Согласно недавнему исследованию Cisco, 23% работников интеллектуального труда уже сегодня могут свободно выбирать, в каком месте выполнять свою работу. А еще 44% рассчитывают на этот вариант в течение следующих трех лет.

В 2020 г. почти половина мировой рабочей силы будет состоять из миллениалов и представителей поколения Z. У этих «цифровых аборигенов» есть свои предпочтения и стиль работы, включая большую гибкость, быстрый доступ к коллегам и специалистам и непрерывный процесс коммуникаций. Разработчикам ПО и оборудования необходимо иметь это ввиду. Но также нужно отвечать потребностям более старших поколений, которые все еще будут составлять очень существенную часть рынка труда.

Кроме того, специалисты прогнозируют появление новых профессий, связанных с виртуальным сотрудничеством. Например, брокер по безопасности облачной системы, специалист по аналитике больших данных, получаемых в результате совместной работы, и даже персональный бренд-менеджер по визуальному представлению человека в виртуальном мире.

Чтобы отвечать требованиям времени и сделать совместную работу более интуитивной, Cisco обновила свою платформу Webex для всего портфеля решений Cisco Collaboration, представленного в апреле. Новые решения включают в себя, в частности, приложение для видеонаблюдения Webex Meetings, а также для совместной работы Webex Teams.

«Будущее работы определяется тем, что мы делаем, а не тем, где мы это делаем. Сегодня технология может превратить практически любое место в рабочую среду, позволяя профессионалам решать, как и откуда они будут создавать ценность для своих компаний», – утверждает Энди Броклхерст (Andy Brocklehurst), руководитель направления совместной работы Cisco в регионе EMEAR.

Интернет стал неотъемлемой частью коммуникаций в современном мире. Социальные сети, мессенджеры и онлайн-сервисы упрощают общение по рабочим вопросам и позволяют оставаться на связи с родными и близкими практически в любых обстоятельствах.

Пользователи в массе своей уже привыкли разделять каналы коммуникаций исходя из потенциальной аудитории. Скажем, информацию, адресованную широкому кругу людей, мы публикуем на «стене» в Facebook, а для частной переписки используем Messenger. Однако на деле все несколько сложнее и излишние откровения чреваты даже при использовании казалось бы приватных средств.

Некоторые приложения предлагают улучшенную защиту конфиденциальности. К примеру, Snapchat обещает, что сообщения, отправленные с использованием их приложения, удаляются через 10 секунд. Как результат, пользователи испытывают соблазн поделиться более конфиденциальной информацией, чем если бы они использовали стандартное приложение для обмена сообщениями. И в этом-то как раз и кроется проблема.

Фотографии и сообщения Snapchat действительно удаляются через 10 секунд. Но это вовсе не означает, что картинка исчезнет навсегда. Сделав снимок с экрана или воспользовавшись сторонними приложениями получатель может создать копию изображения и дальше отправитель уже никак не сможет его контролировать.

Приложение может выглядеть конфиденциальным, и его разработчик может обещать, что ваши данные надежно защищены, но ничего не может гарантировать абсолютную защиту. Это и есть «иллюзия конфиденциальности», и она может привести к серьезным проблемам, если вы примите это обещание за чистую монету.

Зачастую именно человеческий фактор представляет наибольшую угрозу для нашей конфиденциальности. Чрезмерное доверие к технологиям может быть использовано против нас. Если система безопасна и мы ей доверяем, мы охотнее делимся с ее помощью конфиденциальной информацией. Однако если в следствие взлома или чьих-то необдуманных действий она станет достоянием третьих лиц, последствия могут быть очень серьезными.

Ни одно техническое средство не может обходиться без сбоев. Поэтому чтобы лучше защитить свою конфиденциальность, каждый из нас должен взять на себя повышенную ответственность за то, какой информацией мы делимся в онлайне. Слово не воробей, как говорится, а в современных условиях и фото с видео тоже практически невозможно уберечь.

Изучая аналитический обзор проблем корпоративной кибербезопасности за 2013-2017 гг. компании Colobridge мы ознакомились со статистикой касательно количества инцидентов и их масштаба. Между тем, сами по себе эти цифры мало о чем говорят. В конечном счете, важно не то, сколько атак удались, а какой ущерб они нанесли организации.

Так, по оценкам Ponemon Institute, средняя стоимость утечки данных на одну учетную запись в 2013-2016 гг. колебалась от $58 в Индии, до $214 в США. При этом уменьшению показателя способствуют такие факторы, как наличие команды для ликвидации инцидентов, широкое применение шифрования, налаженное обучение сотрудников и пр. К росту издержек в свою очередь могут привести: участие третьих сторон; масштабная миграция в облако; нарушение стандартов (комплаенс) и др.

Влияние 20 факторов на стоимость одной украденной учетной записи (2017)

Совокупная стоимость утечки данных зависит от количества похищенных учетных записей. И ориентировочно оценивается от 2 млн. долл. при компрометации менее 10 тыс. учеток, до более 6 млн. долл. при утечке свыше 50 тыс. учетных записей. Оптом дешевле, так сказать.

Одним из последствий утечки становится дополнительный отток клиентов. Причем закономерно наибольший урон в таких случаях терпят предприятия со значительной клиентской базой в таких сферах, как финансы, здравоохранение, услуги.

При этом, в минувшем году на установление факта инцидента уходило в среднем около 190 дней, а на устранение последствий – 66, по данным Ponemon Institute.

В следующий раз мы рассмотрим, какие причины, чьи действия или бездействие приводят к утечкам чаще всего.

Информационная безопасность – остроактуальная тема в сфере ИТ. Сегодня бизнес все активнее использует цифровые технологии. Каждый день в мире генерируются огромные объемы данных. Благодаря аналитике они становятся основой для принятия стратегически правильных и экономически выгодных решений. Поэтому риски потери корпоративной информации и связанные с ними последствия нельзя недооценивать. Только в 2017 г. средняя совокупная стоимость одной утечки данных составила 3,62 млн долл.

Компания Colobridge – немецкий корпоративный облачный и хостинг-провайдер – подготовила аналитический обзор ключевых проблем корпоративной кибербезопасности за 2013-2017 гг. на основе анализа статистических данных авторитетных источников (Gemalto, Infowatch, Ponemon Institute, Symantec, Verizon и др.).

Так, по оценкам компании Gemalto, ежегодно достоянием мировой общественности становится до двух тысяч инцидентов утечки конфиденциальной информации. При этом больше половины из них (до 70%) приходится на случаи кражи учетных данных и около 20% составляет доступ к финансовой информации. Утеря контроля над критически важными данными происходит примерно в 10% утечек.

Количество украденных учетных записей в период с 2013 по 2017 гг. колебалось от 743 тыс. до 2,6 млн. И хотя количество утечек в 2016 г. было практически на уровне с 2015 г., общее число похищенных учетных записей увеличилось более чем вдвое. Очевидно, что ключевую роль в этом играют крупные утечки. Хотя общее их число не превышает полутора десятков в год. В целом, по оценкам Symantec, в период с 2008 по 2016 гг. было скомпрометировано свыше 7 млрд. учетных записей.

В первом полугодии 2017 г. на кражу персональных данных пришлось 74% всех инцидентов, а на доступ к финансовым данным 13%, по информации Gemalto. Только в 6% случаев страдали критически важные данные, включая объекты интеллектуальной собственности.

Как видим, к серьезным последствиям приводит в среднем лишь один из ста инцидентов. Однако, редко, да метко – последствия «выигрыша» в этой лотерее могут быть весьма серьезными. Когда на безопасность в организации смотрят сквозь пальцы, данные утекают как вода из решета. Финансовым последствиям утечек мы посвятим отдельный блог.

Facebook, который находится по пристальным вниманием последние несколько месяцев, получил первый штраф за несоответствие стандартам обработки данных GDPR, установленных новым европейским законодательством.

Прошло два месяца с даты вступления в силу «Общего регламента по защите данных» (GDPR), а его выполнение по-прежнему вызывает головную боль руководителей многих компаний как в Европе, так и за ее пределами. И не важно связаны ли инциденты со случаями преднамеренной кражи данных или с утерей в результате внутренней небрежности в отношении информационной безопасности.

Появились первые последствия широко освещавшегося инцидента Facebook и Cambridge Analytica, который затронул свыше 87 млн. пользователей, чьи персональные данные были собраны консалтинговой компанией без их предварительного разрешения, а затем проданы третьим лицам, которые предположительно использовали их в целях президентской кампании Дональда Трампа.

«Офис информационного комиссара» (ICO) в Великобритании наложил штраф на Facebook – это первый, который социальная сеть получила в связи с этим скандалом. Штраф в размере 500 тыс. фунтов стерлингов (порядка 564 тыс. евро) – это максимум, который предусмотрен законодательством Великобритании по защите данных. Конечно для Facebook, которая зарабатывают такую сумму примерно за пять минут, это сравнительно небольшие деньги. Однако прецедент создан.

IOC постановил, что Facebook не смог защитить данные своих пользователей, и что он не был прозрачен в вопросе о том, как он использовал эти данные и какие интересы стояли за злоупотреблением этими данными. IOC также возбудит уголовное дело против SCL Elections, которая является родительской компанией Cambridge Analytica.

Стоит помнить, что GDPR может накладывать штрафы в размере до 4% годового оборота компании. Это означает, что если бы данный инцидент решался в рамках законодательства Европейского союза, то Facebook мог быть оштрафован на сумму 1,581 млрд. евро.

Между тем, известны множество других случаев злоупотребления данными за последнее время.

В сентябре 2017 г. компания Equifax была вовлечена в одну из крупнейших утечек данных в истории, когда были украдены персональные данные 142 млн. людей. Если исходить из максимально возможного штрафа в рамках GDPR, то его сумма составила бы весомые 124 млн. долл.

Еще более масштабный случай с точки зрения объема пострадавших данных был с американской маркетинговой компанией Exactis. В конце июня база данных с 340 млн. индивидуальных записей, содержащими персональные данные, была доступна в Интернете без авторизации. Это означает, что любой мог бы получить доступ к ней и ее содержимому.

Timehop был вовлечен в другой крупный инцидент, в результате которого 4 июля были раскрыты данные 21 млн. пользователей. Хакер, который украл данные, был способен получить доступ благодаря аккаунту облачного хранилища, которое не использовало мульти-факторную авторизацию. Компания заявила, что она связалась с должностными лицами по защите данных сразу же после обнаружения нарушения данных.

Таким образом, экономические штрафы за несоблюдение положений GDPR могут быть весьма ощутимы для бюджета компаний. Поэтому, наряду с построением необходимых процессов, им возможно стоит задуматься и о внедрении решений ИБ для предотвращения доступа, модификации и извлечения информации, которые способны обнаруживать, отслеживать и контролировать данные в сети предприятия.

Электронная почта является одним из основных векторов кибер-атаки против компаний. Согласно недавнему отчету 2018 Email Security Trends от Barracuda, 87% специалистов по ИТ-безопасности признали, что за последний год их компания сталкивалась с каким-либо типом угроз через электронную почту. Как результат три четверти опрошенных специалистов больше обеспокоены этим фактором риска, чем пять лет назад.

Это же исследование показало, что 81% руководителей по ИТ-безопасности в компаниях отметили увеличение количества инцидентов по сравнению с ситуацией год назад. Более того, четверть опрошенных специалистов из числа тех, кто согласился с этим утверждением, квалифицируют данный рост как «радикальный».

Но почему мы наблюдаем рост кибер-атак, которые выполняются через электронную почту? Подобно ряду других типов угроз, успех этих атак может сводиться к человеческой ошибке: либо из-за недостатка времени для оценки подлинности электронного письма или в силу нашего врожденного чувства любопытства или сострадания такие механизмы как социальная инженерия достигают цели злоумышленников. Это мнение разделяет большинство опрошенных ИТ-специалистов: они отмечают «неверное поведение сотрудников» в качестве основной проблемы при отражении кибер-угроз.

Экономические последствия таких атак также возрастают. 81% руководителей по ИБ на предприятиях согласны с этим утверждением, в 22% случаев подчеркивая, что расходы на смягчение последствий нарушения безопасности выросли существенно.

Из различных типов вредоносных действий, которые могут причинить компании финансовый ущерб через электронную почту, кража информации, шифровальщики и BEC-аферы являются сами «дорогими». Другими словами, мы сталкиваемся с двумя типами кибер-атак: с одной стороны, мы имеем атаки, которые стремятся извлечь прибыль из атаки на корпоративную информацию, которую потом планируется продать или получить за нее выкуп. С другой стороны, мы видим атаки, предназначенные для обмана сотрудников, имеющих доступ к финансам компании, чтобы заставить их неосознанно осуществить перевод денег кибер-преступникам.

Как же можно бороться с этой угрозой в своей компании?

Тот факт, что человеческая ошибка играет такую ключевую роль в успешности подобного рода мошенничества, конечно, означает, что компании должны обучать своих сотрудников на всех уровнях обращать внимание на определенные признаки в подозрительных электронных письмах: как они написаны, орфография или какого рода ссылки они содержат. Кроме того, они должны иметь привычку тщательно проверять предполагаемое намерение любого полученного электронного письма: например, проверить в финансовом департаменте, что они действительно запрашивают перевод средств на указанные счета, чтобы избежать BEC-афер.

Руководители по ИТ-безопасности в компаниях также рекомендуют  некоторые другие меры, которые необходимо иметь в виду:

Фишинговые упражнения: Этот высокоэффективный метод для проверки возможных негативных последствий фишинга состоит в том, чтобы застать врасплох своих сотрудников подобным электронным письмом, после чего посмотреть, как они будут реагировать на него. Те, кого удастся обмануть этим письмом, узнают для себя тот тип поведения, который они должны использовать в будущем, а те, кто успешно пройдет тестирование, лишний раз будет уверен в том, что необходимо быть начеку.

Обнаружение социальной инженерии: Это требует определенного практического процесса обучения сотрудников. Цель – убедиться в том, что они задают себе ряд вопросов прежде, чем ответят, или обратят внимание на подозрительный характер электронного письма.

Шифрование электронных писем: Чтобы избежать возможной кражи электронных писем, содержащих конфиденциальную информацию, ваша компания должна иметь систему, которая шифрует все электронные письма, отправленные сотрудниками, что требует введения дополнительного пароля для получения доступа к содержимому письма.

Кроме того, наличие решения с опциями расширенной информационной безопасности поможет обнаруживать попытки атаки на компанию по электронной почте благодаря использованию искусственного интеллекта и системе обнаружения в реальном времени.

Основу для исследований в области искусственного интеллекта (ИИ), начавшихся в 1950-х, заложила работа британского математика Алана Тьюринга, проделанная во время Второй мировой войны. Однако лишь в последние 10 лет идет быстрое развитие этой области, ставшее возможным благодаря трем основным факторам: повсеместным облачным вычислениям, огромным объемам данных и достижениям в машинном обучении.

Машинное обучение позволяет компьютерам учиться, не будучи явно запрограммированными. Достижения в этой области, особенно в глубоком обучении, привели к бурному развитию ИИ. В процессе машинного обучения компьютерные системы учатся использовать алгоритмы, то есть строки кода, чтобы находить закономерности в данных и действовать, исходя из них.

Распознавание речи и естественного языка, компьютерное зрение, рекомендации во время поиска и фильтрация электронной почты – вот примеры ИИ, использующего машинное обучение. Системы компьютерного перевода также используют алгоритмы машинного обучения, чтобы переводить текст с одного на другой язык.

Машинное обучение на основе маркированных данных называется «обучение с учителем» (supervised learning). Например, данные могут содержать фотографии с указанием того, что они изображают. После обучения алгоритм сможет находить в других наборах данных похожие структуры. Если для обучения использовать набор фотографий, на которых отмечены собаки, машина сможет распознавать аналогичные фотографии собак.

В противоположность этому, при «самообучении» (unsupervised learning) машины ищут закономерности в наборах немаркированных данных, выявляя сходства. Алгоритмы здесь создаются не для определения конкретных типов данных (например, изображений собак), а для поиска структур, которые выглядят одинаково и могут относиться к одной категории.

При «обучении с подкреплением» (reinforcement learning) машина учится путем проб и ошибок, в итоге находя наилучший способ выполнения поставленной задачи. Microsoft использует этот метод в играх, таких как Minecraft, изучая возможности улучшения «программных агентов». Например, управляемый ИИ персонаж может проходить по полю с лавой, не падая в нее.

Глубокое обучение – вид машинного обучения, основанный на принципах работы нейронных сетей, обрабатывающих информацию в человеческом мозге. В таких системах каждый слой нейронной сети преобразует полученные данные в несколько более сложное представление информации.

Это позволяет системе получить очень подробное понимание данных, на основе которого можно принимать решения, похожие на разумные рассуждения. Например, «видя» изображения собаки, машина сначала составляет матрицу пикселей и распознает фигуру, затем определяет границы этой фигуры, затем контуры, затем сам объект и так далее, пока не идентифицирует изображение.

Именно благодаря искусственным нейронным сетям стали возможны недавние достижения в области машинного обучения, давшие компьютерам способность понимать речь, обрабатывать естественный язык и распознавать изображения.

Между тем, восприятие ИИ общественностью во многом искажено негативным изображением в научной фантастике. Излюбленная тема для нагнетания – захват мира искусственным интеллектом.

Однако сегодня любая современная система ИИ способна решать лишь какую-то одну, узкую задачу. Эти системы хорошо справляются с логическими задачами, но у них нет интуиции, эмпатии или эмоционального интеллекта. Другими словами, опасения некоторых людей далеки от того, что на самом деле происходит на нынешнем этапе развития ИИ.

Также в последнее время активно обсуждается угроза того, что ИИ заменит людей на рабочих местах, особенно там, где можно автоматизировать ручную работу. Но такая постановка вопроса слишком упрощена. Большинству людей приходится выполнять рутинные задачи, которые снижают производительность труда. Эти задачи мог бы взять на себя ИИ, позволив людям сосредоточиться на более важных делах.

Скорее всего, ИИ изменит подходы к работе и приведет к упразднению некоторых рабочих мест и профессий. Согласно некоторым исследованиям в обозримой перспективе могут измениться такие профессии, например, как водители грузовиков, продавцы, хирурги. Но тот же ИИ приведет к появлению новых профессий, которые пока даже не существуют. Это происходило во время каждой промышленной революции, начиная с изобретения ткацкого станка и парового двигателя. И на пороге Четвертой промышленной революции мы можем и должны готовиться к этим изменениям загодя. Чтобы рабочие места появлялись, а не исчезали, необходимо выработать соответствующую политику и создавать программы переподготовки.

Эксперты полагают, что пройдет много десятилетий, прежде чем ИИ станет настолько развитым, чтобы массово заменять людей на рабочих местах. А когда это случится, перед людьми встанут этические вопросы о целесообразности такой замены. Поэтому когда речь идет об ИИ, лучше сосредоточиться на долгосрочной перспективе и придерживаться ответственного подхода к решению проблем, с которыми человечество сталкиваемся сегодня.

Оригинал

Европарламент принял резолюцию, призывающую страны, входящие в состав Европейского союза, усилить защиту от кибер-атак со стороны государственных и частных субъектов.

Резолюция под номером A8-0189/2018, которая получила 476 голосов «за», связана с информационной безопасностью в Евросоюзе, и в ней утверждается, что «ЕС и государства-члены столкнулись с беспрецедентной угрозой в виде политически мотивированных и поддерживаемых другими странами кибер-атак, а также кибер-преступлений и терроризма».

Данная резолюция признает ключевую роль, которую играют предприятия и организации в предотвращении, обнаружении, сдерживании и реагировании на инциденты ИБ, а также их приверженность в поощрении инноваций и внедрению европейской стратегии информационной безопасности.

В ней также содержится призыв к европейским правительственным учреждениям и бизнес-структурам провести всесторонний аудит компьютеров, ИТ-инфраструктуры и коммуникаций, а также проверить наличие вредоносных или потенциально опасных программ, установленных в системе, с целью устранения рисков безопасности для предприятия, а, следовательно, и рисков на национальном и общеевропейском уровне.

Хотя данная резолюция носит рекомендательный характер, она все же призывает всех членов Евросоюза предпринять меры и создать прецедент для совместных действий против кибер-преступлений. Мы являемся свидетелями нового типа кибер-войн, и мы можем видеть, как кибер-война, скорее всего, будет самым быстрым способом переноса активов и богатства одной страны в другую.

В условиях, когда цифровая трансформация означает использование все большего объема программ и данных, объемы атак также выросли экспоненциально. Это вынуждает государственные учреждения и частные компании усиливать безопасность своих систем по обработке данных, осуществляя поиск надежных решений и сервисов, которые соответствуют новому законодательству и ответственны за безопасность данных.

Пока эксперты и обыватели ведут жаркие споры касательно будущего GitHub после ее поглощения Microsoft, посмотрим на эту крупную сделку стоимостью 7,5 млрд. долл. с точки зрения определения ее прямых выгодополучателей.

Напомним, в понедельник корпорация Microsoft официально объявила о покупке платформы разработки программного обеспечения GitHub. Сервис, основанный в 2008 г. для содействия сотрудничеству разработчиков ПО, сегодня является крупнейшим хранилищем открытого кода на планете – по некоторым оценкам он содержит более 58 млн. репозиториев и с ним сотрудничают свыше 28 млн. программистов.

Возвращаясь к тем, кому в результате достанутся деньги от этой сделки. Крупнейшим акционером GitHub является его соучредитель и главный исполнительный директор Крис Ванстрас (Chris Wanstrath). По оценкам экспертов, он получит около 1,5 млрд. долл. в акциях Microsoft. Которые, к слову, последнее время неуклонно растут. После завершения слияния он уступит свою должность Нэту Фридману (Nat Friedman), вице-президенту Microsoft, и станет техническим специалистом по работе над стратегическими программными инициативами внутри корпорации.

Другие основатели – Том Престон-Вернер (Tom Preston-Werner) и Пи Джей Хайетт (PJ Hyett) – могут рассчитывать ориентировочно на 1,25 млрд. долл. и 1 млрд. долл. соответственно. Напомним, первый из них покинул проект в 2014 г. из-за скандала, связанного с дискриминацией женщин-сотрудниц в компании.

Крупнейшим внешним инвестором GitHub является Андрессен Хоровиц (Andreessen Horowitz) – его доля составляет около 13%, что также эквивалентно примерно 1 млрд. долл. Далее идут венчурные фонды Sequoia Capital и Thrive Capital.

Что же в результате получит Microsoft? В то время как четверка GAFA (Google, Apple, Facebook, Amazon) зачастую знает потребителей лучше, чем они сами себя осознают. Редмондская корпорация после покупки социальной сети для поиска и установления деловых контактов LinkedIn, а теперь и крупнейшего сообщества разработчиков GitHub, будет знать больше, чем кто-либо не только о профессионалах в различных сферах бизнеса, но и о самой ценной на сегодня части рабочей силы – разработчиках. Как и насколько успешно ей удастся извлечь из этого выгоду – покажет время.

Одним из ключевых аргументов в пользу облачных вычислений обычно называют сокращение затрат на ИТ и понятные, прогнозируемые расходы. В первую очередь, благодаря переходу от покупки лицензионного ПО к подписной модели с ежемесячными платежами за реально использованные ресурсы. Однако на деле как обычно все оказывается не так просто.

По мере роста использования облачных сервисов предприятия все чаще сталкиваются с непредвиденным ростом расходов, то из-за позабытого приложения или тестового стенда, то из-за внезапного всплеска популярности облачного сервиса.

Как показало исследование компании SoftwareONE, в котором приняли участие 300 руководителей ИТ-департаментов и топ-менеджеров, 37% организаций называют в качестве главной проблемы использования облаков непредсказуемые расходы. Еще треть компаний недовольны отсутствием прозрачности в использовании облачных ресурсов.

Для удовлетворения растущих потребностей в вычислительных ресурсах почти половина (45%) предприятий наращивают, либо как минимум сохраняют инвестиции в локальные системы на текущем уровне.

Закономерно большинство (53%) компаний привержены гибридному подходу к ИТ. Хотя это все еще порождает определенную путаницу, и руководители нередко не до конца отдают себе отчет, что именно из их сервисов находится в облаке. К примеру, (56%) опрошенных топ-менеджеров считают, что их организации перенесли рабочие нагрузки в облако, в то время как среди ИТ-директоров только 35% подтверждают это.

Так что на деле оказывается, что с облаками все не так просто. В долгосрочной перспективе они не особо помогают сократить расходы на ИТ и многие организации все еще находятся в поиске оптимального баланса использования ресурсов в гибридной модели, в том числе с финансовой точки зрения.