Диджиталізація, що прискорилася, змушує нас переосмислити підходи до кібербезпеки. Як саме?

За останні п’ять років кількість кіберзлочинів в Україні зросла вдвічі. Перехід на дистанційні формати праці і тренд диджиталізації створюють умови для зростання числа таких злочинів, а управління кіберризиками стало інструментом виживання бізнесу.

І хоч багато українських компаній роблять певні зусилля для захисту своїх даних і систем, — часто вони не готові до кібератак. У деяких випадках стратегія з кібербезпеки зводиться до закупівлі великої кількості програмного й апаратного забезпечення. Але без комплексного підходу ці інструменти стають практично безкорисними, створюють хибне відчуття безпеки й тим самим тільки збільшують ймовірність того, що атака хакерів залишиться непоміченою.

Уявна безпека. Типові помилки бізнесу

1. Функція кібербезпеки не представлена на рівні топ-менеджменту. У багатьох компаніях за цей напрямок відповідає або IT-директор або начальник служби з економічної безпеки. Вони можуть бути хорошими фахівцями, але їм не вистачає стратегічного бачення і знань, щоб дати керівництву розуміння бізнес-наслідків компрометації тих чи інших систем. А отже вони не можуть відстояти необхідні рішення в області кібербезпеки і ефективно захистити відповідні плани перед правлінням компанії.
2. Відсутність інтеграції функції кібербезпеки з іншими службами. Перш за все, з IT і службою внутрішнього аудиту. У такому випадку відповідальний за кібербезпеку відділ має повідомляти про погрози, але через розрізненість усієї системи управління не може ефективно захистити бізнес. 
3. Недостатня кількість компетентного персоналу. В основному сектор кібербезпеки в компаніях представлений двома-трьома співробітниками, а іноді й однією людиною. Цього недостатньо для виконання всіх функцій, особливо якщо мова йде про велику компанію або банк.

Щит від ризиків. Як його створити?

Головне завдання компанії в області кібербезпеки полягає не стільки в конкретному подоланні вже виявлених загроз, скільки в готовності до таких інцидентів у принципі.

У цьому випадку, навіть ставши жертвою кібернападу, бізнес зможе зберегти репутацію, клієнтів і свої позиції на ринку. 

Наприклад, один із найбільших операторів з управління мережами готелів, компанія Marriott International, у 2014 ­- 2020 роках зіткнулася із серією крадіжок даних клієнтів, паспортних та кредитних карт. Але завдяки належному реагуванню Наприклад, один із найбільших операторів з управління мережами готелів, компанія Marriott International, у 2014 ­- 2020 роках зіткнулася із серією крадіжок даних клієнтів, паспортних та кредитних карт. Але завдяки належному реагуванню відповідальних осіб, клієнти продовжували зупинятися в цих готелях навіть попри а цей ризик.

Уміння ефективно відбивати кіберзагрози ми називаємо кіберстійкістю. Вона враховую 4 етапи: запобігання (наприклад, складні паролі, двофакторна аутентифікація тощо); підготовка (наявність чіткого плану з подолання кризи та мінімізації ризиків); відповідь (реакція, реалізація плану дій на інцидент) і відновлення (повернення працездатності підприємства). В українських реаліях до цих етапів також необхідно додати адаптивну модель кібербезпеки: не статичний план дій, а постійно оновлюваний відповідно до нових ризиків та загроз, які необхідно відстежувати.

Щоб протестувати готовність вашого бізнесу до можливих кіберзагроз, спробуйте відповісти на декілька простих запитань:

Чи визнаємо ми постійний дефіцит безпеки?

Сьогодні практично неможливо забезпечити 100% захист від кіберзагроз. У корпоративному світі безпека — це завжди тонка межа між підтримкою безпеки на високому рівні та необхідністю догодити цілій низці підрозділів, які можуть чинити опір певним процедурам.

Чи узгоджена стратегія кібербезпеки з цілями нашого бізнесу? Наскільки ми довіряємо нашій цифрової аутентифікації?

Баланс між безпекою та зручністю для користувачів допомагає зберегти довіру й утримувати клієнтів. Сьогодні компанії все частіше використовують так звані «фьюжн» центри або сучасну версію центрів забезпечення інформаційної безпеки. Вони базуються на аналізі та обробці величезних масивів даних як для запобігання інцидентів, так й для швидкого реагування на них, і при цьому зменшують непродуктивні витрати.

Наскільки наша команда відстежує зміни у сфері безпеки в нашій галузі? Необхідно постійно проводити дослідження існуючих технологій і впроваджувати зміни у ваш план кібербезпеки.

Як ми тестуємо нашу кібербезпеку? Іншими словами, чи проводимо ми симуляційні тести, які дозволяють перевірити нашу лінію оборони і виявити, чи є ризики невідповідності вимогам регулятора?

Наскільки активно ми впроваджуємо автоматизацію і хмарні технології? Чим краще збудовані всі процеси — тим менше ризику опинитися під загрозою кіберзлочину.

Раніше головним завданням служб безпеки був захист виробничого циклу як основи бізнесу. Тепер завдання полягає у тому, щоб бути готовими до всього. Це більш цілісний і сервісно-орієнтований підхід, при якому треба сфокусуватися на головному «стовпі» бізнесу — забезпеченні безперервності надання послуг. Врешті-решт це перехід від фокусування на окремих процесах до управління стійкістю всього підприємства.

Генадій Резніченко, експерт з кібербезпеки KPMG в Україні