Приемы против взлома

За последнее десятилетие убытки бизнеса от кибервзломов и их последствий значительно возросли — и это не может не вызывать беспокойства. Так, общие финансовые и экономические потери от массового заражения компьютеров червем-­вымогателем WannaCry в 2017 году оцениваются в $8 млрд. В 2018 году в Marriott обнаружили, что в результате взлома системы бронирования ее дочерней компании Starwood возникла угроза утечки личной информации и данных кредитных карт 500 млн клиентов. По всей видимости, методы хакеров становятся все более эффективными. Однако по опыту работы с клиентами по всему миру мы знаем: есть и другая причина, по которой бизнес оказывается столь беззащитным перед киберпреступностью. Дело в том, что компании плохо осознают основные киберриски, поскольку склонны чрезмерно фокусироваться на технологических уязвимостях.

Когда забота о кибербезопасности ограничивается технологиями, страдает и осведомленность лидеров, и защищенность компании. Разговор о киберугрозах в этом случае ведется на компьютерном жаргоне, из-за чего лидеры компании не могут конструктивно в нем участвовать. Ответственность за устранение рисков полностью ложится на плечи специалистов по ИТ и кибербезопасности, которые уделяют внимание в основном компьютерным системам. Результат — длинный, плохо ранжированный список задач по минимизации рисков. Поскольку ни одна компания не обладает ресурсами для того, чтобы предотвратить все проблемы с кибербезопасностью, многие серьезные угрозы могут остаться без внимания.

Более продуктивный подход — исходить из потенциального вреда, который кибератаки могут нанести работе предприятия. Представьте, что вы директор химической компании. Вместо того чтобы гадать, каким атакам могут подвергнуться ваши компьютерные системы, лучше спросите себя: каким образом злоумышленники могут парализовать вашу цепочку поставок? Или получить доступ к секретным технологиям? Или помешать вам выполнить договорные обязательства? Или создать угрозу человечеству? Разница в формулировках может показаться незначительной, но если начать выстраивать защиту с ключевых аспектов деятельности, будет проще определить приоритеты киберобороны.

Вот что говорит о таком смещении акцентов Ричард Ланкастер, глава CLP — третьей по величине в Азии энергетической корпорации: «Поначалу мы считали киберриски преимущественно компьютерной проблемой. Со временем мы осознали, что на самом деле наши самые уязвимые места — электросети и электростанции. Сегодня мы понимаем, что риск кибератаки — это прежде всего бизнес-риск, а за управление бизнес-рисками отвечаю я как гендиректор». При таком подходе ответственность ложится не на ИТ-отдел, а на руководство и совет директоров: именно они должны занять активную позицию и указать специалистам по кибербезопасности нужное направление работы.

Разработка нарратива киберугрозы

Выявление и устранение киберрисков требует взаимодействия: чтобы понять, где таятся наиболее опасные угрозы, важно изучить мнения широкого круга сотрудников. Привлекая людей к дискуссии, вы сможете с самого начала прийти к общему пониманию ключевых фактов и обстоятельств, а значит, в дальнейшем вам будет проще договориться о том, как противостоять угрозам.

Чтобы помочь бизнесу систематизировать важную информацию и представить ее широкой аудитории, мы разработали инструмент под названием нарратив кибер­угрозы. Он касается четырех элементов сценария возможной кибератаки: критических направлений деятельности и связанных с ними рисков; систем обеспечения этой деятельности; видов потенциальных атак и возможных последствий и наиболее вероятных инициаторов атаки. Собрав информацию по каждому из этих пунктов, вы сможете выявить и приоритизировать риски, а также принять меры по их устранению.

Разработкой нарратива киберугрозы должны заниматься специалисты по кибербезопасности, однако свой вклад необходимо внести и другим группам.

• Руководство: гендиректор и прочие топ-менеджеры. Встречи с лидерами необходимы, но не должны отнимать много времени; если грамотно подготовить повестку и вопросы, совещания станут короче и содержательнее.

• Производственный персонал: сотрудники, связанные с основной деятельностью предприятия.

• ИТ-отдел: специалисты, отвечающие за компьютерное обеспечение работы компании.

• Профильные специалисты: эксперты в областях, связанных с теми или иными типами киберугроз: юристы, пиарщики, кадровики, охранники. Так, если согласно нарративу атака может вызвать утечку личной информации, к процессу нужно подключить юристов, чтобы минимизировать риск нарушения закона о персональных данных.

Рассмотрим подробнее каждый из элементов нарратива и разберемся, как его разрабатывать и кто должен в этом участвовать.

Критические направления деятельности и риски

Чтобы определить ключевые направления и связанные с ними риски, специалисты по кибербезопасности должны опросить лидеров компании, изучить заявления о приемлемости рисков (их можно найти в годовых отчетах) и планы компании (целевые показатели по выручке, росту на новых рынках и т. п.). Так, выполнение плана по выручке может зависеть от разработки новых продуктов или расширения объема услуг, а увеличение клиентской базы — от выхода на зарубежный рынок. Критические направления могут быть связаны с внешними или внутренними задачами организации или относиться к ее стратегическим планам. Скажем, для химической компании таким направлением может быть производство востребованных на рынке полиэфирных смол.

Важность того или иного направления зависит от отрасли и конкретной компании. Процессы обслуживания клиентов не связаны с высокими рисками в таких отраслях, как разработка ПО или розничная торговля товарами со скидкой. Но, скажем, в игорном бизнесе отношения с клиентами чрезвычайно важны. Для казино в Макао, которые более 54% общего игорного дохода получают от небольшого сегмента VIP-посетителей, любая угроза отношениям с ними — это угроза для прибыли.

Число ключевых направлений (а значит, и нарративов киберугроз) также зависит от конкретной компании.

Чтобы оценить риски для вашего бизнеса, попробуйте представить, какой ущерб вам может нанести сбой в той или иной ключевой области. Например, в случае с химической компанией авария на заводе по производству смол ударит по выручке. Оцените сопутствующие риски для стейкхолдеров: возможные выбросы токсичных газов в атмосферу или утечку конфиденциальной клиентской информации (паролей или данных кредитных карт).