Кибербезопасность выходит на первый план для руководителей крупнейших корпораций. Риск кибербезопасности, наряду с актуальными экологическими проблемами и проблемами цепочек поставок, рассматривается как главная угроза росту организаций в ближайшие три года. Согласно данным глобального опроса KPMG 2021 CEO Outlook, руководители все больше вкладывают средства во внедрение и развитие культуры кибербезопасности. Но возможно ли быть готовым противостоять любому киберинциденту?
Приоритет сегодняшнего дня
Еще пять лет назад кибербезопасность рассматривалась как сугубо «техническая проблема» для группы IT-специалистов, «сидящих в подвале». Но регулярно появляющиеся заголовки о сокрушительных кибератаках на компании и правительства в корне изменили ситуацию. Обеспечение устойчивости к киберугрозам является одним из основных приоритетов деятельности на ближайшие три года.
«Более 15 тысяч зафиксированных киберинцидентов произошли в Казахстане за 10 месяцев 2021 года. Это свидетельствует о явной проблематике в вопросах информационной безопасности на нашем локальном рынке. Увеличение запросов со стороны потенциальных клиентов показывает об аналогичном видении руководителей казахстанских компаний. Пандемия четко показала необходимость высокого уровня безопасности в условиях удаленной и гибридной работы. Команда кибербезопасности и информационных рисков группы технологического консультирования регулярно участвует в проектах по повышению и улучшению информационной защиты своих клиентов.» - рассказывает Дамир Еркин, менеджер Технологической практики KPMG в Центральной Азии.
79% респондентов считают информационную безопасность стратегической функцией и потенциальным источником конкурентного преимущества.
Источник: KPMG 2021 CEO Outlook Pulse Survey
Опрос показал, что половина организаций планирует сотрудничать со сторонними партнерами в сфере облачных технологий, а 42% будут иметь партнерские отношения с поставщиками данных. Готовность «аутсорсить» также указывает неотложный характер данного вопроса.
Разумная доза самокритики
Сегодня высшее руководство более критически подходит к вопросу своей готовности к таким угрозам. Например, доля участников опроса, которые заявили, что они «очень хорошо подготовлены» к возможным в будущем кибератакам, сократилась с 27% в 2019 году до 10% в 2021 году, а доля тех, кто считает себя «хорошо подготовленными», за тот же период снизилась с 68% до 58%. Такая тенденция, возможно, отражает возрастающее осознание руководством того, что кибербезопасность требует постоянного пристального внимания, а не разовой инвестиции.
Респонденты также принимают во внимание возможные проблемы, связанные с атаками программ-вымогателей: хотя 57% респондентов заявили, что у них «есть план по решению проблемы атак программ-вымогателей», только 8% полностью согласны с этим утверждением, а 11% честно признали, что не имеют такого плана. «Цифровое доверие» заинтересованных сторон становится ключевым движущим фактором здоровья бренда и будущего роста организации.
Руководители понимают последствия бездействия
Переходим к делу
Почти половина участников опроса (46%) заявили, что в предстоящие три года они либо сосредоточатся на совершенствовании своих навыков в области кибербезопасности, либо усилят управление операционной устойчивостью и способностью восстанавливаться после серьезных инцидентов.
Источник: KPMG 2021 CEO Outlook Pulse Survey
Компании начали понимать, что никто не может действовать в одиночку. На самом деле, подход, предполагающий более широкое участие профессионального сообщества, может привести к масштабному сотрудничеству с аналогичными компаниями в отрасли и с правоохранительными структурами.
Можно надеяться, что это приведет к раскрытию корпорациями информации о киберинцидентах, а не просто оплате выкупа, который требуют программы-вымогатели. В течение многих лет мы наблюдаем за впечатляющими результатами обмена оперативными данными и сотрудничества в банковском секторе. Теперь и другие отрасли экономики демонстрируют большую открытость в данном вопросе, начиная от компаний технологического и телекоммуникационного секторов, заканчивая компаниями нефтегазовой отрасли и предприятиями коммунального хозяйства.
Внедрение киберкультуры
81% опрошенных считают, что «формирование культуры кибербезопасности не менее важно, чем создание систем контроля управления технологическими процессами». Это является переломным моментом, поскольку теперь мы знаем, что нецелесообразно полагаться на центральную группу по кибербезопасности для того, чтобы обеспечить защиту в качестве ответной меры реагирования на все уязвимости в продуктах, каналах, системах и инфраструктуре компании.
Вместо этого, представьте себе такую организационную структуру, в которой все руководители и ответственные лица компаний разделяют ответственность за достижение устойчивости к угрозам кибербезопасности, и защитные меры встроены в процесс разработки таким образом, что новые продукты, услуги и взаимосвязанность основаны на концепции «secure by design», а не модернизированы лихорадочно с целью устранения каждого пробела в системе безопасности.
Мы видим применение такой передовой практики в ведущих отраслях, где роль руководителей отделов информационной безопасности (CISO) больше не ограничивается просто информированием руководителей компаний о проблемах кибербезопасности. Наоборот, они интернализируют данные ценности в каждом функциональном подразделении, включая в их состав специальных сотрудников - Специалистов по безопасности бизнес-информации (или аналогично именуемых сотрудников отдела), которые внедряют соответствующие практики в повседневный процесс принятия бизнес-решений, опираясь при этом на централизованные руководство по безопасности, ресурсам и процессам.
Однако, давайте будем честными, для достижения этих целей предстоит сделать гораздо больше: только 19% респондентов, участвовавших в опросе, заявили, что «они планируют внедрить принципы безопасности и устойчивости в проектное решение будущих систем и услуг» для снижения цифровых рисков.
От призрачного врага к бизнес-реальности
Во многих отношениях упомянутые выше шаги касаются «новой интерпретации» технологической проблемы в качестве ответа бизнеса на любую угрозу со стороны конкурентов. Необходимо собрать информацию о конкуренте, определить его слабые стороны, развивать свои преимущества, искать способы «подрыва» бизнес-модели указанного конкурента и самому постоянно совершенствоваться.
Рассматривая киберугрозы под таким углом, руководители компаний смогут понять, что сегодняшние киберпреступники — это не «призрачный враг», а очередные конкуренты в бизнесе, пусть и вышедшие из мира организованной преступности. По существу — это еще один умный и искушенный конкурент, стремящийся получить доход от своих инвестиции за счет вашей компании.
Приняв такой образ мышления, руководители компаний смогут обрести необходимую уверенность для борьбы с данной конкурентной угрозой, опираясь на более стратегически выверенный и комплексный подход. Организации действительно готовы победить свои страхи, найти собственный «фундамент безопасности» и управлять постоянно растущими рисками кибербезопасности.