<<
>>

Специальная вставка Киберриски[16]

Десять лет назад сложно было найти компанию, совет директоров которой активно обсуждал бы киберриски, если только эта компания сама не стала жертвой успешной атаки, получившей широкую огласку.

В 2008 году исследовательский институт Cylab Университета Карнеги – Меллона провел опрос, показавший, что 77 % членов советов директоров организаций США редко или никогда не получали от старшего менеджмента отчетов о рисках безопасности и конфиденциальности. Что касается ресурсов, ролей или регулятивных мер высшего уровня, необходимых для обеспечения кибербезопасности, более 80 % членов советов директоров редко или никогда их не обсуждали{110}.

Однако в 2015 году опрос 200 директоров, проведенный Нью-Йоркской фондовой биржей, показал, что после ряда громких инцидентов вопросы кибербезопасности стали рассматриваться на повестке дня гораздо чаще. 80 % респондентов сообщили, что киберриски обсуждаются на большинстве или на всех собраниях совета директоров, чаще всего встают вопросы об ущербе репутации бренда, о корпоративном шпионаже и о расходах на урегулирование инцидентов{111}.

Правительственные организации тоже подвергаются большому риску, связанному с преступными или вредоносными атаками на цифровые системы. После того как восемь стран ОЭСР в 2009–2011 годах разработали правительственные требования к управлению киберрисками, кибербезопасность стала «приоритетом национальной политики, поддерживаемым более сильным руководством», о чем было сообщено в докладе ОЭСР в 2012 году{112}. С тех пор осведомленность правительственных органов о киберрисках увеличилась, что привело к усилению беспокойства о безопасности национальных инфраструктур и защите от иностранного влияния на демократические процессы. А в условиях ужесточения законов, ограничивающих гражданское общество, и поляризации политических сил общественные организации уделяют все больше внимания уязвимости перед кибератаками.

Впрочем, исследования Всемирного экономического форума показывают, что, хотя осведомленность о киберрисках возросла, многие организации далеки от адекватной оснащенности инструментами для управления киберрисками, а передовая практика в этой области «еще не стала частью стандартного набора компетенций членов совета директоров»{113}.

Ликвидировать разрыв между осведомленностью и способностью реагировать – критически важная задача как для отдельных людей, так и для коммерческих, правительственных и общественных организаций.

Киберриски быстро становятся все более серьезными по мере того, как три взаимосвязанные тенденции расширяют сферу влияния цифровых технологий. Во-первых, число пользователей Интернета по всему миру с 2000 года выросло почти на 1000 %{114}. С 2018 по 2020 год прогнозируется добавление еще 300 млн пользователей{115}. Наверно, еще более важная тенденция – увеличение числа устройств, подключенных к Интернету. По некоторым оценкам, в 2017 году к глобальным цифровым сетям было подключено 20 млрд телефонов, компьютеров, датчиков и других устройств, а к 2020 году, по прогнозам IHS Markit, их станет еще на 10 млрд больше. В-третьих, с ростом числа пользователей и увеличением интенсивности использования цифровых систем объемы создаваемых, обрабатываемых и передаваемых цифровых данных растут экспоненциально. Компания IDC, занимающаяся анализом рынков, прогнозирует десятикратное увеличение «глобальной датасферы» с 2017 по 2025 год – ежегодный прирост составит 30 %{116}.

Увеличение числа пользователей, объектов и данных приведет к усилению зависимости от цифровых систем. Как отметили аналитики из IDC, цифровые данные и операции быстро перестают быть фоном и становятся «критически важными для жизни общества и отдельных людей». Поэтому все более важной и все более сложной задачей становится обеспечение работы этих систем в соответствии с изначально заложенным предназначением.

Чтобы эффективно реагировать на киберриски, мы предлагаем четыре стратегии, позволяющие изменить подход к восприятию угроз и требующие соответствующих вложений.

1. Переопределите цель: от кибербезопасности к киберустойчивости.

Самое главное, чтобы люди и организации думали не только об обеспечении безопасности периметра ИТ-систем, на котором обычно сконцентрирована концепция кибербезопасности. Мы должны изменить образ мышления и учитывать также взаимозависимость и устойчивость, чтобы подготовиться к разным вариантам развития событий, при которых киберриски могут возникать и влиять на работу систем. В этом контексте киберустойчивость можно считать способностью систем и организаций противостоять киберсобытиям, которая измеряется временем работы на отказ, сложенным со временем на восстановление{117}.

Как показано на рис. 15, киберриски распространяются и на ресурсы, и на ценности и возникают на пересечении угроз с уязвимостями. Поэтому киберустойчивость – стратегически важный вопрос, который необходимо учитывать в комплексных бизнес-моделях и при выполнении всех операций.

Киберустойчивость также расширяет временны?е рамки для подготовки к неизбежным кибератакам. Чтобы отойти от подхода, основанного на защите периметра, необходимо тщательно и заранее продумать действия, которые должны выполняться до, во время и после кибератаки, в частности определить, кого следует информировать внутри и вне организации.

Рисунок 15. Инфраструктура киберрисков

Источник: Всемирный экономический форум

Если рассматривать системы, связанные с данными, а не с цифровыми операциями, то организации и отдельные люди должны обладать устойчивостью как минимум к следующим трем киберрискам: конфиденциальность данных, их целостность и постоянная доступность, необходимая для непрерывной поддержки бизнес-операций. Хотя утечка информации в результате кражи данных – наиболее обсуждаемый киберриск, все чаще встречаются атаки, направленные на нарушение доступности систем или данных, сопровождающиеся удалением информации или требованием выкупа, как в случае с шифровальщиком WannaCry, поразившим инфраструктуру службы здравоохранения Великобритании в мае 2017 года.

Не меньшее беспокойство вызывает и возможность компрометации или изменения данных и крупных систем.

Ситуация еще больше усложняется, если учитывать интеграцию данных с цифровыми операциями и подключенными цифровыми системами, управляющими инфраструктурой или выполняющими действия в материальном мире. В таких случаях необходимо предусматривать риск потери управления важнейшими функциями системы, от которых могут зависеть жизни людей. Например, в 2015 году хакеры показали возможность удаленного перехвата управления трансмиссией и тормозами автомобиля Jeep Cherokee{118}. Еще одна сложность заключается в том, что подключенные системы могут создавать новые каналы для вторжения в другие аспекты функционирования этих систем или бизнеса. Один из примеров – взлом в 2013 году платежных систем компании Target, имеющей в США сеть магазинов розничной торговли, который начался с кражи учетных данных, предоставленных субподрядчикам, обслуживающим системы отопления и кондиционирования воздуха, используемые компанией{119}.

2. Переопределите противника: от хакеров к криминальным организациям.

В массовой культуре, а потому и в представлении большинства людей укоренился образ хакера-одиночки, пытающегося проникнуть в защищенную систему в поисках славы или мести. Однако такая картина не соответствует тому, что в действительности происходит сегодня в сфере киберугроз.

Хотя одаренные хакеры-одиночки, несомненно, существуют, более распространены и опасны талантливые люди, входящие в организованные преступные организации, у которых расходы на подбор кадров, исследования и проведение операций значительно превосходят ресурсы, выделенные их жертвами на защиту. Кроме того, эти организации сосредоточивают усилия на получении финансовой выгоды посредством проведения атак: это может быть требование у компаний выкупа, продажа данных или способов проникновения в систему или использование взломанных систем для выполнения других действий, выгодных атакующим или их клиентам.

Поэтому важно изменить распространенное представление об источниках киберугроз в соответствии с действительным положением дел: это хорошо финансируемые и мотивированные злоумышленники, применяющие новейшие методы и оборудование, действующие системно и постоянно.

3. Переопределите векторы атак: от эксплуатации технических особенностей к человеческому поведению.

Неотъемлемая черта образа хакера-одиночки – его умение использовать технические средства для удаленного обхода систем безопасности. Такая картина создает впечатление, что основной линией обороны от кибератак должны быть ИТ-отдел и установленные им технические барьеры, такие как межсетевые экраны и надежные пароли.

Однако самый простой способ получить доступ к безопасной системе – просто попросить. Около 97 % вредоносных атак основаны на обмане пользователей, чтобы те сами предоставили доступ к своим системам, и лишь 3 % нацелены на эксплуатацию технических недостатков. Более 84 % хакеров используют социальную инженерию в качестве основной стратегии проникновения в системы{120}. Эта статистика отчасти объясняет тот факт, что многие взломы остаются незамеченными в течение длительного времени. Крис Пог (Chris Pogue), директор по информационной безопасности компании Nuix, утверждает, что для обнаружения утечки данных требуется в среднем 250–300 дней{121}.

Если учесть, что угрозы и уязвимости существуют как внутри, так и вне организации, управление киберрисками становится делом всех сотрудников. В свою очередь, меняются и стратегии реагирования. Теперь необходимо обучать персонал тому, как избегать фишинга и других атак с применением методов социальной инженерии, использовать средства защиты конечных точек для ограничения доступа и развертывать системы обнаружения аномального поведения пользователей и подозрительной сетевой активности.

4. Киберустойчивость как общая задача: от индивидуальных рисков к коллективным, распространяющимся на разные индустрии и организации.

На устойчивость влияют как особенности отдельных людей и организаций, так и эффекты системного уровня. По мере того как мир становится все более взаимосвязанным, киберриски становятся по-настоящему системными. Системные риски возникают не просто из-за возможности передачи вирусов между компаниями и государствами, а в результате повсеместной зависимости от данных и глобальных служб, на которые опирается мировая торговля, безопасность, финансовая и транспортная системы.

И наоборот, существует важная возможность для выработки более многостороннего и межобщинного подхода к усилению устойчивости к киберрискам. Более регулярный обмен важной информацией о киберактивности и атаках между индустриями и секторами экономики, а также между правительствами, бизнесом и гражданским обществом позволит быстрее реагировать на атаки и снизить риск их распространения. Учитывая нехватку специалистов, обладающих стратегическими и практическими навыками, необходимыми для обеспечения киберустойчивости, повсеместные инвестиции в развитие этих навыков благоприятно отразятся на ситуации во всех секторах экономики.

Мы постоянно прилагаем усилия для поддержания международного многостороннего диалога о киберустойчивости. Так, под эгидой Всемирного экономического форума в Женеве создается Международный киберцентр (Global Cyber Centre) – государственно-частная платформа для усиления киберустойчивости по всему миру. Другие примеры: Международный центр Интерпола по инновациям, начавший в Сингапуре работу по созданию платформы для обмена информацией, объединенная целевая группа Европола по противодействию киберпреступлениям и национальные инициативы, такие как партнерство по обмену информацией в области кибербезопасности (CiSP), созданное в Великобритании для повышения осведомленности британских организаций о киберугрозах. Однако для организации взаимодействия между разными индустриями и странами необходимо преодолеть недоверие между государственным и частным сектором, а также между государствами, не желающими делиться информацией о своих киберинструментах для атаки и защиты.

Это барьеры, которые необходимо преодолеть. Масштаб киберугроз в мире, зависящем от «жизненно важных» цифровых систем, требует инвестиций и действий на всех уровнях, от индивидуального образования и выработки нового поведения до организационных инвестиций, от принятия советами директоров новой ответственности до внутригосударственного и международного сотрудничества и выработки более гибких моделей управления.

<< | >>
Источник: Клаус Шваб, Николас Дэвис. Технологии Четвертой промышленной революции. 2018

Еще по теме Специальная вставка Киберриски[16]:

  1. Учет специального имущества (специального инструмента, специальных приспособлений, специального оборудования и специальной одежды)
  2. Динамическая вставка ключевых слов и фраз в целевую страницу
  3. Динамическая вставка ключевых слов и фраз в рекламное объявление
  4. Особенности учета специальных инструментов, приспособлений, оборудований и специальной одежды
  5. Специальные области аудита. 6.1.1. Отчет аудитора по специальным аудиторским заданиям
  6. Специальные программы отложенных выплат. Что такое специальные программы отложенных выплат и в чем их преимущества
  7. Специальные события
  8. Специальными счетами
  9. Счет 55 «Специальные счета в банках
  10. Условия предоставления специальных премий
  11. Специальные бюджетные фонды
  12. ОСНОВНЫЕ СПЕЦИАЛЬНОСТИ И УРОВНИ ОБРАЗОВАНИЯ
  13. Специальные налоговоправовые режимы в регулировании налоговых отношений
  14. Обучение специальности РR
  15. Специальные отчеты и доклады
  16. 11.5. Аудиторское заключение специального назначения
  17. Проблемы разработки специальных премиальных систем
  18. 7.4. Учет операций на специальных счетах и переводов в пути
  19. 7.4. Учет операций на специальных счетах и переводов в пути
  20. 7.4. Учет операций на специальных счетах и переводов в пути