Обеспечении кибербезопасности - зона ответственности Совета Директоров

Обеспечении кибербезопасности - зона ответственности Совета Директоров

Автор исследования – Иван Клюев, директор АНО «Цифровая молодежь», Выпускник сертификационной программы SACM «Корпоративное управление в XXI Веке», Сертифицированный эксперт EU-NQF Level A in Corporate Governance по стандартам Европейского Союза, под редакцией Александра Лебедева, Профессора SACM

В настоящее время весь мир постепенно переходит в цифровую среду, это находит свое отражение на всех уровнях коммуникации – от межличностного до межгосударственного. Мы видим, что большая часть предприятий компьютеризированы, что означает, что все операции и важная информация хранятся в компьютерах. Хотя рост подключенного мира впечатляет, его подверженность вредоносным кибератакам также резко возрастает, что ставит под угрозу стабильность нашего общества. Атаки становятся все масштабнее и наносят все больший ущерб. Без доверия к цифровизации люди и промышленные пользователи не смогут принять цифровую трансформацию и полноценно использовать информационные технологии. Поэтому усовершенствование кибербезопасности является одним из важнейших приоритетов развития. Согласно исследованию Positive Technologies количество кибератак в 2021 году увеличилось на 6,5% по сравнению с 2020 годом. Как и в 2020 году, 86% всех атак были направлены на организации. В тройку наиболее часто атакуемых отраслей вошли госучреждения (16%), медучреждения (11%) и промышленные компании (10%). Согласно статистике о взломе инфраструктуры среднего уровня в 2021 году 60% взломов идет через Фишинг. При этом если фишинговая атака не была вовремя обнаружена службами информационной безопасности, то вероятность компрометации инфраструктуры близка к 100%. Основными целями киберпреступников являются: персональные данные (33%), информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%). Атаки на объекты критической информационной инфраструктуры (далее КИИ) происходят все чаще. Особенность современных кибератак состоит в их целенаправленности и ориентированности на конкретную сферу хозяйственных отношений или отдельное предприятие. Наибольшей популярностью среди злоумышленников пользуются следующие методы атак: использование вредоносного программного обеспечения, применение методов социальной инженерии и хакинг. В каждой второй атаке на организации были использованы методы социальной инженерии.

В России 1 мая 2022 года выпущен указ Президента Российской Федерации от № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» по которому в каждом российском ведомстве необходимо создать структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение. Кроме того, согласно исследованию PWC 85% потребителей не будут иметь дела с компанией, если они сомневаются в надежности ее системы безопасности. Говорить про киберриски сложно без упоминаний реализовавшихся кибератак, чтобы оценить возможный ущерб компании:
● 2020 год взлом Facebook — самая громкая утечка данных из соцсети

В марте 2020 года британская компания Comparitech сообщила об утечке данных более 267 млн пользователей Facebook. В августе 2020 года эксперты из компании Darknet Data Leakage & Breach Intelligence (DLBI) обнаружили в Сети персональные данные 150 млн пользователей Facebook, Instagram и LinkedIn. После первых утечек Федеральная торговая комиссия США обязала Facebook выплатить рекордные $5 млрд штрафа. Это в 20 раз выше самых крупных санкций, которые применялись за утечки данных. Репутация самой компании на фоне регулярных утечек сильно пошатнулась — как и позиции на фондовой бирже, которые упали примерно на 7%.
● 2017 год атака на одно из крупнейших кредитных бюро США Equifax

В 2017 году атака привела к утечке данных почти 148 млн пользователей, сообщает The Washington Post. Хакеры похитили персональные данные, в числе которых — данные как минимум 209 тысяч банковских карт, а также документы, которые использовались в кредитных спорах. В 2017 году Time писал, что капитализация Equifax упала на $4 млрд. Но точные убытки компании пока неизвестны. В 2018 году USA Today сообщали о 96 судебных исках против Equifax. Все это — судебные издержки и компенсации. Вернуться к значению стоимости акций 2017 года, компания смогла спустя 2 года только к 2019 году.
● 2015 год кибератаки на один из крупнейших операторов связи в Великобритании TalkTalk, в результате которой акции телекоммуникационного провайдера упали на 12%.
● Исторический взлом Yahoo! — $4,8 млрд

В 2013 году произошла масштабная атака на Yahoo! Компания долго замалчивала проблему. Информация вскрылась только в 2016 году, во время подготовки сделки по слиянию с Verizon Communications Inc. Тогда в Yahoo! признали факт взлома 1 млрд аккаунтов. В 2017 выяснилось, что злоумышленники атаковали все 3 млрд аккаунтов Yahoo!, пишет Reuters. Кроме этого взлома, была еще атака 2014 года, тогда пострадало по меньшей мере 500 млн пользователей. В результате Verizon снизила первоначальное предложение на $350 млн. The Wall Street Journal оценила общие убытки Yahoo! в $4,7 млрд. Позже к этой цифре прибавились еще $80 млн компенсации по решению суда и расходы на судебный процесс. Исследование самых масштабных кибератак позволяет сделать следующие выводы:
1. Кибербезопасность не обязательно связана с высокими технологиями или сложными компьютерными науками. Злоумышленники используют “социальную инженерию” – нетехнические методы, чтобы заставить людей переходить по зараженным ссылкам или веб-сайтам или передавать конфиденциальную информацию. В каждой второй атаке на организацию в 2021 году была использована социальная инженерия.
2. Влияние кибератак на стоимость компании очень существенно. Реализовавшаяся кибератака очень сильно влияет на снижение стоимости акций.
3. 85% потребителей не будут иметь дела с компанией, если они сомневаются в надежности ее системы безопасности.

Таким образом, важность управления киберрисками в компаниях возрастает и становится уже сферой ответственности не менеджмента, а членов совета директоров из-за того, что кибератаки могут существенно повлиять на стоимость компании. Защититься от кибератаки на 100% нельзя. Однако создав хорошую защитную среду, можно усложнить кибератаку злоумышленникам и тем самым, они могут атаковать другую компанию, двигаясь по пути наименьшего сопротивления. Существует 3 уровня кибербезопасности:
1. Физическая безопасность – отвечает за физическую безопасность и доступ. Это двери, замки, окна, методы доступа к источникам информации, сотрудники охраны.
2. Человеческая безопасность – отвечает за человеческий фактор. Это уровень бдительности и осведомленности персонала. Это то насколько дисциплинирована охрана. Человеческий фактор является одним из самых уязвимых уровней, ведь именно через человека очень часто утекало и утекает хорошо защищаемая информация зарубежным спецслужбам и именно этому фактору, во многих компаниях уделяется очень мало внимания.
3. Цифровая безопасность — отвечает за целостность и доступность информации от вирусных атак и несанкционированного вмешательства через сеть.

Одно из важных направлений деятельности по поддержанию кибербезопасности в компании — это развитие «цифровой гигиены» как часть корпоративной культуры. «Цифровая гигиена» — это формирование полезных привычек, следуя которым, человек обеспечивает себе информационную безопасность в сети Интернет. «Цифровая гигиена» включает в себя:
● Культуру работы с корпоративными документами: электронная почта, «облачные» хранилища, мессенджеры.
● Культуру работы с паролями и данными организациями.
● Информирование и знание о популярных типах угроз: социальная инженерия, трояны, шифровальщики, фишинг.

Благодаря внедрению «Цифровой гигиены» как части корпоративной культуры, можно уберечь компанию от кибератаки. Однако «Цифровая гигиена» — это не разовое мероприятие, а постоянная работа и выработка привычек. Таким образом, цифровая гигиена сотрудников — одно из ключевых направлений предотвращение угроз в компаниях, которое сможет позволить снизить риски кибератаки, а также, обойдется компании дешевле, чем внедрение программных решений. Важно отметить, что внедрение принципов «Цифровой гигиены» и тщательная забота о кибербезопасности компании находится в зоне ответственности Совета Директоров, поскольку создание кибербезопасной среды напрямую влияет на стоимость компании, а также, касается жизнеспособности не только какого-то конкретного отдела, а всех стейтхолдеров. Кроме того, ответственность за кибератаки и их последствия в большой степени несет именно Совет Директоров, так как именно он устанавливает правила поведения и последовательность действий при реализовавшейся киберугрозе или при успешном отражении кибератаки. В современном цифровом мире, конечно, невозможно установить стопроцентную защиту от всех потенциальных угроз, однако планомерная работа на высоком уровне позволяет уменьшить вероятность кибератак, тем самым защищая активы компании.

Академия

"Я уверена, что пройдет время, и вы займете лидирующую позицию среди профессионалов бизнеса, а может быть однажды - вернетесь в Академию и поделитесь своим опытом и знаниями с новыми докторантами.."

Наши Новости

Контакты

  Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
  +65 3108 0534
  +65 3108 0534
  178 Joo Chiat Road,
Singapore 427449

Будьте на связи