Команда консультаційних послуг у сфері цифровізації та кібербезпеки KPMG в Україні представила нову послугу для кількісної оцінки ризиків кібербезпеки. Методологія дозволяє клієнтам оцінити очікуваний рівень збитків компанії від різноманітних кібератак, дає змогу змоделювати вплив від реалізації проєктів у сфері кібербезпеки, допомагаючи вибрати такі заходи захисту, які матимуть найбільший ефект. Крім того, завдяки новому онлайн-інструменту Cyber Risk Insights тепер ще й можна суттєво автоматизувати ці процеси. 

Інструмент кількісної оцінки кіберризиків необхідний правлінням та наглядовим радам великих організацій для пріоритезації інвестицій в кібербезпеку, регуляторам, уряду та донорам для порівняння кіберризиків об’єктів критичної інфраструктури і відповідної пріоритезації коштів.

Методологія ґрунтується на детальному моделюванні збитків, що можуть виникнути в результаті реалізації найбільш типових сценаріїв кібератак, як-от компрометація електронної пошти, витік інформації через дії інсайдера, атака програм-шифрувальників, атака на постачальників хмарних сервісів тощо. Вона також включає оцінку ефективності заходів захисту компанії. Серед таких заходів є технічні заходи, зокрема антивірусне програмне забезпечення та засоби моніторингу та виявлення вторгнень, так і організаційні заходи, включаючи процеси управління оновленнями, менеджменту вразливостей та навчання співробітників з питань кібербезпеки. 

В основі методології лежить Mitre Attack Framework, що надає детальний опис основних типів кібератак, їхніх стадій — від первинного проникнення до закріплення та подальшого просування всередині інфраструктури, а також описує контролі та контрзаходи безпеки для ефективної протидії зловмисникам на кожному етапі. 

Реалізація проєкту триває близько 3-4 тижнів та охоплює такі ключові стадії:

  1. Діагностика безпеки компанії, під час якої технічна команда консультантів KPMG в Україні співпрацює з підрозділами ІТ та кібербезпеки клієнта для оцінки зрілості процесів кіберзахисту. 

  2. Визначення можливих збитків — команда консультаційних послуг у сфері цифровізації та кібербезпеки KPMG в Україні разом з фінансовим підрозділом клієнта оцінює можливі фінансові втрати від кібератак, пов’язані з простоями бізнес-процесів, недоотриманим прибутком, можливими судовими позивами та штрафними санкціями, витратами на реагування на кібератаку, втратами долі ринку.

  3. Моделювання і представлення результатів, під час якого KPMG в Україні розраховує загальні очікувані збитки від кібератак, ідентифікує найбільш ймовірні та впливові сценарії атак, визначає організаційні та технічні заходи захисту, яких найбільше бракує та чиє впровадження принесе найбільшу користь. 

  4. Наприкінці проєкту проводиться ряд воркшопів з керівництвом, а за потреби і з наглядовою радою клієнта, для обговорення отриманих результатів та визначення стратегічних пріоритетів розвитку кібербезпеки. 

KPMG в Україні має успішний досвід застосування цієї методології для одного з найбільших банків в країні. 

Нижче представлено приклад дашборду з результатами оцінки та ефектами від інвестицій в окремі напрями кібербезпеки. 

infographic

Контакти для отримання додаткової інформації: 

Геннадій Резніченко —  заступник директора, напрям консультаційних послуг у сфері кібербезпеки, KPMG в Україні+38-050-444-75-25 greznichenko@kpmg.ua

Трансформація, якої вимагає сучасний світ
Цифрова трансформація та кібербезпека

Трансформація, якої вимагає сучасний світ.