkssäkerhet. Företag måste antingen förbättra sin styrning av sina IT-resurser och data eller förvänta sig att gå ensam när ett hack inträffar. Dagarna med cyberförsäkringar som täcker dåligt hanterade IT-säkerhetsmetoder går snabbt mot sitt slut.”
“Försäkringsbolagen tar en mycket mer aktiv roll för att ta reda på hur bra en cyberrisk en potentiell kund faktiskt är”, tillade Shawn Melito, chief revenue officer med BreachQuestett incidenssvarsföretag i Augusta, Ga.
“De utan MFA, segmenterade säkerhetskopior, utbildning av anställda, IRP:er, slutpunktsövervakning eller ett antal andra cybersäkerhetskontroller kommer att ha mycket svårt att säkra täckning,” fortsatte han, “och det är om du inte har haft ett krav.”
“Jag har hört att organisationer som har haft problem under ett tidigare år har mycket svårt att förnya sig, vilket är olyckligt eftersom de flesta har en bättre cyberriskposition efter incidenten,” sa han.
Jobba-från-var som helst hot
Forrester nämnde också trenden att arbeta från var som helst som ett stort hot 2022. Den förklarade att en modell för arbete var som helst ger en möjlighet att skapa nya typer av känslig data. Detta inkluderar data som anställda skapar och lagrar i molntjänster och applikationer som är både företagssanktionerade och osanktionerade.
Den innehåller data i olika format, från filer till kommunikation över samarbets- och meddelandeapplikationer, fortsatte rapporten. Dessa digitala konversationer omfattar chattar, video- och ljudsamtal. De är inte heller nödvändigtvis tillfälliga. Det har aldrig varit lättare för anställda att spela in ett virtuellt möte, transkribera dess innehåll och komma åt meddelanden som innehåller reglerad data eller känslig företagsinformation.
“Organisationer kämpar vanligtvis för att hålla reda på sin data, och detta förvärras i en arbetsmiljö där företagsdata kan spridas över hemnätverket, vilket gör det mycket svårt att bedöma risken för dataläckage,” förklarade Snehal Antani , medgrundare och VD för Horisont 3ett SaaS autonomt penetrationstestföretag, i San Francisco.
“Dessutom,” sa han till TechNewsWorld, “inriktar hotaktörer sig inte bara på företagets VPN, utan dåligt säkrad hemnätverksutrustning och familjemedlemmars sociala ingenjörskonst för att få första åtkomst.”
“Det finns också en ökad sannolikhet att hemnätverksreferenser återanvänds över deras Netflix- eller spelkonton, vilket leder till en mycket högre sannolikhet för autentiseringsattacker”, tillade han.
I sin rapport informerade Forrester säkerhetsproffs om att dagarna för att använda ett intrång eller cybersäkerhetshot för att få uppmärksamhet från ledning och styrelse är över. Om något blir säkerhetsteam distraherade och fokuserar på de senaste nyheterna. Den rekommenderade att CISO:er överväger de största cybersäkerhetshoten mot sina organisationer baserat på nyckelstrategi, infrastruktur och affärsbeslut.