Приемы
против взлома

За последнее десятилетие убытки бизнеса от кибервзломов и их последствий значительно возросли — и это не может не вызывать беспокойства. Так, общие финансовые и экономические потери от массового заражения компьютеров червем-­вымогателем WannaCry в 2017 году оцениваются в $8 млрд. В 2018 году в Marriott обнаружили, что в результате взлома системы бронирования ее дочерней компании Starwood возникла угроза утечки личной информации и данных кредитных карт 500 млн клиентов. По всей видимости, методы хакеров становятся все более эффективными. Однако по опыту работы с клиентами по всему миру мы знаем: есть и другая причина, по которой бизнес оказывается столь беззащитным перед киберпреступностью. Дело в том, что компании плохо осознают основные киберриски, поскольку склонны чрезмерно фокусироваться на технологических уязвимостях. Когда забота о кибербезопасности ограничивается технологиями, страдает и осведомленность лидеров, и защищенность компании. Разговор о киберугрозах в этом случае ведется на компьютерном жаргоне, из-за чего лидеры компании не могут конструктивно в нем участвовать. Ответственность за устранение рисков полностью ложится на плечи специалистов по ИТ и кибербезопасности, которые уделяют внимание в основном компьютерным системам. Результат — длинный, плохо ранжированный список задач по минимизации рисков. Поскольку ни одна компания не обладает ресурсами для того, чтобы предотвратить все проблемы с кибербезопасностью, многие серьезные угрозы могут остаться без внимания. Более продуктивный подход — исходить из потенциального вреда, который кибератаки могут нанести работе предприятия. Представьте, что вы директор химической компании. Вместо того чтобы гадать, каким атакам могут подвергнуться ваши компьютерные системы, лучше спросите себя: каким образом злоумышленники могут парализовать вашу цепочку поставок? Или получить доступ к секретным технологиям? Или помешать вам выполнить договорные обязательства? Или создать угрозу человечеству? Разница в формулировках может показаться незначительной, но если начать выстраивать защиту с ключевых аспектов деятельности, будет проще определить приоритеты киберобороны.

ИДЕЯ КОРОТКО

ПРОБЛЕМА

На кибербезопасность тратятся миллиарды долларов, но ущерб от взломов продолжает расти — во многом потому, что компании не способны выявить критические для них риски.
ТРАДИЦИОННЫЙ ПОДХОД
Многие фирмы видят проблему лишь в технологических уязвимостях и поручают заботу о киберзащите ИТ-специалистам. В итоге те составляют неупорядоченный список возможных атак, а разговор о рисках ведется на техническом жаргоне, непонятном для лидеров компании.
ПРОДУКТИВНЫЙ ПОДХОД
Нужно определить критические направления и связанные с ними риски; выяснить, какие системы поддерживают работу этих направлений; выявить уязвимости и очертить круг потенциальных зло¬умышленников. В этом процессе должны участвовать и руководители, и рядовые сотрудники, а отвечать за него — топ-менеджеры и совет директоров. Вот что говорит о таком смещении акцентов Ричард Ланкастер, глава CLP — третьей по величине в Азии энергетической корпорации: «Поначалу мы считали киберриски преимущественно компьютерной проблемой. Со временем мы осознали, что на самом деле наши самые уязвимые места — электросети и электростанции. Сегодня мы понимаем, что риск кибератаки — это прежде всего бизнес-риск, а за управление бизнес-рисками отвечаю я как гендиректор». При таком подходе ответственность ложится не на ИТ-отдел, а на руководство и совет директоров: именно они должны занять активную позицию и указать специалистам по кибербезопасности нужное направление работы. Разработка нарратива киберугрозы Выявление и устранение киберрисков требует взаимодействия: чтобы понять, где таятся наиболее опасные угрозы, важно изучить мнения широкого круга сотрудников. Привлекая людей к дискуссии, вы сможете с самого начала прийти к общему пониманию ключевых фактов и обстоятельств, а значит, в дальнейшем вам будет проще договориться о том, как противостоять угрозам. Чтобы помочь бизнесу систематизировать важную информацию и представить ее широкой аудитории, мы разработали инструмент под названием нарратив кибер­угрозы. Он касается четырех элементов сценария возможной кибератаки: критических направлений деятельности и связанных с ними рисков; систем обеспечения этой деятельности; видов потенциальных атак и возможных последствий и наиболее вероятных инициаторов атаки. Собрав информацию по каждому из этих пунктов, вы сможете выявить и приоритизировать риски, а также принять меры по их устранению. Разработкой нарратива киберугрозы должны заниматься специалисты по кибербезопасности, однако свой вклад необходимо внести и другим группам.

• Руководство: гендиректор и прочие топ-менеджеры. Встречи с лидерами необходимы, но не должны отнимать много времени; если грамотно подготовить повестку и вопросы, совещания станут короче и содержательнее.

• Производственный персонал: сотрудники, связанные с основной деятельностью предприятия.

• ИТ-отдел: специалисты, отвечающие за компьютерное обеспечение работы компании.

• Профильные специалисты: эксперты в областях, связанных с теми или иными типами киберугроз: юристы, пиарщики, кадровики, охранники. Так, если согласно нарративу атака может вызвать утечку личной информации, к процессу нужно подключить юристов, чтобы минимизировать риск нарушения закона о персональных данных.