Приемы против взлома

Приемы против взлома
|26 февраля 2020| Томас Паренти Джек Домет

За последнее десятилетие убытки бизнеса от кибервзломов и их последствий значительно возросли — и это не может не вызывать беспокойства. Так, общие финансовые и экономические потери от массового заражения компьютеров червем-­вымогателем WannaCry в 2017 году оцениваются в $8 млрд. В 2018 году в Marriott обнаружили, что в результате взлома системы бронирования ее дочерней компании Starwood возникла угроза утечки личной информации и данных кредитных карт 500 млн клиентов. По всей видимости, методы хакеров становятся все более эффективными. Однако по опыту работы с клиентами по всему миру мы знаем: есть и другая причина, по которой бизнес оказывается столь беззащитным перед киберпреступностью. Дело в том, что компании плохо осознают основные киберриски, поскольку склонны чрезмерно фокусироваться на технологических уязвимостях.

Когда забота о кибербезопасности ограничивается технологиями, страдает и осведомленность лидеров, и защищенность компании. Разговор о киберугрозах в этом случае ведется на компьютерном жаргоне, из-за чего лидеры компании не могут конструктивно в нем участвовать. Ответственность за устранение рисков полностью ложится на плечи специалистов по ИТ и кибербезопасности, которые уделяют внимание в основном компьютерным системам. Результат — длинный, плохо ранжированный список задач по минимизации рисков. Поскольку ни одна компания не обладает ресурсами для того, чтобы предотвратить все проблемы с кибербезопасностью, многие серьезные угрозы могут остаться без внимания.

Более продуктивный подход — исходить из потенциального вреда, который кибератаки могут нанести работе предприятия. Представьте, что вы директор химической компании. Вместо того чтобы гадать, каким атакам могут подвергнуться ваши компьютерные системы, лучше спросите себя: каким образом злоумышленники могут парализовать вашу цепочку поставок? Или получить доступ к секретным технологиям? Или помешать вам выполнить договорные обязательства? Или создать угрозу человечеству? Разница в формулировках может показаться незначительной, но если начать выстраивать защиту с ключевых аспектов деятельности, будет проще определить приоритеты киберобороны.

ИДЕЯ КОРОТКО

ПРОБЛЕМА

На кибербезопасность тратятся миллиарды долларов, но ущерб от взломов продолжает расти — во многом потому, что компании не способны выявить критические для них риски.
ТРАДИЦИОННЫЙ ПОДХОД
Многие фирмы видят проблему лишь в технологических уязвимостях и поручают заботу о киберзащите ИТ-специалистам. В итоге те составляют неупорядоченный список возможных атак, а разговор о рисках ведется на техническом жаргоне, непонятном для лидеров компании.
ПРОДУКТИВНЫЙ ПОДХОД
Нужно определить критические направления и связанные с ними риски; выяснить, какие системы поддерживают работу этих направлений; выявить уязвимости и очертить круг потенциальных зло¬умышленников. В этом процессе должны участвовать и руководители, и рядовые сотрудники, а отвечать за него — топ-менеджеры и совет директоров.

Вот что говорит о таком смещении акцентов Ричард Ланкастер, глава CLP — третьей по величине в Азии энергетической корпорации: «Поначалу мы считали киберриски преимущественно компьютерной проблемой. Со временем мы осознали, что на самом деле наши самые уязвимые места — электросети и электростанции. Сегодня мы понимаем, что риск кибератаки — это прежде всего бизнес-риск, а за управление бизнес-рисками отвечаю я как гендиректор». При таком подходе ответственность ложится не на ИТ-отдел, а на руководство и совет директоров: именно они должны занять активную позицию и указать специалистам по кибербезопасности нужное направление работы.

Разработка нарратива киберугрозы

Выявление и устранение киберрисков требует взаимодействия: чтобы понять, где таятся наиболее опасные угрозы, важно изучить мнения широкого круга сотрудников. Привлекая людей к дискуссии, вы сможете с самого начала прийти к общему пониманию ключевых фактов и обстоятельств, а значит, в дальнейшем вам будет проще договориться о том, как противостоять угрозам.

Чтобы помочь бизнесу систематизировать важную информацию и представить ее широкой аудитории, мы разработали инструмент под названием нарратив кибер­угрозы. Он касается четырех элементов сценария возможной кибератаки: критических направлений деятельности и связанных с ними рисков; систем обеспечения этой деятельности; видов потенциальных атак и возможных последствий и наиболее вероятных инициаторов атаки. Собрав информацию по каждому из этих пунктов, вы сможете выявить и приоритизировать риски, а также принять меры по их устранению.

Разработкой нарратива киберугрозы должны заниматься специалисты по кибербезопасности, однако свой вклад необходимо внести и другим группам.

  • Руководство: гендиректор и прочие топ-менеджеры. Встречи с лидерами необходимы, но не должны отнимать много времени; если грамотно подготовить повестку и вопросы, совещания станут короче и содержательнее.

  • Производственный персонал: сотрудники, связанные с основной деятельностью предприятия.

  • ИТ-отдел: специалисты, отвечающие за компьютерное обеспечение работы компании.

  • Профильные специалисты: эксперты в областях, связанных с теми или иными типами киберугроз: юристы, пиарщики, кадровики, охранники. Так, если согласно нарративу атака может вызвать утечку личной информации, к процессу нужно подключить юристов, чтобы минимизировать риск нарушения закона о персональных данных.

Рассмотрим подробнее каждый из элементов нарратива и разберемся, как его разрабатывать и кто должен в этом участвовать.

Критические направления деятельности и риски

Чтобы определить ключевые направления и связанные с ними риски, специалисты по кибербезопасности должны опросить лидеров компании, изучить заявления о приемлемости рисков (их можно найти в годовых отчетах) и планы компании (целевые показатели по выручке, росту на новых рынках и т. п.). Так, выполнение плана по выручке может зависеть от разработки новых продуктов или расширения объема услуг, а увеличение клиентской базы — от выхода на зарубежный рынок. Критические направления могут быть связаны с внешними или внутренними задачами организации или относиться к ее стратегическим планам. Скажем, для химической компании таким направлением может быть производство востребованных на рынке полиэфирных смол.

Важность того или иного направления зависит от отрасли и конкретной компании. Процессы обслуживания клиентов не связаны с высокими рисками в таких отраслях, как разработка ПО или розничная торговля товарами со скидкой. Но, скажем, в игорном бизнесе отношения с клиентами чрезвычайно важны. Для казино в Макао, которые более 54% общего игорного дохода получают от небольшого сегмента VIP-посетителей, любая угроза отношениям с ними — это угроза для прибыли.

Число ключевых направлений (а значит, и нарративов киберугроз) также зависит от конкретной компании.

Чтобы оценить риски для вашего бизнеса, попробуйте представить, какой ущерб вам может нанести сбой в той или иной ключевой области. Например, в случае с химической компанией авария на заводе по производству смол ударит по выручке. Оцените сопутствующие риски для стейкхолдеров: возможные выбросы токсичных газов в атмосферу или утечку конфиденциальной клиентской информации (паролей или данных кредитных карт).

Полная версия статьи доступна подписчикам
Выберите срок онлайн-подписки:

https://hbr-russia.ru/management/upravlenie-izmeneniyami/821987

2020-02-26T07:37:52.000+03:00

Wed, 26 Feb 2020 05:17:38 GMT

Приемы против взлома

Как оценить риски, сфокусировавшись на угрозах для вашего бизнеса

Менеджмент / Управление изменениями

https://cdn.hbr-russia.ru/image/2020/v/16ogns/original-1jbb.png

Harvard Business Review РоссияHarvard Business Review Россия

Harvard Business Review РоссияHarvard Business Review Россия