Цифровое сообщество готовится отражать кибератаки

Несмотря на столь пристальное внимание, многие организации по-прежнему сталкиваются с трудностями в осознании новых рисков.

Дмитрий ОСТАПОВИЧ, Елена КРОШЕВА Агентство безопасности бизнеса

На сегодняшний день уже были зафиксированы единичные факты кибератак, вызвавших риски экологических катастроф. Вместе с тем, деструктивный потенциал кибератак становится все более очевиден, особенно в отношении геополитических угроз. Например, кибератака в Турции повлияла на работу сетей, используемых банками, средствами массовой информации и правительственными учреждениями страны.

Позднее в том же месяце впервые в результате кибератаки на электроэнергетическую систему были выведены из строя энергораспределительные системы на Украине, оставив без электричества 230 000 жителей. Данная атака также была нацелена на телефонную систему страны, что помешало потребителям сообщать о перебоях с электричеством и в результате затруднило усилия по восстановлению энергоснабжения.

Компьютеры многих компаний по всему миру поразила серия вирусов-шифровальщиков под названием WannaCry и Petya, которые вызвали операционные сбои и простои, как в цифровой, так и в операционной деятельности крупных компаний.

Топ-менеджеры по всему миру признают растущую опасность киберугроз. Руководители организаций, использующих системы автоматизации и роботизации, отмечают осознание значительности негативных последствий кибератак. В качестве основного возможного результата кибератаки 40 % участников опроса называют нарушение операционной деятельности.

Тем не менее, несмотря на существенно возросшую осведомленность и публичность фактических событий, а также последствий кибератак, многие компании по-прежнему не подготовлены к их реальному наступлению. Широкий спектр комментариев о киберугрозах, от откровенного преувеличения и создания мифа о киберармагеддоне до прямо противоположной позиции о будничном характере большинства кибератак, лишь создают информационный беспорядок и вводят руководство компаний в заблуждение.

Всеобщая киберзависимость — ключевой фактор глобального риска. Как было заявлено на Всемирном экономическом форуме (ВЭФ), растущая взаимная киберзависимость инфраструктурных сетей является одним из ключевых факторов риска в мировом масштабе. Кибератаки, дефекты программного обеспечения и другие факторы могут привести к системным сбоям, которые способны «каскадно распространяться по сетям, влияя на общество самым неожиданным образом».

Специалисты высказывают предположение о том, что общество стоит перед надвигающимся риском киберразрушения — в массовом масштабе и с летальными последствиями — ввиду уязвимости критически важной инфраструктуры. Как показали ситуационные исследования катастроф некибернетического характера, события, которые развиваются по каскадному принципу, обычно начинаются с нарушения энергоснабжения, что приводит к поражению ряда систем мгновенно или в течение суток. Таким образом, чаще всего на устранение исходной проблемы, прежде чем она распространится по каскадному принципу, имеется ничтожно малое количество времени.

Взаимозависимость между критическими или некритическими ИТ-инфраструктурами обычно остается незамеченной до возникновения аварийной ситуации. Инструменты для совершения кибератак стремительно развиваются по всему миру. Менее крупные страны нацелены на развитие возможностей, подобных тем, которыми обладают более крупные державы.

Последствия и методики нейтрализации

Говоря о последствиях кибератак, большинство компаний, ставших их жертвами, утверждает, что не в состоянии точно установить лиц, совершивших преступление. Разрастающееся стремительными темпами производство и внедрение незащищенных устройств интернета вещей создает широкомасштабную уязвимость кибербезопасности. Растущие угрозы целостности данных подрывают доверие к ранее надежным системам и могут причинить физический и материальный ущерб в случае повреждения критической инфраструктуры.

Лидеры стран «Большой семерки» взяли на себя обязательство сообща и вместе с другими партнерами работать над противодействием кибератакам и снижением их воздействия на критически важную инфраструктуру и общество. Специалисты признали необходимость обеспечения кибербезопасности и повышения доверия к цифровым технологиям. Существует огромное неравенство в вопросах готовности к обеспечению кибербезопасности между разными странами мира — как "внутри регионов, так и между ними.

Лишь 38 % стран используют общедоступную стратегию обеспечения кибербезопасности, и только 11 % обладают своей собственной специальной стратегией. Еще у 12 % стратегия обеспечения кибербезопасности находится в стадии разработки. Зато у 61 % стран-членов имеются группы по реагированию на чрезвычайные ситуации, обладающиt соответствующими полномочиями на национальном уровне, только 21 % стран публикуют количественные показатели происшествий в сфере кибербезопасности.

Высокий уровень готовности не обязательно означает низкий уровень риска. Однако инфраструктура все же уязвима для тех факторов, которые рассматриваются в качестве бизнес-риска номер один на территории Северной Америки, а именно «крупномасштабных кибератак или воздействия вредоносных программ, вызывающих крупные экономические убытки, геополитическую напряженность или повсеместную потерю доверия к сети Интернет».

Отсюда возникает необходимость для всех организаций — независимо от того, в какой степени готовности они, по их собственному мнению, находятся, — определять и проверять успешность достижения своих стратегических целей в сфере кибербезопасности. Многие системообразующие компании не практикуют базовую кибергигиену, несмотря на наличие и доступность соответствующих эффективных инструментов и практики.

Устойчивость как буфер для снижения шокового эффекта от кибератак

Завтра успешными государствами будут, по всей вероятности, те страны, которые инвестируют в инфраструктуру, знания и взаимоотношения, и которые устойчивы к потрясениям, — будь то экономические, экологические, общественные или кибернетические. Аналогичная идея применима и по отношению к успешным компаниям завтрашнего дня: наиболее устойчивые из них будут наилучшим образом подготовлены для поддержания операционной деятельности, выстраивания доверительных отношений с заказчиками и достижения высокой экономической эффективности.

Приоритеты внутренних электронных коммуникаций

Первые лица коммерческих организаций должны брать на себя ответственность за обеспечение киберустойчивости. Руководители компаний также должны нести ответственность за риски, сопутствующие их деятельности. Советы директоров должны эффективно контролировать и превентивно управлять рисками. Залогом этого являются стратегии поддержания непрерывной хозяйственно-экономической деятельности, планирования кадровой преемственности, стратегической согласованности и аналитической обработки данных.

Тем не менее, было выявлено, что большинство корпоративных советов директоров не придерживается превентивного подхода к формированию стратегий обеспечения кибербезопасности или инвестиционных планов по ее развитию. Советы директоров активно участвуют в выработке и реализации общей стратегии обеспечения безопасности их компании.

По данным опросов директоров государственных и частных компаний, проведенных Национальной ассоциацией корпоративных директоров, лишь немногие члены советов директоров испытывают твердую уверенность в том, что их компании надлежащим образом защищены от кибератак. В подобных сомнениях, как правило, обусловленных слабой вовлеченностью советов директоров в вопросы обеспечения безопасности, нет ничего удивительного.

Чуть меньше половины справедливо полагает, что расходы на информационную безопасность должны быть основаны исключительно на оценке рисков. Большинство специалистов утверждают, что расходы их организаций на обеспечение безопасности согласуются с выручкой по каждому направлению бизнеса.

В данном контексте все большее значение приобретает должность директора по информационной безопасности. Чаще всего директор по информационной безопасности или директор по безопасности непосредственно подотчетен главному исполнительному директору или совету директоров, нежели директору по информационным технологиям.

Предоставляемая информация должна включать в себя сведения обо всех случившихся кибератаках, а также о недостатках в обучении, оборудовании и инструментарии в киберсфере.

Директор по информационной безопасности должен акцентировать внимание на недостатках, чтобы совет директоров мог выполнять свои обязанности с учетом и полным пониманием рисков, стоящих перед компанией. Для выявления скрытых рисков бизнесу следует «копать глубже». Достижение более высокого уровня киберустойчивости в рамках отдельных предприятий или всего общества требует больших усилий по выявлению новых рисков, присущих современным технологиям, и управлению ими.

Организации нуждаются в правильном руководстве и процедурах внедрения мер информационной безопасности, которых требует цифровой прогресс. Проводя цифровую трансформацию, следует уделить особое внимание защите внедряемых технологий и процессов, а в отдельных случаях включить в этот процесс трансформацию кибербезопасности. Сегодня многие компании находятся лишь в начале такого пути.

Например, относительно небольшое число наших респондентов заявило о том, что их организации планируют оценить риски, связанные с интернетом вещей, в рамках своей бизнес-экосистемы. Сфера ответственности за обеспечение безопасности интернета вещей варьируется в зависимости от организации: 29 % глобальных и 34 % российских респондентов утверждают, что это входит в обязанности директора по информационной безопасности, тогда как другие указывают на инженерно-технический персонал (20 % и 18 % соответственно) или директора по управлению рисками (17 % и 19 % соответственно).

Между тем, во многих организациях по-прежнему отсутствуют должностные позиции высшего звена, в чью компетенцию входили бы вопросы кибербезопасности.

Лишь около половины респондентов заявили о том, что в их организации есть должность директора по информационной безопасности. Специалисты сообщили, что в их компании есть специализированный персонал по обеспечению безопасности, в чьи задачи входит поддержка внутренних бизнес-процессов.

Применительно к управлению рисками, многие организации могли бы действовать на опережение. Лишь половина интервьюируемых говорит о том, что в их организациях проводятся специальные проверки «background checks».

Многие ключевые процессы выявления киберрисков в бизнес-системах — включая тесты на проникновение, оценку угроз, активный мониторинг информационной безопасности, а также киберразведку и оценку уязвимости — внедрены менее чем у половины участников опроса.

ВЫВОД:

Необходимы более активные усилия по обмену информацией и координированию действий между заинтересованными сторонами. Глобальные респонденты заявили о том, что они официально сотрудничают с другими представителями своей отрасли, включая конкурентов, в рамках повышения уровня безопасности и сокращения потенциального наступления рисков в будущем.

Достоверная, своевременная, практически применимая информация о киберугрозах служит ключевым фактором, обеспечивающим возможность быстрого реагирования и поддержания. устойчивости. В различных организациях, секторах экономики, странах и регионах создание потенциала противостояния киберугрозам — это командная задача, эффективность решения которой будет тем меньше, чем больше крупных игроков остаются в стороне.