Агентство Европейского Союза по вопросам сетевой и информационной безопасности прогнозирует, что цепочки поставок ПО занимают первое место среди 10 главных киберугроз до 2030 года. То есть атаки на цепочки поставок программного обеспечения представляют собой наибольшую угрозу, с которой могут столкнуться организации ЕС до 2030 года, согласно обновленному отчету Foresight 2030 Threats за 2024 год от ENISA.
Такова ситуация на сегодняшний день, несмотря на снижение общей оценки риска и вероятности по сравнению с результатами прошлых лет.
«Больше интегрированных компонентов и услуг от сторонних поставщиков и партнеров может привести к новым и непредсказуемым уязвимостям с компрометацией как на стороне поставщика, так и клиента», — указывает ENISA в обновленном отчете.
По оценкам агентства, эта угроза может исходить как от государственных кибервойск, так и от групп киберпреступников, которые организуют диверсии, кражи и проводят сетевую разведку, а также внедряют вредоносный код в программное обеспечение.
Потенциальное влияние этой угрозы варьируется от утечки и потери данных до неисправностей и сбоев.
Человеческий фактор, устаревшие системы остаются наибольшими угрозами
По сравнению с рейтингом 2024 года, тройка лидеров также остается неизменной: «Нехватка навыков» является второй большой угрозой, а «Человеческий фактор и использование устаревших систем в киберфизических экосистемах» – третьей.
Однако в первую пятерку попала новая угроза «Эксплуатация неисправленных и устаревших систем в перегруженной межотраслевой технологической экосистеме».
Десять главных киберугроз от ENISA до 2030:
1. Нарушение цепочки поставок ПО
2. Нехватка навыков
3. Человеческий фактор и уязвимые устаревшие киберфизические системы.
4. Эксплуатация неисправленных и устаревших систем в перегруженной межотраслевой технологической экосистеме (Новая угроза)
5. Рост авторитаризма цифрового наблюдения / Потеря конфиденциальности
6. Трансграничные поставщики услуг ИКТ как единственная точка отказа
7. Расширенные кампании по дезинформации, приводящие к манипуляции общественным мнением
8. Рост передовых гибридных угроз
9. Злоупотребление ИИ
10. Физическое влияние природных/экологических катаклизмов на критическую цифровую инфраструктуру (Новая угроза)
Угрозы, связанные с искусственным интеллектом и Deepfake, набирают обороты
Другие киберугрозы, упомянутые в отчете ENISA, которые не входят в первую десятку, включают «манипуляции системами, необходимыми для реагирования в чрезвычайных ситуациях», «нарушение цепочек поставок программного обеспечения с помощью Deepfake Verification» и «искусственный интеллект, помогающий как предупреждать, так и и усиливать кибератаки».
Первый отчет ENISA Foresight 2030 Threats был опубликован в 2023 году.
Агентство использует этот отчет для повышения осведомленности о будущих угрозах и контрмерах среди своих государств-членов, а также среди заинтересованных учреждений ЕС, органов и агентств (EUIBA) в соответствии с шестой стратегической целью учреждения «Прогнозирование новых и будущих вызовов в кибербезопасности».
Рейтинг является результатом исследования ENISA, основанного на внутренней методологии прогнозирования в области кибербезопасности, включающей прогнозирование и исследование будущего.
Эта структура была разработана в 2021 году в сотрудничестве со специальной рабочей группой, в которую входят футурологи, социологи, прогнозисты и эксперты по предвидениям.