З кожним роком кількість кібератак зростає, а на гачок все більш витончених фішингових та шахрайських кампаній потрапляють як люди, так і організації. Причому розмір бізнесу, специфіка його роботи або галузь особливого значення не мають.
Артем Михайлов, директором з корпоративних рішень ISSP, в інтерв’ю молдавському бізнес-медіа Business Pages розповідає, чому підприємцям тепер варто активніше цікавитись кібербезпекою і скільки це коштує.
Навіщо бізнесу знати, що таке кібербезпека? Поясніть максимально просто
На жаль, кількість кібератак у світі зростає і продовжуватиме зростати. За оцінками компанії ESET, за результатами першого кварталу 2022 року, кількість виявлених кіберзагроз у світі збільшилася на рекордні 20,1%. Причому шахраїв цікавлять як люди, так і компанії.
Кібербезпека – це не разова акція з налаштування фаєрвола або покупки антивірусу. Це постійний процес виявлення та протидії кіберзагрозам для забезпечення безперервність бізнес-процесів та збереження цифрових активів.
Власники та топ-менеджмент повинні усвідомлювати, що кіберризики – це один з різновидів операційних ризиків, які, зрештою, є фінансовими ризиками і можуть призвести до прямих фінансових втрат. Тому займатися питаннями кібербезпеки повинні не лише інженери з кіберзахисту чи IT-фахівці, а вся організація, включно з топ-менеджментом та власниками бізнесу.
Адже коли клієнти купують товари чи сервіси, вони вирішують довіритися компанії. Споживачі очікують, що продукт буде якісним, а послуги будуть на високому рівні. Клієнти також сподіваються на серйозне ставлення компанії до питань безпеки, і що їх дані будуть у безпеці.
Існує мільйон методів отримання зиску зловмисниками від проведення успішної кібератаки. І йдеться не лише про крадіжку конфіденційної інформації, ризики оприлюднення якої для бізнесу не потребують роз'яснення.
Наведіть приклади найпоширеніших атак
До найпоширеніших кіберзлочинів варто віднести:
Шантаж (Ransomware)
Завдання шкоди вашому клієнту/державі/індустрії, використовуючи вас як посередника без вашого відома (Supply Chain Attack)
Втрата репутації через появу на сайті компрометуючого контенту (Web defacement attack)
Крадіжка фінансових коштів (отримання доступу до банківських рахунків у результаті фішингу або атаки з елементами соцінженерії)
Атаки на доступність сервісів (онлайн сервісів, платежів)
У керівництва компанії має бути чітке розуміння потенційних векторів атаки. Звичайно, у межах своїх компетенцій. Наприклад, менеджмент повинен розуміти, що робити, якщо ключові процеси будуть зупинені в результаті атаки? Які бюджети необхідні для налаштування систем захисту? Як правильно побудувати зовнішню комунікацію з партнерами/клієнтами у разі атаки? Плани реагування та відновлення (Incident Response Plan) мають бути реальними та донесені до відома ключових членів команди.
Які галузі найбільше потерпають від кібератак і витоків даних?
На жаль, більшість компаній у всьому світі не готові ефективно протистояти кіберзагрозам. Абсолютно захищених систем немає, а значить, під ударом може опинитися будь-яка організація. Якісно збудовані системи кіберзахисту мають, як правило, тільки ті бізнеси, які вже стикалися з кібернападами і розуміють потенційні наслідки кібератаки чи витоку сенситивних даних.
За нашими спостереженнями, зловмисники знаходять способи монетизації атак, спрямованих на будь-який сектор економіки. Нині індустрія кібератак (а це вже системний бізнес) працює таким чином, що хакери спершу проводять злом, а потім визначають, що вони можуть зробити і яку вигоду отримати.
До індустрій, які найчастіше страждають від кіберзлочинності, можна віднести:
Фінанси та Фінтех, включаючи криптовалюти
Охорона здоров'я
Рітейл та виробництво
Консалтинг (особливо B2B, де кількість платежів невелика, але платіж за послуги великий)
Критична інфраструктура (енергетика, нафтогазова галузь, телекомунікації, транспорт, логістика)
Розробники програмного забезпечення
Органи державної влади та місцевого самоврядування
Це стосується лише великих компаній, чи для малого бізнесу це також актуально?
Малий та середній бізнес, на жаль, дуже часто ігнорують питання кібербезпеки. Підприємці виходять із помилкового судження: навряд чи кіберзлочинців цікавить мій бізнес. Ще як цікавить! Більше того, саме МСБ найчастіше стає жертвою кіберзлочинів.
Згідно з дослідженнями компанії Accenture, близько 43% усіх кібератак спрямовані якраз проти малого та середнього бізнесу. І це при тому, що лише 14% підприємств МСБ займаються питаннями кіберзахисту своїх активів. Більше того, близько 60% компаній, які зазнали кібератаки, стають банкрутами протягом наступних шести місяців після інциденту.
Яких заходів потрібно вжити регуляторам чи компаніям, щоб забезпечити максимальний захист?
Побудову ефективної системи захисту варто розпочати з аналізу ризиків та створення плану їхньої мінімізації (Risk Mitigation Plan). Необхідно запровадити систему контролів (процесних та технічних), які допоможуть мінімізувати основні загрози.
Наступний крок – compromise assessment – пошук уже скомпрометованих елементів ІТ-системи (так, можливо, інфраструктура вже частково контролюється зловмисниками, але ви про це ще не знаєте) та визначення Площі Атаки (Attack Surface) – комбінації особливостей бізнесу, слабкостей процесів та технічних уразливостей інфраструктури.
З моменту проникнення зловмисників у систему до кульмінації атаки може пройти кілька місяців. Тому, перш ніж впроваджувати інструменти та процедури з кіберзахисту, слід переконатися, що компанія в даний момент не є жертвою кібератаки, а очевидні вразливості, виправлення яких не потребує великих ресурсів, виправлено. Такі дослідження щодо присутності зловмисників в інформаційних мережах та визначення поточної площі атаки слід проводити не рідше, ніж раз на рік.
Як можна боротися із витоком даних на рівні держави?
Кібербезпека на рівні країни — це колективна відповідальність. Тільки захистивши кожен окремий суб'єкт, як комерційний, так і державний, можна говорити про підвищення кіберстійкості всієї держави.
Особливу увагу варто звернути на розробників програмного забезпечення та постачальників ІТ-технологій та послуг для державних установ та об'єктів критичної інфраструктури. Ці компанії є найбільш привабливою ціллю для кібератак на ланцюжок поставок (Supply Chain Attack) і повинні проводити посилений моніторинг як у режимі реального часу, так і шляхом регулярних глибоких технічних перевірок ІТ систем та процесів.
Далі йде системна робота з побудови фреймворку безпеки — сукупності політик, правил та заходів, які мають забезпечити розуміння залишкових ризиків у будь-який момент часу, мінімізацію внутрішніх та зовнішніх загроз, а також безперервний процес виявлення та реагування на кібератаки.
Для постійного внутрішнього моніторингу загроз компанії не обов'язково створювати власний департамент із людьми, обладнанням та процесами. Це не завжди під силу навіть великим корпораціям. Набагато ефективніше та вигідніше звернутися до компаній, які пропонують такі послуги як сервіс. Доступні рішення є як для великого бізнесу, так і для МСБ.
Скільки бізнесу необхідно виділяти коштів на кібербезпеку?
Простої відповіді це питання немає. Оскільки безпека – це безперервний процес, який не має фінальної точки, до якої можна прийти і зупинитися, то й інвестиції в кібер повинні бути на постійній основі. Почати можна з малого – хоча б із першого аудиту ризиків та побудови плану покращення, а потім нарощувати інвестиції за потребою.
Розмір бюджету залежить від комплексу факторів:
Індустрія та розмір компанії
Регуляторні вимоги, що впливають на бізнес
Рівень чутливості даних, які компанія збирає чи використовує
Суму, яку компанії витрачають на кібербезпеку, досить умовно можна прив'язати до їхнього бюджету на IT, який, як правило, формується виходячи із розміру компанії та складності його IT-інфраструктури. Це від 5% до 25% IT-бюджету. Наприклад, якщо компанія з 40 осіб платить $5 тисяч на місяць постачальнику ІТ-послуг, то бюджет на кібербезпеку варіюватиметься від $250 до $1250.
Як і в інших операційних напрямках, необхідно шукати оптимальний баланс між існуючими ресурсами, які компанія може витрачати на кібербезпеку, та бажаним результатом. Компанія-провайдер у сфері кібербезпеки допоможе виділити пріоритетні завдання, на які варто виділити фінансування в першу чергу. І поступово посилювати кіберзахист, запроваджуючи додаткові рішення.
Спеціально під запити малого та середнього бізнесу компанії з кібербезпеки, у тому числі ISSP, пропонують комплексні рішення, які закривають базові потреби у захисті основних цифрових активів та забезпечують постійний моніторинг та виявлення кіберзагроз. Витрати на кібербезпеку вже давно перейшли з категорії «добре мати» до розряду необхідних для виживання бізнесу.
Comments