Як захистити бізнес від хакерів
"Кібератаки", "кібервійська", "кіберпростір" — ці слова вже звичні для пересічної людини.
Ще п'ять-сім років тому така лексика була присутня хіба що у фільмах.
Тепер нею оперують журналісти, а в кафе можна почути обговорення новин про втручання хакерів у вибори чи роботу банків.
Людям властиво говорити про найбільші загрози, і саме ризики кіберпростору нині б'ють рекорди за темпами зростання.
Старі ризики на новий лад
На відміну від інформаційної безпеки, кібербезпека включає в себе методи захисту не тільки інформаційних ресурсів, а й інших активів, отже — й самої людини. Аналогічно відбулася трансформація поняття ризиків, які охоплюють набагато ширшу сферу, ніж інформаційні ризики або ІТ-ризики, якими оперували раніше.
Хоча цільовими ресурсами, які піддаються кіберризикам, залишаються системи і дані, вектори атак значно змінилися. З іншого боку, бізнес стає автоматизованим і більш "цифровим". Модний термін "дигіталізація" повною мірою відображає те, що відбувається з компаніями будь-якого розміру й індустрії.
За даними дослідженням Allianz Risk Barometer, у 2018 році ризики, пов'язані з кіберінцидентами, посідають другу позицію після переривання роботи компанії. Причому відрив від першого місця становить цілком номінальні 2%.
Про темпи зростання кіберризиків у корпоративному середовищі свідчить такий факт: п'ять років тому цей тип ризиків посідав у дослідженні Allianz 15 місце. У 2018 році респонденти із США, Великобританії, Австралії та Південної Африки поставили ризики, пов'язані з кіберінцидентами, на перше місце.
Останнім часом питання кіберризиків гостро постає і в нашій державі.
Саме тому Американська торговельна палата в Україні, яка об'єднує найбільших інвесторів, приділяє особливу увагу питанням кіберзахисту з точки зору створення ефективного регулювання та підвищення рівня обізнаності компаній. Так бізнес приходить до розуміння необхідності дбати про кібербезпеку.
Основний інструмент
Ідеальної захищеності компанії або бізнесу, на жаль, не існує. Тобто існує, але за таких умов бізнес не зможе функціонувати. Це як жити в абсолютно безпечному будинку, бетонному кубі без вікон і дверей, який стоїть на такій глибині, щоб вистояти у разі прямого влучення із стратегічної зброї.
Так само нереально і навіть кумедно виглядає абсолютна кібербезпека бізнесу. Головне — зрозуміти необхідність балансу між захищеністю і функціонуванням. Для цього потрібно управляти ризиками і регулярно оцінювати роботу з ними.
У парадигмі кібербезпеки це стало можливим, оскільки її цілі пов'язані з цілями розвитку бізнесу, на відміну від ІТ-безпеки та інформаційної безпеки. Грамотне управління кіберризиками направлене на управління безпекою компанії, забезпечення роботи бізнесу, зниження втрат, захист даних і бренду.
Забезпечення технічної безпеки компанії — це лише невелика частина завдань, які потрібно виконувати в рамках управління кіберризиками. Більшість з цих пунктів будуть зрозумілі та цікаві власникам бізнесу та топ-менеджерам — людям, які рідко думали про доцільність витрат на такі рішення, ресурси, процеси.
Кіберризики і грамотні процеси управління ними — це інструмент спілкування з бізнесом, якого так не вистачало. Завдання, які покладаються на керівництво департаментів і дирекцій з безпеки, пов'язані із стійкістю і безпекою бізнесу, а не мереж та інфраструктури. Це складні, але важливі зміни.
І швець, і кравець
У сучасній корпоративній структурі поки що нема чіткого визначення та абревіатури для директора з кібербезпеки. Причиною, крім невизначеності щодо розуміння завдань та обов'язків, є відсутність фахівців такого профілю.
Директор з інформаційної безпеки (CISO) — надто вузьке поняття. Директор з безпеки (CSO) більше пов'язаний із силовим блоком. Директор з безпеки і приватності даних (DPO і CDPO) теж не відповідає за весь спектр кібербезпеки. Чому так складно визначити кваліфікацію і завдання директора з кібербезпеки?
Найскладніше — бути медіатором між бізнесом і технічними підрозділами. Вічне непорозуміння можна усунути, спілкуючись зрозумілою бізнесу мовою грошей. Директор з кібербезпеки буде корисний і директору з ІТ, і технічному директору, бо він зможе переконати бізнес в необхідності розвитку і підтримки інфраструктури.
Основою для зрозумілого обом сторонам спілкування стануть кіберризики. З одного боку, вони показують технічні та соціальні канали можливих атак. З іншого — допомагають оцінити потенційні втрати і зменшити збитки. Таким чином, в руках директора з кібербезпеки з'являються вагомі аргументи для всіх сторін.
Бізнес-кібербезпека
Управління кіберризиками є не тільки основою управління кібербезпекою компанії. Це основа управління безпекою бізнесу, захисту його прибутковості, розвитку і репутації. Широкий спектр сфер ризиків дозволяє управляти абсолютно новим для бізнесу поняттям: кіберстійкістю.
Цей новий процес, який раніше впроваджувався в компаніях у більш вузькому охопленні процесів безперервності ведення бізнесу, виходить на перший план діяльності сучасної компанії. Першочерговим завданням у його побудові є оцінка бізнесових, корпоративних або кіберризиків і управління ними.
Бізнес не зможе жити без цифрових технологій, він уже пішов в кіберпростір, тому краще зайнятися оцінкою кіберризиків та їх управлінням зараз, до виникнення інцидентів, ніж потім підраховувати втрати.