В ожидании хакеров: как бизнес должен готовиться к киберугрозам | Большие Идеи

? Тренды
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

В ожидании хакеров: как бизнес должен готовиться
к киберугрозам

Зачем нужны международные стандарты отчетности о кибератаках

Авторы: Марк Баррачин , Альгирде Пипикайте

В ожидании хакеров: как бизнес должен готовиться к киберугрозам
PETER DAZELEY/GETTY IMAGES

читайте также

Клейтон Кристенсен, человек, меняющий жизнь

Карен Диллон

Что не так с советами по тайм-менеджменту

Эрих К. Дирдорф

Нет нетворкингу

Дэвид Буркус

Люди прежде всего

Дарья Тулубенская ,  Нана Матецкая

На первый взгляд, проблема киберугроз неразрешима. В силу своей природы кибератаки быстро меняются, не имеют границ и асимметричны — их невероятно сложно прогнозировать и устранять. Неудивительно, что Всемирный экономический форум вновь поставил кибербезопасность на одну из первых строчек своего недавнего списка глобальных рисков. Действительно, если исходить из обычного здравого смысла, любая организация рано или поздно станет целью кибератаки — это лишь вопрос времени. И хотя мы согласны с высказыванием старшего аналитика по кибербезопасности в Национальной лаборатории штата Айдахо Энди Бочмана о том, что «никакие расходы на киберзащиту не защитят полностью от хакеров», мы также утверждаем, что вам по силам укрепить свою защиту и существенно снизить риски.

В этой статье мы сосредоточимся на главной проблеме в управлении кибербезопасностью — недостаточном количестве информации. Объективную оценку потенциального воздействия кибератак затрудняет то, что очень мало данных выложено в широкий доступ. В результате нашей работы с заинтересованными сторонами из разных отраслей и географических регионов мы предлагаем подход к определению того, что измерять, как собирать требуемые данные и как сделать их полезными.

Почему мы должны делиться информацией

Информация в кибербезопасности — это сила, позволяющая предотвращать похожие атаки. Если в одной организации взламывают систему, можно с уверенностью утверждать, что такая же вредоносная тактика в ближайшем будущем будет использована и для атаки на другую организацию. Если данные об этом первом известном нарушении выкладываются в открытый доступ, другие организации смогут подготовиться и убедиться, что такая же уязвимость не будет использована против них. Общее знание также позволяет регулирующим и правоохранительным органам объективно управлять стимулами для улучшения корпоративной кибербезопасности, сбора данных и обмена информацией.

Первый шаг, который для этого нужно сделать, — выяснить, что именно следует измерять. Для этого необходимо согласовать стандартную классификацию киберинцидентов, которая позволит отслеживать и понимать последствия любой атаки. Такая классификация должна включать:

  • даты, имеющие отношение к инциденту (когда он произошел, когда он был замечен, когда о нем сообщили);

  • тип инцидента (несанкционированный доступ, вредоносное ПО, распределенная атака типа «отказ в обслуживании» [DDoS] и т. д.);

  • размер влияния инцидента на финансовые результаты организации или ее способность вести бизнес;

  • тип воздействия (утечка данных, финансовые потери, нарушение операционной деятельности или правовой, репутационный, интеллектуальный ущерб и т. д.);

  • метод, используемый для доступа к сети или данным (фишинг, программы-вымогатели, вирусы, так называемая уязвимость нулевого дня и т. д.);

  • информацию о том, как инцидент был устранен (патч, обновление конфигурации брандмауэра или программного обеспечения и т.д.), а также стоимость устранения.

Конечно, ни одна организация не захочет придать огласке факт кибератаки, ведь речь идет не только о признании своей уязвимости перед злоумышленниками, но и о репутационных или финансовых потерях подобного разглашения. Для поощрения обмена информацией о взломах сообщающим об инцидентах организациям важно гарантировать анонимность. Но для того, чтобы сделать данные о киберпреступности релевантными, каждый случай должен быть привязан к таким фирмографическим данным, как отраслевой тип организации, диапазон доходов, количество сотрудников, географический охват, чтобы организации с похожими профилями могли выявлять потенциальные угрозы и их последствия. При достаточном количестве зарегистрированных случаев мы сможем лучше понимать частоту и типы атак, наиболее вероятных на отраслевом, национальном и региональном уровнях. Также информация об утечках данных в других организациях позволяет компаниям сравнивать чужие системы кибербезопасности со своей и делать соответствующие выводы, уделяя инвестициям на защиту от киберпреступлений приоритетное внимание.

И еще одно замечание о расстановке приоритетов и инвестициях: это не одноразовая мера, решающая проблему единожды и навсегда. Ландшафт киберугроз постоянно меняется, как и нормативные требования. Кибербезопасность должна регулярно проверяться и корректироваться.

Законопослушность и взаимодействие

Надзорные органы по всему миру требуют от компаний разглашать информацию о кибератаках, но наше исследование показывает, что зачастую регулирующие структуры размещают в открытом доступе слишком мало полезных данных (а то и вовсе не размещают их). Более того, большинство регулирующих органов не запрашивают те типы сведений, которые могут быть полезны в случае их распространения. Например, Комиссия по ценным бумагам и биржам США требует от публичных компаний разглашать информацию об уязвимости перед кибератаками, но не требует никаких конкретных типов данных, которые мы описали выше. Неудивительно, что большинство компаний просто составляют формальное юридическое уведомление, которое не дает представления об уязвимости или защищенности.

В нашем исследовании мы заметили, что, несмотря на то, что отчетность по киберрискам — это в чистом виде проявление законопослушности, после публичного объявления о кибепреступлении компании готовы поделиться всеми подробностями произошедшего.

Несмотря на то, что текущую ситуацию с соблюдением правовых норм в области кибербезопасности нельзя считать адекватной, мы обеспокоены еще и тем, что у организаций нет стимулов для обмена потенциально важными данными о киберпреступлениях и уязвимостях. Чтобы исправить ситуацию, мы предлагаем запустить проект государственно-частного партнерства, в результате чего организации получат оперативную поддержку, в которой они нуждаются для мониторинга своей безопасности и обмена информацией через надежный ресурс.

Хорошим примером такого рода партнерства является онлайн-платформа Cyber Net, разработанная и управляемая Национальной компьютерной группой реагирования на чрезвычайные ситуации (CERT), входящей в состав Национального управления кибербезопасности Израиля (INCD). Стимулом для участия в этом случае стал доступ к данным, который поможет организациям выявлять потенциальные угрозы и сравнить свою систему безопасности с чужими. Все данные размещаются анонимно, при этом INCD не передает полученные данные другим государственным структурам, в том числе в правоохранительные и следственные органы. Такое партнерство может принести пользу не только частному бизнесу. Аналогичная модель, разработанная для использования на глобальном или региональном уровне, даст правительствам представление о тенденциях и возникающих рисках в масштабах всей экономики и позволит подготовить соответствующие меры.

Мы полагаем, что такие инициативы помогут нам значительно продвинуться в управлении киберрисками. Как только мы примем стандартный подход к расчету, измерению и передаче информации о киберрисках, все заинтересованные стороны смогут, наконец, принимать основанные на фактах стратегические решения и обеспечивать безопасность данных своих предприятий, партнеров и клиентов.

Об авторах

Марк Баррачин (Marc Barrachin) — управляющий директор по разработке новых продуктов в компании S&P Global Market Intelligence.

Альгирде Пипикайте (Algirde Pipikaite) — руководитель проектов в Центре кибербезопасности при Всемирном экономическом форуме.