Приемы против взлома | Большие Идеи
Управление изменениями
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

Приемы против взлома

Джек Домет , Томас Паренти
Приемы против взлома
Фото: KOTRYNA ZUKAUSKAITE

За последнее десятилетие убытки бизнеса от кибервзломов и их последствий значительно возросли — и это не может не вызывать беспокойства. Так, общие финансовые и экономические потери от массового заражения компьютеров червем-­вымогателем WannaCry в 2017 году оцениваются в $8 млрд. В 2018 году в Marriott обнаружили, что в результате взлома системы бронирования ее дочерней компании Starwood возникла угроза утечки личной информации и данных кредитных карт 500 млн клиентов. По всей видимости, методы хакеров становятся все более эффективными. Однако по опыту работы с клиентами по всему миру мы знаем: есть и другая причина, по которой бизнес оказывается столь беззащитным перед киберпреступностью. Дело в том, что компании плохо осознают основные киберриски, поскольку склонны чрезмерно фокусироваться на технологических уязвимостях.

Когда забота о кибербезопасности ограничивается технологиями, страдает и осведомленность лидеров, и защищенность компании. Разговор о киберугрозах в этом случае ведется на компьютерном жаргоне, из-за чего лидеры компании не могут конструктивно в нем участвовать. Ответственность за устранение рисков полностью ложится на плечи специалистов по ИТ и кибербезопасности, которые уделяют внимание в основном компьютерным системам. Результат — длинный, плохо ранжированный список задач по минимизации рисков. Поскольку ни одна компания не обладает ресурсами для того, чтобы предотвратить все проблемы с кибербезопасностью, многие серьезные угрозы могут остаться без внимания.

Более продуктивный подход — исходить из потенциального вреда, который кибератаки могут нанести работе предприятия. Представьте, что вы директор химической компании. Вместо того чтобы гадать, каким атакам могут подвергнуться ваши компьютерные системы, лучше спросите себя: каким образом злоумышленники могут парализовать вашу цепочку поставок? Или получить доступ к секретным технологиям? Или помешать вам выполнить договорные обязательства? Или создать угрозу человечеству? Разница в формулировках может показаться незначительной, но если начать выстраивать защиту с ключевых аспектов деятельности, будет проще определить приоритеты киберобороны.

ИДЕЯ КОРОТКО

ПРОБЛЕМА

На кибербезопасность тратятся миллиарды долларов, но ущерб от взломов продолжает расти — во многом потому, что компании не способны выявить критические для них риски.
ТРАДИЦИОННЫЙ ПОДХОД
Многие фирмы видят проблему лишь в технологических уязвимостях и поручают заботу о киберзащите ИТ-специалистам. В итоге те составляют неупорядоченный список возможных атак, а разговор о рисках ведется на техническом жаргоне, непонятном для лидеров компании.
ПРОДУКТИВНЫЙ ПОДХОД
Нужно определить критические направления и связанные с ними риски; выяснить, какие системы поддерживают работу этих направлений; выявить уязвимости и очертить круг потенциальных зло¬умышленников. В этом процессе должны участвовать и руководители, и рядовые сотрудники, а отвечать за него — топ-менеджеры и совет директоров.

Вот что говорит о таком смещении акцентов Ричард Ланкастер, глава CLP — третьей по величине в Азии энергетической корпорации: «Поначалу мы считали киберриски преимущественно компьютерной проблемой. Со временем мы осознали, что на самом деле наши самые уязвимые места — электросети и электростанции. Сегодня мы понимаем, что риск кибератаки — это прежде всего бизнес-риск, а за управление бизнес-рисками отвечаю я как гендиректор». При таком подходе ответственность ложится не на ИТ-отдел, а на руководство и совет директоров: именно они должны занять активную позицию и указать специалистам по кибербезопасности нужное направление работы.

Разработка нарратива киберугрозы

Выявление и устранение киберрисков требует взаимодействия: чтобы понять, где таятся наиболее опасные угрозы, важно изучить мнения широкого круга сотрудников. Привлекая людей к дискуссии, вы сможете с самого начала прийти к общему пониманию ключевых фактов и обстоятельств, а значит, в дальнейшем вам будет проще договориться о том, как противостоять угрозам.

Чтобы помочь бизнесу систематизировать важную информацию и представить ее широкой аудитории, мы разработали инструмент под названием нарратив кибер­угрозы. Он касается четырех элементов сценария возможной кибератаки: критических направлений деятельности и связанных с ними рисков; систем обеспечения этой деятельности; видов потенциальных атак и возможных последствий и наиболее вероятных инициаторов атаки. Собрав информацию по каждому из этих пунктов, вы сможете выявить и приоритизировать риски, а также принять меры по их устранению.

Разработкой нарратива киберугрозы должны заниматься специалисты по кибербезопасности, однако свой вклад необходимо внести и другим группам.

  • Руководство: гендиректор и прочие топ-менеджеры. Встречи с лидерами необходимы, но не должны отнимать много времени; если грамотно подготовить повестку и вопросы, совещания станут короче и содержательнее.

  • Производственный персонал: сотрудники, связанные с основной деятельностью предприятия.

  • ИТ-отдел: специалисты, отвечающие за компьютерное обеспечение работы компании.

  • Профильные специалисты: эксперты в областях, связанных с теми или иными типами киберугроз: юристы, пиарщики, кадровики, охранники. Так, если согласно нарративу атака может вызвать утечку личной информации, к процессу нужно подключить юристов, чтобы минимизировать риск нарушения закона о персональных данных.

Рассмотрим подробнее каждый из элементов нарратива и разберемся, как его разрабатывать и кто должен в этом участвовать.

Критические направления деятельности и риски

Чтобы определить ключевые направления и связанные с ними риски, специалисты по кибербезопасности должны опросить лидеров компании, изучить заявления о приемлемости рисков (их можно найти в годовых отчетах) и планы компании (целевые показатели по выручке, росту на новых рынках и т. п.). Так, выполнение плана по выручке может зависеть от разработки новых продуктов или расширения объема услуг, а увеличение клиентской базы — от выхода на зарубежный рынок. Критические направления могут быть связаны с внешними или внутренними задачами организации или относиться к ее стратегическим планам. Скажем, для химической компании таким направлением может быть производство востребованных на рынке полиэфирных смол.

Важность того или иного направления зависит от отрасли и конкретной компании. Процессы обслуживания клиентов не связаны с высокими рисками в таких отраслях, как разработка ПО или розничная торговля товарами со скидкой. Но, скажем, в игорном бизнесе отношения с клиентами чрезвычайно важны. Для казино в Макао, которые более 54% общего игорного дохода получают от небольшого сегмента VIP-посетителей, любая угроза отношениям с ними — это угроза для прибыли.

Число ключевых направлений (а значит, и нарративов киберугроз) также зависит от конкретной компании.

Чтобы оценить риски для вашего бизнеса, попробуйте представить, какой ущерб вам может нанести сбой в той или иной ключевой области. Например, в случае с химической компанией авария на заводе по производству смол ударит по выручке. Оцените сопутствующие риски для стейкхолдеров: возможные выбросы токсичных газов в атмосферу или утечку конфиденциальной клиентской информации (паролей или данных кредитных карт).

советуем прочитать
Войдите на сайт, чтобы читать полную версию статьи
советуем прочитать
«Мы всегда ищем способы, как потратить больше»
Анастасия Иванова / "Ведомости"
Сумма разностей
Пол Гомперс,  Сильпа Коввали