Хто тут головний з безпеки?

Хто тут головний з безпеки?

Просте правило, яке супроводжує людство всю його історію, — витрати на безпеку повинні бути еквівалентні масштабу можливих втрат.

А ще повинна бути конкретна людина, яка за цю безпеку відповідає. Наскрізь комп’ютеризоване XXI століття нічого в цих правилах не змінило.

Залежність сучасного бізнесу, в будь-якій сфері від комп’ютерних технологій, за останні 30 років, зросла від нуля до 100%. IT-системи колосально підвищили ефективність нашої роботи. Але вони ж стали і слабким місцем, точкою вразливості для бізнесу, який раптом відчув свою вразливість як перед хакерами, ламають мережу компанії заради розваги чи наживи, так і перед власними працівниками, які можуть на простий флешці забрати яку завгодно велику базу даних. Ну, або, відчувши себе скривдженими, запустити руйнівний вірус в корпоративну мережу або знищити важливі файли.

Подібні інциденти можуть знищити не тільки молодий бізнес, а й великі компанії, з багаторічним досвідом роботи, якщо їх досвіду виявилося недостатньо, щоб подбати про власну інформаційну безпеку. Чи не найбільше в кіберзахисті зацікавлені страховики, адже це їм у разі чого доведеться покривати колосальних розмірів втрати, які завжди виглядають вражаюче як в глобальних масштабах, так і в масштабі країни.

Не дивно, що саме фахівці страхового ринку Lloyd`s of London спробували спрогнозувати масштаб економічних втрат від можливих глобальних кібератак при декількох сценаріях. За їхніми оцінками, при єдиній атаці на провайдерів і їх клієнтів, яка призведе до перебоїв в роботі підприємств, світова економіка може втратити як мінімум $ 4,6 млрд. Якщо мова йде про велику атаку, цей показник може скласти $ 53,1 млрд. Якщо кібератака триватиме довго і будуть пошкоджені мережі багатьох організацій, то збиток може досягти $ 121,4 млрд. А це, до речі, більше, ніж ВВП всієї України!

За оцінкою страховиків, компанії в усьому світі ще в 2016 р через кібератаки втратили близько $ 450 млрд. І ця цифра з кожним роком подвоюється. При цьому страховики визнають, що самі вони покривають тільки від 7 до 17% втрат компаній від інцидентів з IT-безпекою. Але оскільки кількість кіберзагроз росте, попит на кіберстрахування збільшується. Команда Lloyd`s оцінює глобальний ринок кіберстрахування в $ 3-3,5 млрд.

Все це обговорювалося нещодавно в Роттердамі на міжнародній конференції ASIS Europe, слоганом якої стало From risk to resilience ( “Від ризиків до стійкості і виживання”). Там про насущні проблеми говорили представники служб безпеки провідних світових компаній (Amazon, Mastercard, Radisson Hotel Group, Tesla, Facebook, Volkswagen і ін.). Була присутня на ASIS Europe і українська делегація, включаючи гендиректора Nota Group, главу комітету корпоративної безпеки групи компаній “Октава” і члена правління Асоціації професіоналів корпоративної безпеки Тетяну Андріанову.

Три дні експерти з усього світу обговорювали, як на практиці захистити людей, інформацію, продукти і своє майно, не відступаючи від ділових і культурних цілей компанії. А також найактуальніші тренди кіберзахисту: захист персональних даних GDPR, загрози для бізнесу через соціальні мережі та медіа, захист мобільних пристроїв від злому і шпигунства і навіть Burnout (вигорання) представників служб безпеки.

І ось один з головних висновків, зроблених учасниками конференції: з величезною кількістю сучасних кіберзагроз розрізнені фахівці впоратися не в змозі. Щоб захист був комплексним і надійним, в організації повинен бути співробітник, відповідальний за всі аспекти інформаційної безпеки, що організовує і супроводжує роботу всіх систем IT-захисту.

Про це говорить і Олександр Кардаков, засновник компанії “Октава Кіберзахист”: “В Європі на підприємствах є посада головного менеджера з інформаційної безпеки — CISO (Chief Information Security Officer). В Україні таку посаду можна знайти менш ніж в 5% компаній. Всі знають, хто такий директор з безпеки, або IТ-директор. Але термін CISO для більшості звучить радше як лайка”.

Дійсно, в українському бізнесі практично немає профільних менеджерів, відповідальних за кібербезпеку. Хоча на тому ж LinkedIn чимало профілів українських фахівців, в яких згадується позиція CISO. Але здебільшого такі фахівці працюють в міжнародних компаніях.

CISO — це головний менеджер з інформаційної безпеки, який працює на рівні топ-менеджменту і забезпечує зв’язок між двома завданнями: забезпеченням кібербезпеки і досягненням цілей бізнесу. CISO не повинен обмежуватися суто прикладним захистом IТ-інфраструктури. Його завдання — забезпечення безперервності бізнесу, створення умов для його безпечного зростання. CISO зобов’язаний мислити категоріями вирішення бізнес-завдань, зрозуміло, в розрізі інформаційної безпеки.

Як бачимо, тягар відповідальності CISO на голову вище, ніж у звичайного фахівця з інформаційної безпеки, і далеко не всі його здатні витримати.