Для тех,
кто не делает
поспешных выводов

Кто тут главный по безопасности?

Четверг, 25 Апреля 2019, 07:55
Простое правило, которое сопровождает человечество всю его историю, - затраты на безопасность должны быть эквивалентны масштабу возможных потерь

Александр Кардаков, основатель компании «Октава Киберзахист»

А еще должен быть конкретный человек, за эту безопасность отвечающий. Насквозь компьютеризированный XXI век ничего в этих правилах не поменял

Зависимость современного бизнеса в любой сфере от компьютерных технологий за последние 30 лет выросла от нуля до 100%. IT-системы колоссально повысили эффективность нашей работы. Но они же стали и слабым местом, точкой уязвимости для бизнеса, который вдруг почувствовал свою уязвимость как перед хакерами, ломающими сеть фирмы ради развлечения или наживы, так и перед собственными сотрудниками, которые могут на простой флешке унести сколь угодно большую базу данных. Ну, или, почувствовав себя обиженными, запустить разрушительный вирус в корпоративную сеть либо уничтожить важные файлы.

Подобные инциденты могут уничтожить не только молодой бизнес, но и крупные компании с многолетним опытом работы, если их опыта оказалось недостаточно, чтобы позаботиться о собственной информбезопасности. Едва ли не более всех прочих в защите от киберугроз заинтересованы страховщики, ведь это им в случае чего придется покрывать колоссальных размеров потери, которые всегда выглядят впечатляюще как в глобальных масштабах, так и в масштабе страны.

Неудивительно, что именно специалисты страхового рынка Lloyd`s of London попытались спрогнозировать масштаб экономических потерь от возможных глобальных кибератак при нескольких сценариях. По их оценкам, при единственной атаке на провайдеров и их клиентов, которая приведет к перебоям в работе предприятий, мировая экономика может потерять как минимум $4,6 млрд. Если речь идет о крупной атаке, этот показатель может составить $53,1 млрд. Если кибератака продлится долго и будут поражены сети многих организаций, то ущерб может достигнуть $121,4 млрд. А это, к слову, больше, чем ВВП всей Украины!

По оценке страховщиков, компании во всем мире еще в 2016 г. из-за кибератак потеряли около $450 млрд. И эта цифра с каждым годом удваивается. При этом страховщики признают, что сами они покрывают только от 7 до 17% потерь компаний от инцидентов с IT-безопасностью. Но поскольку киберугроза растет, спрос на киберстрахование увеличивается. Команда Lloyd`s оценивает глобальный рынок киберстрахования в $3-3,5 млрд.

Все это обсуждалось недавно в Роттердаме на международной конференции ASIS Europe, слоганом которой стало From risk to resilience ("От рисков к устойчивости и выживанию"). Там о насущных проблемах говорили представители служб безопасности ведущих мировых компаний (Amazon, Mastercard, Radisson HotelGroup, Tesla, Facebook, Volkswagen и др.). Присутствовала на ASIS Europe и украинская делегация, включая гендиректора Nota Group, главу комитета корпоративной безопасности группы компаний "Октава" и члена правления Ассоциации профессионалов корпоративной безопасности Татьяну Андрианову.

Три дня эксперты со всего мира обсуждали, как на практике защитить людей, информацию, продукты и свое имущество, не отступая от деловых и культурных целей компании. А также самые актуальные тренды киберзащиты: защиту персональных данных GDPR, угрозы для бизнеса через социальные сети и медиа, защиту мобильных устройств от взлома и шпионажа и даже Burnout (выгорание) представителей служб безопасности.
И вот один из главных выводов, сделанных участниками конференции: с огромным количеством современных киберугроз разрозненные специалисты справиться не в состоянии. Чтобы защита была комплексной и надежной, в организации должен быть сотрудник, отвечающий за все аспекты информбезопасности, организующий и сопровождающий работу всех систем IT-защиты.

Об этом говорит и Александр Кардаков, основатель компании "Октава Киберзахист": "В Европе на предприятиях есть должность главного менеджера по информационной безопасности - CISO (Chief Information Security Officer). В Украине такую должность можно найти менее чем в 5% компаний. Все знают, кто такой директор по безопасности, или IТ-директор. Но термин CISO для большинства звучит скорее как ругательство".
Действительно, в украинском бизнесе практически нет профильных менеджеров, отвечающих за кибербезопасность. Хотя на том же LinkedIn немало профилей украинских специалистов, в которых упоминается позиция CISO. Но по большей части такие специалисты работают в международных компаниях.

CISO - это главный менеджер по информационной безопасности, который работает на уровне топ-менеджмента и обеспечивает связь между двумя задачами: обеспечением кибербезопасности и достижением целей бизнеса. CISO не должен ограничиваться сугубо прикладной защитой IТ-инфраструктуры. Его задача - обеспечение непрерывности бизнеса, создание условий для его безопасного роста. CISO обязан мыслить категориями решения бизнес-задач, разумеется, в разрезе информационной безопасности.

Как видим, груз ответственности CISO на голову выше, чем у обычного специалиста по информационной безопасности, и далеко не все его способны потянуть. После памятной атаки вируса "Петя" все было озаботились вопросом кибербезопасности, но потом эта активность снова сошла на нет. В итоге сегодня у нас по-прежнему зачастую нет ответственного за решение таких задач на уровне всей организации, а значит, и спросить не с кого. Чтобы избежать беды, нужно менять устаревшие взгляды, воспитывать кадры. Тогда будет и кому задачу поставить, и с кого спрашивать за ее выполнение.

Больше новостей о технологиях и научных разработках читайте в рубрике Техно