Ни дня не проходит без сообщений о новых киберугрозах, исходящих из “вредоносного пространства” — онлайновой среды, где обитают группы хакеров, преступные организации и шпионские центры. Поскольку хакеры, киберпреступники и государства неимоверно увеличивают традиционные риски безопасности, становится ясно, что бизнес-риски, связанные с операциями в киберпространстве, быстро превращаются в главную заботу руководителей компаний.
Необходимо расширить корпоративное управление рисками, обеспечив устойчивость киберпространства, построенную на прочном фундаменте подготовительных работ и совместных усилий.
Сегодня CIO, директора по информационной безопасности (CISO) и другие лица, занимающиеся практической работой с информацией, обязаны сообщать и объяснять корпоративные риски, связанные с действиями предприятия в киберпространстве. В большинстве организаций мира получающие широкую известность вторжения в сети, финансовые потери и более строгое государственное регулирование привлекли внимание к информационной безопасности. В результате акционерам требуются гарантии, что конфиденциальные сведения надежно защищены.
“Вредоносное пространство” и реальный мир
Вредоносное пространство — это процветающий рынок для желающих делать деньги, быть замеченным, вызвать общественные беспорядки или нанести удар по корпорациям и правительствам посредством кибератак. Привлекательность бизнеса во вредоносном пространстве отчасти связана с его анонимностью, благодаря которой риск быть пойманным намного меньше, чем для преступников “реального мира”.
В киберпространстве легче спрятаться, и поле деятельности там гораздо динамичнее с точки зрения нарушения работы ПО, персонала и систем. Более того, существует проблема с дифференциацией законов и правил в зависимости от юрисдикции, которая может сделать преследование киберпреступников весьма трудным делом.
При этом время, необходимое для подготовки киберпреступлений, сокращается, а потенциальные выгоды растут. Мировая киберпреступность прекрасно организована, ее профессиональный уровень растет. Она столь же инновационна и стратегически ориентирована, как многие легитимные компании, ее финансовые возможности постоянно расширяются с ростом онлайновой экономики.
Сложилась экосистема “вредоносного пространства”, обеспечивающая широчайшие возможности сотрудничества и обладающая рынками, на которых продают и покупают знания и инструменты, позволяющие выбрать цель и произвести кибератаку. Каждая хакерская группа, преступная организация и шпионский центр по всему миру имеет сейчас доступ к мощным инструментам и приемам для идентификации, фокусирования усилий и атаки.
Все это делает обеспечение киберустойчивости совершенно необходимым для предприятий и правительств. Но как лучше всего этого достичь?
Расширение управления рисками
Если практика кибербезопасности и управления рисками в значительной мере фокусируется на обеспечении защиты через управление известными рисками и их контроль, то киберустойчивость требует, чтобы все компании независимо от размера готовились уже сейчас. Чтобы выдержать и смягчить негативные последствия активности в киберпространстве, организации должны расширить управление рисками, включив в него киберустойчивость.
Теперь, когда всё, начиная с управления цепочками поставок и заканчивая привлечением клиентов, переносится в облака, действия в киберпространстве будут иметь самые серьезные последствия в случае выхода систем из строя. Защита правительств и предприятий для обеспечения устойчивости является категорическим требованием. Киберустойчивость предполагает сбалансированный подход, при котором защищены как организации, так и их сотрудники, но при этом обеспечиваются открытость и безопасность коммерческой деятельности и обмена информацией.
К сожалению, риск, связанный с ведением бизнеса в киберпространстве, не всегда позволяет добиться этого. Чтобы достичь киберустойчивости, управление рисками должно включать обеспечение конфиденциальности, целостности и доступности данных. В то же время организациям, сколь бы устойчивы они ни были, следует признать реальность и растущие масштабы побочных последствий активности в киберпространстве, в том числе коммерческих, репутационных и финансовых рисков.
Кибербезопасность: свистать всех наверх!
Киберугрозы уже затрагивают не только информационную безопасность, но и все подразделения организаций, а также их клиентов, поставщиков, инвесторов и других заинтересованных лиц. Высшее руководство (предпочтительно, чтобы это был генеральный или главный операционный директор) должно возглавить перемены, используя координацию действий и организуя сотрудничество, что позволит подготовиться к непредвиденным событиям.
Предприятие должно обладать гибкостью, чтобы эффективно предотвращать, выявлять и реагировать. Это касается не только инцидентов, но и последствий кибератак. Необходимо создать команду реагирования на инциденты, состоящую из представителей всех департаментов организации. Она разработает планы действий, которые следует предпринять до и после инцидента. Эта команда должна быть оснащена и подготовлена таким образом, чтобы быстро реагировать на инцидент, поддерживая связь со всеми подразделениями, с потенциальными пострадавшими, с акционерами и регулирующими органами.
Борьба со сложными угрозами
В ближайшее десятилетие разнообразие и сложность угроз кибербезопасности значительно возрастут. Компании должны подготовиться к этому уже сейчас, иначе будет поздно. Как я отмечал выше, управление исходящим из киберпространства риском должно выходить за пределы информационной безопасности и включать риски для репутации с учётом принадлежащих сотрудникам устройств и внешних поставщиков.
Готовясь противостоять этим все более сложным угрозам, компаниям следует действовать по трем основным направлениям.
Внутренние угрозы. Технологии не только предоставляют предприятиям новые возможности, но и увеличивают потенциальный риск. Особенно когда компания не вполне отдаёт себе отчет, какие последствия для безопасности будет иметь приобретение или развертывание того или иного продукта. Добавьте к этому злонамеренных инсайдеров, и риски значительно возрастут. Следует периодически рассматривать влияние цепочки поставок на бизнес и привносимые ею риски. Необходимо усилить политики и процедуры в отношении приносимого сотрудниками ПО, а также используемые ими при регистрации пароли; с самого начала следует анализировать влияние каждого нового поставщика на безопасность.
Внешние угрозы. Киберпреступность, спонсируемый государством шпионаж, хактивизм и постоянные атаки на важнейшие системы инфраструктуры в реальном мире — список растет быстрее, чем ваши ИТ-ресурсы. Предприятиям следовало бы применить метод, используемый правительствами — единый ситуационно обусловленный подход, при котором заранее создаются инструменты для мониторинга, выявления и устранения проблемных зон в реальном времени. Сотрудничество и обмен информацией об атаках с заслуживающими доверия правоохранительными органами и партнерами по бизнесу помогут снизить риск, создаваемый внешними угрозами.
Угрозы со стороны регулирующих органов. Соблюдение требований регуляторов, выполнение предписаний, расширяющееся сотрудничество частного и государственного секторов, раскрытие информации о принимаемых мерах защиты — всем этим следует управлять в рамках управления информационной безопасностью и подготовки отчетов. Необходимо заготовить и протестировать процедуры реагирования на инциденты. Кроме того, ужесточите предъявляемые к партнерам требования в области безопасности.
Программа киберустойчивости
Сегодня организации действуют в мире, который становится все более кибернетическим, и с рисками, исходящими из киберпространства, традиционное управление уже не справляется. Для создания киберустойчивости на базе заблаговременной готовности необходимо расширить управление корпоративными рисками. Организации не могут в одинаковой степени контролировать возникающие риски безопасности, от киберугроз до угроз со стороны инсайдеров.
Всеобъемлющая программа кибербезопасности использует отраслевые стандарты и передовой опыт для защиты систем и выявления потенциальных проблем, а также собирает информацию об актуальных угрозах и позволяет своевременно реагировать и восстанавливать работоспособность. Использование подхода на основе устойчивости при применении стандартов и практики обеспечения кибербезопасности открывает возможности для более полного и экономичного управления кибер-рисками, чем одно только соблюдение требований регуляторов.
Киберустойчивость означает стабильность и успех организации, даже если она подверглась практически неизбежной атаке. Используя реалистичный, широкий, основанный на сотрудничестве подход к кибербезопасности и киберустойчивости, правительственные органы, регуляторы, старшие руководители компаний и специалисты по информационной безопасности сумеют понять истинную природу киберугроз и реагировать на них быстро и адекватно.
