Większość starszych specjalistów ds. cyberbezpieczeństwa w największych brytyjskich organizacjach zmaga się z poczuciem bezradności i zawodowej rozpaczy – wynika z nowych badań przeprowadzonych przez Green Raven Limited. Te negatywne emocje wynikają z przewidywania przez praktyków ostatecznej, nieuniknionej porażki w ochronie ich organizacji. Większość praktyków twierdzi, że te same uczucia przenoszą się na ich życie osobiste.
Ponieważ standardowe, coraz droższe podejście do cyberbezpieczeństwa, polegające na wyrzucaniu pieniędzy w błoto i nadziei, że coś się uda, nie jest w stanie powstrzymać globalnych strat, praktycy tęsknią za bardziej precyzyjnym zrozumieniem zagrożeń, aby mogli ukierunkować budżet i mechanizmy obronne tam, gdzie są potrzebne. Aby zaspokoić tę potrzebę i pomóc przechylić szanse na swoją korzyść, praktycy wiążą duże nadzieje z nowymi narzędziami opartymi na sztucznej inteligencji.
Straty w cyberbezpieczeństwie prowadzące do rozpaczy
Zlecone przez specjalistyczną firmę konsultingową i sprzedawcę cyberbezpieczeństwa Green Raven Limited i przeprowadzone przez specjalistę ds. badań Censuswide, badanie obejmowało badanie ilościowe 200 specjalistów ds. cyberbezpieczeństwa odpowiedzialnych za cyberbezpieczeństwo, zespoły ds. cyberbezpieczeństwa i powiązane budżety w organizacjach zatrudniających ponad 1000 pracowników. Wyniki pokazały, że:
- 70% przyznaje się do uczucia zawodowej rozpaczy/bezradności w związku z nieubłaganym wzrostem strat cybernetycznych. Pomimo odpowiedzialności za szybko rosnące budżety na cyberbezpieczeństwo, niezdrowa większość (59%) zgadza się, że to “kwestia kiedy, a nie czy” ich organizacja poniesie straty z powodu naruszenia cyberbezpieczeństwa. Prawie trzy czwarte respondentów twierdzi, że poważne naruszenie uznałoby za osobistą porażkę.
- 59% respondentów przyznaje, że poczucie zawodowej rozpaczy/bezsilności ma negatywny wpływ na ich życie osobiste i/lub zdrowie psychiczne.
- Prawie 70% ankietowanych znajduje się pod presją ze strony kierownictwa wyższego szczebla lub zarządów, aby lepiej uzasadnić swój następny roczny budżet na cyberbezpieczeństwo w odniesieniu do rzeczywistego ryzyka i zagrożeń, przed którymi stoi ich organizacja. 66% tej kohorty i ponad połowa wszystkich respondentów twierdzi, że ma z tym trudności.
- Mniej niż połowa respondentów uważa, że ich organizacja w wystarczającym stopniu inwestuje w cyberbezpieczeństwo, mimo że prawie 90% respondentów twierdzi, że ich budżety na cyberbezpieczeństwo rosną. 5% określa budżety jako szybko rosnące.
- 79% respondentów uznaje, że “złoty standard” procesu zarządzania ryzykiem i zgodnością z przepisami obejmuje cztery etapy: identyfikację, ocenę, leczenie i monitorowanie; trzy czwarte respondentów twierdzi, że ich organizacja realizuje wszystkie cztery etapy. Spośród garstki respondentów, którzy nie zgodzili się z tym stwierdzeniem, ponad połowa stwierdziła, że ich organizacje polegają na skróconych metodologiach opartych na analizie ryzyka i kładących nacisk na środki obronne.
- Dwie trzecie respondentów twierdzi, że brak wiedzy o tym, skąd nadejdzie kolejny cyberatak, jest jak ciągła praca z opaską na oczach.
- Prawie czterech na pięciu respondentów spodziewa się, że nowe narzędzia oparte na sztucznej inteligencji dadzą im wreszcie przewagę nad podmiotami stanowiącymi zagrożenie w postaci lepszej inteligencji cyberzagrożeń, która powie im, skąd prawdopodobnie nadejdzie atak i / lub gdzie wyląduje.
Interpretacja badań
Na podstawie badań Morten Mjels, dyrektor generalny Green Raven Limited, skomentował: “Badanie wydaje się podkreślać pewne sprzeczne myślenie respondentów: Pomimo wpływu na ich życie, stale rosnących budżetów na cyberbezpieczeństwo i przekonania, że w końcu i tak dojdzie do naruszenia, respondenci nadal chętnie twierdzą, że obecne strategie cyberbezpieczeństwa są “zrównoważone” – podczas gdy ich własne obserwacje wyraźnie wskazują, że jest inaczej”.
“Do tego dochodzi jeszcze presja: Praktycy wierzą, że mechanizmy obronne, w które są odpowiedzialni za inwestowanie coraz większych kwot pieniędzy, ostatecznie nie ochronią ich organizacji i oczekują, że poczują się lub zostaną pociągnięci do odpowiedzialności, gdy dojdzie do dużego naruszenia. Jest to wersja cyberbezpieczeństwa starej maksymy, że “wszystkie kariery polityczne kończą się porażką”. Wielu praktyków zajmujących się cyberbezpieczeństwem wydaje się pogodzonych z myślą, że ich kariera może zakończyć się w podobny sposób. Codzienne dyndanie takiego oczekiwania nad głową nie może być zdrowe i nic dziwnego, że wpływa emocjonalnie na oddanych, ciężko pracujących praktyków” – zauważył.
“Po trzecie, nieprzyjemnie jest dowiedzieć się, że jedna czwarta respondentów w tych dużych organizacjach przyznaje, że nie stosuje rygorystycznie złotego standardu, czteroetapowego procesu [identyfikacji, oceny, leczenia i monitorowania] do zarządzania ryzykiem i zgodnością. Zgadza się to z tym, co obserwujemy “w terenie”, gdzie często spotykamy się z podejściami, procesami i rozwiązaniami, które przypominają dwuipółetapowy proces i ostatecznie kładą nacisk na środki obronne – podejście, które obecnie nie działa.
“Nasuwają się pytania, czy znaczna liczba praktyków może błędnie rozumieć proces złotego standardu i czy istniejące rozwiązania i praktyki przyczyniły się do osłabienia tego procesu, czego praktycy nie zauważyli” – powiedział.
“Wreszcie, jasne jest, że praktycy pokładają duże nadzieje w nowych lub powstających rozwiązaniach opartych na sztucznej inteligencji, aby przechylić pole z powrotem na ich korzyść. Ponieważ wiedzą, że źli aktorzy również będą mieli dostęp do nowych i powstających narzędzi opartych na sztucznej inteligencji, być może spodziewają się, że wystąpi pewnego rodzaju efekt niwelujący, skutkujący odpowiednikiem cyberbezpieczeństwa w postaci remisu zero-zero lub niskiej punktacji – co sugerują badania, za które odgryźliby ci rękę” – podsumował.
