Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»
В ожидании хакеров: как бизнес должен готовиться к киберугрозам
Альгирде Пипикайте , Марк БаррачинНа первый взгляд, проблема киберугроз неразрешима. В силу своей природы кибератаки быстро меняются, не имеют границ и асимметричны — их невероятно сложно прогнозировать и устранять. Неудивительно, что Всемирный экономический форум вновь поставил кибербезопасность на одну из первых строчек своего недавнего списка глобальных рисков. Действительно, если исходить из обычного здравого смысла, любая организация рано или поздно станет целью кибератаки — это лишь вопрос времени. И хотя мы согласны с высказыванием старшего аналитика по кибербезопасности в Национальной лаборатории штата Айдахо Энди Бочмана о том, что «никакие расходы на киберзащиту не защитят полностью от хакеров», мы также утверждаем, что вам по силам укрепить свою защиту и существенно снизить риски.
В этой статье мы сосредоточимся на главной проблеме в управлении кибербезопасностью — недостаточном количестве информации. Объективную оценку потенциального воздействия кибератак затрудняет то, что очень мало данных выложено в широкий доступ. В результате нашей работы с заинтересованными сторонами из разных отраслей и географических регионов мы предлагаем подход к определению того, что измерять, как собирать требуемые данные и как сделать их полезными.
Почему мы должны делиться информацией
Информация в кибербезопасности — это сила, позволяющая предотвращать похожие атаки. Если в одной организации взламывают систему, можно с уверенностью утверждать, что такая же вредоносная тактика в ближайшем будущем будет использована и для атаки на другую организацию. Если данные об этом первом известном нарушении выкладываются в открытый доступ, другие организации смогут подготовиться и убедиться, что такая же уязвимость не будет использована против них. Общее знание также позволяет регулирующим и правоохранительным органам объективно управлять стимулами для улучшения корпоративной кибербезопасности, сбора данных и обмена информацией.
Первый шаг, который для этого нужно сделать, — выяснить, что именно следует измерять. Для этого необходимо согласовать стандартную классификацию киберинцидентов, которая позволит отслеживать и понимать последствия любой атаки. Такая классификация должна включать:
даты, имеющие отношение к инциденту (когда он произошел, когда он был замечен, когда о нем сообщили);
тип инцидента (несанкционированный доступ, вредоносное ПО, распределенная атака типа «отказ в обслуживании» [DDoS] и т. д.);
размер влияния инцидента на финансовые результаты организации или ее способность вести бизнес;
тип воздействия (утечка данных, финансовые потери, нарушение операционной деятельности или правовой, репутационный, интеллектуальный ущерб и т. д.);
метод, используемый для доступа к сети или данным (фишинг, программы-вымогатели, вирусы, так называемая уязвимость нулевого дня и т. д.);
информацию о том, как инцидент был устранен (патч, обновление конфигурации брандмауэра или программного обеспечения и т.д.), а также стоимость устранения.