Кто тут главный по безопасности?
А еще должен быть конкретный человек, за эту безопасность отвечающий. Насквозь компьютеризированный XXI век ничего в этих правилах не поменял
Зависимость современного бизнеса в любой сфере от компьютерных технологий за последние 30 лет выросла от нуля до 100%. IT-системы колоссально повысили эффективность нашей работы. Но они же стали и слабым местом, точкой уязвимости для бизнеса, который вдруг почувствовал свою уязвимость как перед хакерами, ломающими сеть фирмы ради развлечения или наживы, так и перед собственными сотрудниками, которые могут на простой флешке унести сколь угодно большую базу данных. Ну, или, почувствовав себя обиженными, запустить разрушительный вирус в корпоративную сеть либо уничтожить важные файлы.
Подобные инциденты могут уничтожить не только молодой бизнес, но и крупные компании с многолетним опытом работы, если их опыта оказалось недостаточно, чтобы позаботиться о собственной информбезопасности. Едва ли не более всех прочих в защите от киберугроз заинтересованы страховщики, ведь это им в случае чего придется покрывать колоссальных размеров потери, которые всегда выглядят впечатляюще как в глобальных масштабах, так и в масштабе страны.
Неудивительно, что именно специалисты страхового рынка Lloyd's of London попытались спрогнозировать масштаб экономических потерь от возможных глобальных кибератак при нескольких сценариях. По их оценкам, при единственной атаке на провайдеров и их клиентов, которая приведет к перебоям в работе предприятий, мировая экономика может потерять как минимум $4,6 млрд. Если речь идет о крупной атаке, этот показатель может составить $53,1 млрд. Если кибератака продлится долго и будут поражены сети многих организаций, то ущерб может достигнуть $121,4 млрд. А это, к слову, больше, чем ВВП всей Украины!
По оценке страховщиков, компании во всем мире еще в 2016 г. из-за кибератак потеряли около $450 млрд. И эта цифра с каждым годом удваивается. При этом страховщики признают, что сами они покрывают только от 7 до 17% потерь компаний от инцидентов с IT-безопасностью. Но поскольку киберугроза растет, спрос на киберстрахование увеличивается. Команда Lloyd's оценивает глобальный рынок киберстрахования в $3-3,5 млрд.
Все это обсуждалось недавно в Роттердаме на международной конференции ASIS Europe, слоганом которой стало From risk to resilience ("От рисков к устойчивости и выживанию"). Там о насущных проблемах говорили представители служб безопасности ведущих мировых компаний (Amazon, Mastercard, Radisson HotelGroup, Tesla, Facebook, Volkswagen и др.). Присутствовала на ASIS Europe и украинская делегация, включая гендиректора Nota Group, главу комитета корпоративной безопасности группы компаний "Октава" и члена правления Ассоциации профессионалов корпоративной безопасности Татьяну Андрианову.
Три дня эксперты со всего мира обсуждали, как на практике защитить людей, информацию, продукты и свое имущество, не отступая от деловых и культурных целей компании. А также самые актуальные тренды киберзащиты: защиту персональных данных GDPR, угрозы для бизнеса через социальные сети и медиа, защиту мобильных устройств от взлома и шпионажа и даже Burnout (выгорание) представителей служб безопасности.
И вот один из главных выводов, сделанных участниками конференции: с огромным количеством современных киберугроз разрозненные специалисты справиться не в состоянии. Чтобы защита была комплексной и надежной, в организации должен быть сотрудник, отвечающий за все аспекты информбезопасности, организующий и сопровождающий работу всех систем IT-защиты.
Об этом говорит и Александр Кардаков, основатель компании "Октава Киберзахист": "В Европе на предприятиях есть должность главного менеджера по информационной безопасности - CISO (Chief Information Security Officer). В Украине такую должность можно найти менее чем в 5% компаний. Все знают, кто такой директор по безопасности, или IТ-директор. Но термин CISO для большинства звучит скорее как ругательство".
Действительно, в украинском бизнесе практически нет профильных менеджеров, отвечающих за кибербезопасность. Хотя на том же LinkedIn немало профилей украинских специалистов, в которых упоминается позиция CISO. Но по большей части такие специалисты работают в международных компаниях.
CISO - это главный менеджер по информационной безопасности, который работает на уровне топ-менеджмента и обеспечивает связь между двумя задачами: обеспечением кибербезопасности и достижением целей бизнеса. CISO не должен ограничиваться сугубо прикладной защитой IТ-инфраструктуры. Его задача - обеспечение непрерывности бизнеса, создание условий для его безопасного роста. CISO обязан мыслить категориями решения бизнес-задач, разумеется, в разрезе информационной безопасности.
Как видим, груз ответственности CISO на голову выше, чем у обычного специалиста по информационной безопасности, и далеко не все его способны потянуть. После памятной атаки вируса "Петя" все было озаботились вопросом кибербезопасности, но потом эта активность снова сошла на нет. В итоге сегодня у нас по-прежнему зачастую нет ответственного за решение таких задач на уровне всей организации, а значит, и спросить не с кого. Чтобы избежать беды, нужно менять устаревшие взгляды, воспитывать кадры. Тогда будет и кому задачу поставить, и с кого спрашивать за ее выполнение.