7 ошибок украинских топ-менеджеров в кибербезопасности

Какие страхи и ошибки ТОП-менеджмента в сфере кибербезопасности встречаются чаще всего?
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Несмотря на то, что общество разогрето лавиной кибератак, это не мешает существованию устаревших взглядов на кибербезопасность, опасениям руководства компаний перед практикой, которая меж тем стала общепринятой во всем мире.

 1. Информационная безопасность — часть IT

Пожалуй, самое распространенное заблуждение среди менеджеров высшего звена, которое сбивает с правильного вектора. Ведь безопасность в компании начинается с осознания того, что это автономный процесс, требующий отдельных ресурсов: человеческих, финансовых, временн ы х. 

ИБ — такая же сфера, требующая внимания и инвестиций, как бухгалтерия, IT, HR и тд. Нельзя "повесить" выполнение функций кибербезопасности, скажем, на IT-специалиста (очень распространенная практика), как нельзя поручить менеджеру по персоналу оформлять финансовые отчеты. На это есть как минимум одна объективная причина: квалификация специалиста по ИБ должна быть выше квалификации рядового IT-специалиста в компании. Но в наших реалиях укоренился стереотип, что ИБ — это административный, обслуживающий, а значит — незначительный процесс. В этом тезисе есть доля правды: ИБ — тот "кусок" внутренней работы компании, который не приносит прямой прибыли. НО: он прямо защищает от потери этой самой прибыли. А отсутствие правильной защиты очень отчетливо ощущается в виде финансовых и репутационных потерь в случае кибератак (проверено на опыте сотен тысяч компаний, подвергшихся массовым атакам 2017 года).

Пренебрежение тем, что ИБ — самостоятельное направление, которое требует обособленной оргструктуры и четких прописанных процессов (политик) гарантированно приводит к тому, что в этом секторе всегда будет хаос. В случае происшествия виновного найти будет крайне сложно. Очевидно, что любой процесс в компании должен находиться под ответственностью выделенного компетентного человека.

Если компания ставит перед собой цель быть соответствовать тенденциям и стандартам информационной безопасности (другими словами — обеспечивать защиту своих собственных данных и данных клиентов), то первоочередная задача топ-менеджера — набрать высококвалифицированный персонал для управления этим процессом. Это может быть один человек (в данном случае Начальник службы информационной безопасности), но он будет отвечать исключительно за это направление. В свою очередь СISO уже более предметно оценит фронт работы (инфраструктуру компании, внутренние процессы, активы, цели и т. д.) и подберет профильную команду "под себя".

2. Выбор неправильной схемы субординации

Очень часто в компаниях творится неразбериха в иерархических процессах (отсутствие четких моделей подчинения, размытые должностные инструкции и др.). Это типичная проблема незрелого бизнеса. Но в информационной безопасности этот сумбур может присутствовать даже в структурированных организациях (ввиду той же традиционной НЕосведомленности в сути самого понятия кибербезопасности).  Самые популярные "грабли", на которые наступает руководство таких архитектур — подчинение CISO IT-директору, — прямой путь к конфликту интересов. Почему конфликту? Да потому, что задачи этих двух подразделений зачастую стоят в противоположных углах. Цель IT-команды — чтобы все работало быстро и эффективно. Цель подразделения ИБ — чтобы все работало безопасно. В 99% случаев "безопасно" — антагонист по отношению к "быстро и гибко".

Вывод простой: подчинить CISO IT-департаменту — значит обрезать ему крылья и всерьез ограничить в действиях. Скажем больше: если обратиться к мировой практике, то как раз таки безопасники должны контролировать IT-шников.

3. Недооценивание риска финансовых убытков и репутационных потерь от кибератак

Цифры говорят сами за себя. Ежедневно в мире по причине информационной незащищенности сотни компаний становятся жертвами кибератак. Для Украины 2017 г. тоже стал нелегким испытанием. Экономические потери от кибератак в мире достигли $53 млрд, $850 млн из которых — последствия атаки  вируса "NonPetya". Эти цифры  официально представили в докладе Международного валютного фонда. По неофициальным оценкам, потери для Украины составили 10 млрд грн за три дня крупнейшей в истории страны кибератаки. Атака затронула от 60 до 80% предприятий страны. В течение 2017 года в Европе происходило более 4000 кибератак с вымогательством ежедневно. 80% европейских компаний поразила как минимум одна кибератака. Это официальные показатели, которые огласила Комиссия Евросоюза. По уровню ущерба и влияния с финансовыми потерями конкурируют репутационные.

Даже такие монстры как Uber, Maersk вынуждены были признать свою уязвимость и беззащитность перед кибератаками, жертвами которых они стали. Крупные компании с безупречной репутацией так же не могут гарантировать абсолютную безопасность данных своих клиентов, как и более мелкие.

Именно поэтому вопрос построения киберзащиты актуален для всех игроков бизнеса.

4. Недостаточное финансирование

Хрестоматийный пункт для любой отрасли. Только в кибербезопасности дефицит инвестиций обусловлен скорей не нежеланием выделять средства, а низкой осведомленностью о рисках, последствиях беспечности в отношении киберзащиты. Нежелание выделять бюджеты на "непонятное нечто", что не пополняет казну, но при этом требует немалых инвестиций. ТОП-менеджеру, который занимается стратегическими вопросами, сложно вникнуть в детали и понять необходимость подобных капиталовложений без видения конечной выгоды. Именно поэтому в компании нужен квалифицированный человек, способный внятно объяснить целесообразность финансирования в ИБ и подтвердить его эффективность результатами своей работы.

Любая оргструктура требует финансирования. Любые проекты, которые она влечет за собой, требуют финансирования.

Если говорить о финансировании в кибербезопасность, то существует негласная пропорция затрат на IT и ИБ — идеальное соотношение бюджетов 85%/15% (где 85% — затраты на IT, а 15% — на ИБ).

Это не аксиома, но та планка, к которой желательно тянуться.

И хоть вопрос финансовый, здесь уместно сравнение: когда вы инвестируете в свое здоровье (регулярные тренировки, плановые осмотры у врачей и т. д.), вы не поддаете сомнению целесообразность таких шагов. А ведь не пойди вы в спортзал, или не просканируй свой организм на предмет скрытых недугов, вы не обязательно подвергнете себя риску инфаркта или инсульта. Но: никто не будет спорить с тем, что это здравые действия здравомыслящего человека — обследоваться превентивно, не дожидаясь плохого поворота событий. Так и с кибербезопасностью. Ваши вложения в эту область — это своего рода профилактика "болезней" и инвестиции в будущее.

5. Непонимание принципа управления информационной безопасностью

Ситуация, когда высшее руководство компании не погружается в оперативные процессы — нормальная практика. Выделить разовую, пусть даже очень большую по объему денежную сумму, — недостаточно. Обеспечение кибербезопасности — это непрерывный хронический генез. И именно на этом моменте менеджеры высшего звена чаще всего совершают ошибку: принимают решение об инвестиции в ИБ единоразово и не видят смысла возвращаться к этому вопросу повторно. То есть  воспринимают информационную безопасность, как продукт, а не как процесс.

"Да я вам уже в прошлом году деньги давал на безопасность! Сколько ж еще надо?" — звучит шутливо, но до боли знакомо. Реалии таковы, что файервол и антивирус, в которые вложили деньги единожды, не будут работать сами по себе. Самое дорогое "железо" не защитит вас от кибератак без квалифицированных людей, без отточенных процессов, без круглосуточного мониторинга и анализа всех событий. Эффект от единоразовых капиталовложений в ИБ — практически нулевой. Современная кибербезопасность — это сложнейшая многокомпонентная система, которую можно заключить в рамки связки "люди-процессы-технологии". Эффективная работа этой системы — бесперебойный метаболизм, требующий регулярного финансирования. Это важно понимать руководству, у которого физически не хватает времени замечать подобные детали.

6. Низкие стандарты в области кибергигиены

Многие компании пренебрегают самыми базовыми правилами кибербезопасности. А ведь с них все начинается. И транслироваться они должны с позиции руководителя. Первый шаг — обучение сотрудников. Специалисты, которые имеют доступ к сети (а это практически 99% коллектива) должны пройти обучение по политике безопасности сети в вашей компании. Каждый сотрудник должен подписать документ, который подтверждает, что он проинформирован об ответственности и понимает: умышленные или даже неосторожные действия будут иметь негативные последствия для него. Такой шаг однозначно повышает персональную ответственность каждого человека в компании.

Вовремя обновлять пароли, не открывать электронные письма от неизвестных отправителей, не использовать рабочую почту для личных целей. Практика показывает, что этими, такими элементарными на первый взгляд, пунктами безопасности пренебрегают чаще всего.

Важно регулярно создавать резервные копии данных и убедиться, что они хранятся в автонмном месте на случай пожара или стихийного бедствия.

Использование SIEM для контроля всех событий и предотвращения возникновения ошибок; DLP — для защиты данных от потери или кражи, Identity and Access Management — для защиты данных от внутренних злоумышленников; шифрование данных на устройствах — для предотвращения их потери при физическом воровстве; защита WEB-приложений от хищения данных пользователей и финансовых данных (например, Клиент-банк) с помощью WAF, SIEM и мультифакторной аутентификации — все это ставшие уже традиционными методы обеспечения информационной безопасности, которые свидетельствуют о высоких стандартах ИБ в компании.

7. Недоверие к внешним экспертам

Cкорей стереотип, чем ошибка ТОП-менеджмента. И что примечательно, держит позиции он на территории стран бывшего СНГ. Западный мир давно лояльно воспринимает аутсорсинг в кибербезопасности. SOC, как центр предоставления услуг по ИБ, — уже данность, удобный и финансово выгодный способ получить качественную услугу, а не новаторский стартап, вызывающий подозрение.

Боязнь дать внешним экспертам доступ к внутренней  конфиденциальной информации ничем не обоснована: исключительно страхами пустить "чужих" на свою территорию. Но для "чужих" вопрос сохранности информации клиента — это вопрос репутации их бизнеса. Более того, фактически услуги по безопасности напрямую не касаются коммерческой информации: это мониторинг и работа с потоками данных без доступа к информационным процессам. Кроме этого, аутсорсинг в кибербезопасности — это не аутсорсинг в классическом выражении (когда процессы передаются внешнему исполнителю полностью). Это всегда гибкое взаимодествие заказчика с компанией-провайдером, при этом весь процесс управления — исключительно внутренний и осуществляется СISO (он контролирует уровни доступов и определяет глубину внедрения внешних специалистов, получая при этом защиту от угроз 24/7, самые современные технологии и команду профессионалов извне). Дополнительная гарантия конфиденциальности — обязательно подписание договора SLA (service level agreement).

Важно, что набор и объем услуг — не статичная система. Входящий поток сервисов по кибербезопасности можно регулировать, как поток воды в кране: в зависимости от потребностей бизнеса.  

Узнайте, как защитить свой бизнес от кибератак на конференции "CyberSafe.next: защита государства и бизнеса"