•   2020年01月13日
•   TUV AUSTRIA

      在2020年，不仅IT安全法案2.0将大大改变对关键基础架构的要求，而且其他紧迫问题也将浮出水面。 根据TÜVTRUST IT总经理Detlev Henze的声明，这包括零信任方法以及敏捷的信息安全管理系统（ISMS）。 此外，OT中对IEC 62443标准的需求将增加，并且可用性的安全性也将成为重点。

      1) 信任的问题将会出现:
      到目前为止，“零信任”是一种越来越相关的方法，在企业中几乎没有实践过。 这实际上意味着不信任任何人，同时也不信任您自己的设备和网络。 结果是，重点还必须放在监视和检查您自己的资产上。 
      网络的有效边界保护和分段保护必须保持不变，但是身份验证，授权和核查不再必须集中进行，而必须在整个IT网络中进行检查和实践。

      2) 创建敏捷的信息安全管理系统（ISMS）:
      越来越多的公司在进行变革，以变得更加灵活和高效。 这始于软件开发，并且也反映在DevOps方法中，从信息安全的角度来看，也需要采取措施。 但是，仅将安全性方面集成到敏捷软件开发中是不够的，而是有必要建立适合敏捷组织环境的ISMS。
      同样重要的是要确保ISMS本身满足敏捷性要求，并确保SecDevOps以敏捷方式支持IT操作。 为了这个目标，必须回答一个问题：使用哪种方法以及必须使用或更改哪些现有标准？ 这与员工的培训需求齐头并进。

      3) eIDAS和PSD2仍在继续发展：

      自2016年以来，elDAS一直在欧洲经济区内监管电子识别和信任服务。 这意味着，在连续的在线过程中，例如：合同文件的跨境签名和传输过程中完全没有媒体中断，并且在法律上是安全的。 这已经使欧洲的合格信托服务显著增加，特别值得一提的是服务工作者也从中受益。

      作为数字化的结果，它们的使用将持续动态增长，例如，因为欧洲银行管理局（EBA）强制使用符合eIDAS的合格信托服务来强制实施新的支付服务指令2（PSD2）以保护支付交易数据。

      4) IT安全法案2.0进行了重大更改： 
      第一部IT安全法显示出相当大的改进需求。 立法者现在正在对IT-SiG 2.0进行重大更改，该草案迄今为止仅在草案中可用。 例如，这包括扩展BSI的功能以及对关键基础设施的保护提出更高的要求，如何建立攻击检测系统（SIEM）以及如何策划将来的整体观点将成为重点。

      安全标签的引入和当局作为消费者保护的作用也是新的。 同时，罚金将从之前的100,000欧元急剧增加到高达2,000万欧元，占全球年销售额的4％。

      5) KI更紧密地参与安全策略: 
      网络保护的预防措施势必需要使用人工智能。 人工智能解决方案必须承担识别威胁和对攻击形式进行分类的任务，例如通过学习了解恶意软件和网络攻击。 这可以实现更有针对性的防御和预防措施。

      让KI算法自动执行以前手动执行过的任务也很重要。

      6) OT中对IEC 62443标准的需求正在急剧增加：
      在IT和OT之间仍然存在稳固的孤岛景观。 工业工厂的网络化程度持续快速增长，并且随之而来的还有与OT相关的信息安全性。 因此，IEC 62443标准将在2020年受到极大关注。

      在这种情况下，重要的是，IT和OT之间的差距不会变得更深。 到2020年，可能的威胁和有效措施的相互了解将成为2020年的另一项任务。

      7) 设计安全性的日益严格
      从软件解决方案和应用程序的早期计划阶段开始就必须考虑安全方面。 但是，这需要通过定义保护目标并使用与应用程序相关的威胁模型来改变软件开发的思路。

      这样做时，必须在需求过程中明确提出特定的安全需求。 测试方法也将改变，基于安全性方面的测试工具选择也将改变。

      8) 可用的安全性也成为关注焦点：
      由于可用性不足而导致在处理IT和电信设备以及流程时动作的不确定性通常会带来安全问题。 在智能手机领域，已经有一些关于可用安全性的明智方法，但是在其他领域仍然存在大量缺陷。

      因此，该主题将在2020年变得更加重要。 结合起来，ISO 271001和ISO 9241的基本功能可以创建明智的基础。