ГЕННАДИЙ РЕЗНИЧЕНКО
Эксперт по кибербезопасности KPMG в Украине
Кибербезопасность напрямую влияет на непрерывность бизнес-процессов. Компания может внедрить эффективные киберполитики и использовать дорогостоящие ИТ- системы, но если бизнес-партнеры придерживаются более низких стандартов безопасности или злоумышленники используют сотрудников как инсайдеры, то операционные процессы организации оказываются под угрозой
В условиях цифровой экономики такие вопросы как кибербезопасность и кибергигиена, сохранение данных, управление ИТ-системами как единым целым, а также эффективные программы восстановления в случае кибератак становятся ключевым ресурсом для успеха компаний и роста их прибыли. Хаотичное, реактивное управление этими процессами не только приводит к упущенной выручке, но и создает риски для будущего бизнеса в целом.
Типичные риски для компаний
Тактика «консервации» однажды разработанных систем. Наши наблюдения в ходе работы с разными компаниями показывает, что зачастую организации внедряют масштабные ИТ-проекты, чтобы обеспечить кибербезопасность, высокий уровень доступности цифровых сервисов и непрерывность бизнеса. Эти шаги создают иллюзию защищенности, в которой руководители пребывают на протяжении несколько лет. В реальности же компания остается уязвимой, если не использует тактику непрерывного совершенствования систем безопасности. Необходимо постоянно анализировать, насколько действующая стратегия соответствует новым обстоятельствам.
Отсутствие скоординированности. Часто в компаниях один департамент не знает, что делает другой или не догадывается об изменениях в ИТ-системах, что создает новые риски. Такая изоляция приводит к целому ряду нежелательных последствий – начинают появляться теневые ИТ-процессы, о которых не знает централизованная служба управления инфраструктурой. В случае внештатной ситуации эти «самописные» сервисы слетают, а корпоративное ИТ не может их восстановить, поскольку ничего о них не знает. У теневого ИТ, которым часто управляют специалисты без технических навыков и знаний, но с тягой к технологиям, нет достаточно инструментов и опыта, чтобы обеспечить полноценную поддержку цифровых сервисов. В итоге – виновных нет, бизнес теряет конкурентные преимущества или вовсе простаивает.
Внутрикорпоративные инсайдеры. К ним относятся как нынешние, так и бывшие сотрудники, которые осознанно становятся инсайдерами или несознательно нарушают корпоративные правила. Например, они могут непринужденно поделиться с друзьями о каких-то данных системы безопасности компании, в которой ранее работали или работают по сей день. Сюда же относятся и бизнес-партнеры — поставщики, клиенты, а также вендоры и обслуживающие организации, которые имеют или имели ранее доступ к инфраструктуре компании. По нашим расчетным данным, на этот источник риска приходится более 55% киберинцидентов.
Фокус на безопасность как таковую, а не на все производственные и бизнес-процессы в целом. Цель не в абсолютной безопасности ИТ-систем, а в обеспечении гибкости, и умению вернуться в устойчивое, работоспособное состояние из любой внештатной ситуации. Это означает, что дизайн процессов, система контролей, работа операторов – это «слои», которые повышают общий уровень безопасности в случае правильной их настройки. По этой же причине начинать нужно с «верхних уровней» сетей безопасности, например, когда компания использует АСУТП — автоматизированную систему управления технологическим процессом. Иными словами, системы предотвращения вторжений устанавливаются в тех сегментах, которые не позволяют киберпреступникам добраться до какого-нибудь физического устройства, датчика, чтобы взломать его и нарушить нормальную работу предприятия.
Отсутствие аудита существующих киберугроз. Это необходимо для того, чтобы оценить, насколько надежной и действенной является кибербезопасность компании и программа восстановления. Наилучшим способом такой проверки является имитация кибервторжения. В ходе анализа программ восстановления оценивается, применимы ли они к реальной внештатной ситуации, обеспечена ли компания необходимыми ресурсами по разумной цене для выполнения шагов по восстановлению, обладают ли сотрудники необходимыми навыками и как можно усовершенствовать существующую стратегию выхода из кризиса после киберинцидента. В ходе такой проверки происходит сверка существующей матрицы ИТ-рисков с теми, с которыми пришлось столкнуться и оценивается их влияние на бизнес. Важно, чтобы такие учебные упражнения проводились регулярно и не реже одного раза в год.
Перекладывание функций безопасности на средний менеджмент. Среди основных принципов эффективного управления системами безопасности и программами восстановления – привлечение к ним топ-менеджмента и собственника бизнеса. Это означает, что должны быть созданы специальные органы: комитеты с участием высшего руководства, которые будут проводить мониторинг таких мероприятий и при необходимости вносить в них коррективы. Это гарантирует вовлеченность всех уровней управления – от специалиста до топ-менеджмента, так и обеспечение контроля со стороны собственников.
Два ключевых принципа программ восстановления от кибератак
Я бы выделил два ключевых принципа программ восстановления от кибератак.
Во-первых, периодический пересмотр политик и процедур. Создав их однажды, компании редко уделяют внимание тому, чтобы их обновлять. В результате эти документы могут не содержать инструкции о порядке восстановления критических систем или в них может устареть контактная информация. А в случае кризисной ситуации, эти процедуры могут оказаться и вовсе недоступными из-за масштабного сбоя хранилища данных или коммуникационных сетей.
Во–вторых, интеграция программы по восстановлению с общей стратегией обеспечения непрерывности и ее тестирование. Например, часто метрики допустимого времени восстановления для ИТ-процессов не согласованы со временем, которое необходимо для восстановления критических бизнес-процессов. Отсутствие тестирования означает, что у компании нет гарантий, что программа восстановления может быть применима на практике.
Такое тестирование должно быть всеобъемлющим. Недостаточно провести восстановление данных для отдельной системы. Целью должно быть восстановление функционирования критически важных для организации бизнес-процессов и ИТ-систем. Также необходимо проверять степень готовности персонала действовать в условиях кризисной ситуации, готова ли и насколько быстро организация может провести перемещение персонала и активов с основной локации на альтернативную.
Мы также рекомендуем привлекать к тестированию ключевых поставщиков, потому что это дает возможность оценить эффективность вашего плана по непрерывности с учетом существующей зависимости от внешней среды и получить обратную связь от поставщиков для его улучшения.
Бизнес, для которого кибератаки становятся неожиданными и непредсказуемыми «черными лебедями», проигрывает. Нужно искать возможности действовать на опережение. Важно использовать комплексный подход, включающий в себя оценку рисков, их анализ, моделирование различных сценариев, которые кажутся наиболее существенными и значимыми для бизнеса, выстраивать программы восстановления на каждый сценарий. Именно это и будет вашей стратегией антихрупкости в условиях постоянно меняющихся рисков.
ЧИТАЙТЕ ТАКЖЕ: Оценка риска в кредитовании: как это делает финтех?