Хто тут головний безпеки?
А ще повинен бути конкретна людина, за цю безпеку відповідає. Наскрізь комп'ютеризований XXI століття нічого в цих правилах не поміняв
Залежність сучасного бізнесу в будь-якій сфері від комп'ютерних технологій за останні 30 років зросла від нуля до 100%. IT-системи колосально підвищили ефективність нашої роботи. Але вони ж стали і слабким місцем, точкою вразливості для бізнесу, який раптом відчув свою вразливість перед хакерами, ломающими мережа фірми заради розваги або наживи, так і перед власними працівниками, які можуть на простий флешці унести як завгодно велику базу даних. Ну, або, відчувши себе ображеними, запустити руйнівний вірус в корпоративну мережу або знищити важливі файли.
Подібні інциденти можуть знищити не тільки молодий бізнес, але і великі компанії з багаторічним досвідом роботи, якщо їх досвіду виявилося недостатньо, щоб подбати про власну інформбезпеці. Навряд чи не більше всіх інших захисту від кіберзагроз зацікавлені страховики, адже це їм в разі чого доведеться покривати колосальних розмірів втрати, які завжди виглядають вражаюче, як в глобальних масштабах, так і в масштабі країни.
Не дивно, що саме фахівці страхового ринку lloyd's of London спробували спрогнозувати масштаб економічних втрат від можливих глобальних кібератак при декількох сценаріях. За їх оцінками, при єдиній атаці на провайдерів та їх клієнтів, що призведе до перебоїв у роботі підприємств, світова економіка може втратити як мінімум $4,6 млрд. Якщо мова йде про велику атаці, цей показник може скласти $53,1 млрд. Якщо кібератака триватиме довго і будуть вражені мережі багатьох організацій, то збиток може досягти $121,4 млрд. А це, до речі, більше, ніж ВВП всієї України!
За оцінками страховиків, компанії в усьому світі ще в 2016 р. за кібератак втратили близько $450 млрд. І ця цифра з кожним роком збільшується. При цьому страховики визнають, що самі вони покривають лише від 7 до 17% втрат компаній від інцидентів з IT-безпекою. Але оскільки киберугроза зростає, попит на киберстрахование збільшується. Команда lloyd's оцінює глобальний ринок киберстрахования $3-3,5 млрд.
Все це обговорювалося нещодавно в Роттердамі на міжнародній конференції ASIS Europe, слоганом якої стало From risk to resilience ("Від ризиків до стійкості і виживання"). Там про насущні проблеми говорили представники служб безпеки провідних світових компаній (Amazon, Mastercard, Radisson HotelGroup, Tesla, Facebook, Volkswagen та ін). Була присутня на ASIS Europe і українська делегація, включаючи гендиректора Nota Group, голову комітету корпоративної безпеки групи компаній "Октава" та члена правління Асоціації професіоналів корпоративної безпеки Тетяну Andrianovu.
Три дні експерти з усього світу обговорювали, як на практиці захистити людей, інформацію, продукти і своє майно, не відступаючи від ділових і культурних цілей компанії. А також найактуальніші тренди кібернетичного захисту: захист персональних даних GDPR, загрози для бізнесу через соціальні мережі та медіа, захист мобільних пристроїв від злому і шпигунства і навіть Burnout (вигоряння) представників служб безпеки.
І ось один з головних висновків, зроблених учасниками конференції: з величезною кількістю сучасних кіберзагроз розрізнені фахівці впоратися не в змозі. Щоб захист була комплексною і надійною, в організації повинен бути співробітник, що відповідає за всі аспекти інформбезпеці, організовує та супроводжує роботу всіх систем IT-захисту.
Про це говорить і Олександр Кардаков, засновник компанії "Октава Киберзахист": "У Європі на підприємствах є посада головного менеджера з інформаційної безпеки - CISO (Chief Information Security Officer). В Україні таку посаду можна знайти менш ніж у 5% компаній. Всі знають, хто такий директор з безпеки, або ІТ-директор. Але термін CISO для більшості звучить скоріше як лайка".
Дійсно, в українському бізнесі практично немає профільних менеджерів, відповідальних за кібербезпеку. Хоча на тому ж LinkedIn чимало профілів українських фахівців, у яких згадується позиція CISO. Але здебільшого такі фахівці працюють в міжнародних компаніях.
CISO - це головний менеджер з інформаційної безпеки, який працює на рівні топ-менеджменту та забезпечує зв'язок між двома задачами: забезпеченням кібербезпеки і досягненням цілей бізнесу. CISO не повинен обмежуватися суто прикладної захистом ІТ-інфраструктури. Його завдання - забезпечення безперервності бізнесу, створення умов для його безпечного зростання. CISO зобов'язаний мислити категоріями вирішення бізнес-завдань, зрозуміло, в розрізі інформаційної безпеки.
Як бачимо, тягар відповідальності CISO на голову вище, ніж у звичайного фахівця з інформаційної безпеки, і далеко не всі здатні потягнути. Після пам'ятної атаки вірусу "Петя" все було стурбовані питанням кібербезпеки, але потім ця активність знову зійшла на немає. В підсумку сьогодні у нас часто немає відповідального за вирішення таких завдань на рівні всієї організації, а значить, і спитати нема з кого. Щоб уникнути біди, потрібно міняти застарілі погляди, виховувати кадри. Тоді буде і кому поставити завдання, і з кого питати за її виконання.