Точка зрения
Исследование для руководителей, посвященное вопросам киберрисков
2014
Постоянные и целенаправленные угрозы стали реальностью для всех организаций, использующих цифровые технологии.
В современном мире, насыщенном цифровыми технологиями и информацией, управление киберрисками является не просто стратегической задачей, но и неотъемлемой частью ведения деятельности любой компании. До сих пор разработка концепции кибербезопасности остается сложной задачей для большинства представителей высшего руководства и членов советов директоров. Даже если решение данной проблемы предусмотрено в вашей повестке дня, что она действительно из себя представляет? И что ваша организация может предпринять, чтобы защитить себя от возможных кибератак? В соответствии с широко распространенным мифом, кибератакам подвержен только определенный круг организаций, осуществляющих свою деятельность, в частности, в сфере высоких технологий. Правда, однако, заключается в том, что ни одна организация не застрахована от потери ценной информации. В действительности, атаки зачастую не являются целенаправленными, а используются автоматизированные инструменты, определяющие потенциальные слабые места в системе.
Актуальные данные
Классификация инцидентов |
% |
Взлом систем POS-терминалов |
14% |
Атаки на web-приложения |
35% |
Неправомерное использование инсайдерской информации |
8% |
Кражу/Утрата информации |
<1% |
Различные ошибки |
2% |
Вредоносное программное обеспечение |
4% |
Скиммеры |
9% |
Атака типа «отказ в обслуживании» |
<1% |
Кибершпионаж |
22% |
Прочее |
6% |
Таблица 1. Классификация инцидентов по 1367 нарушениям в 2013 году. Источник: Verizon 2014 Data Breach Investigations Report 1.
Кибератаки могут нанести огромный ущерб. Они влекут за собой значительные материальные расходы, от утраты денежных средств и имущества до штрафов, правового ущерба и возмещения убытков. Тем не менее, наиболее болезненными могут быть нематериальные расходы, такие как потеря конкурентного преимущества по причине украденной интеллектуальной собственности, утрата доверия со стороны клиента или делового партнера, утрата целостности системы в результате атаки на цифровые активы, а также общий ущерб репутации и имиджу организации, способные вызвать резкое падение акций компании или даже стать причиной ее банкротства.
Устойчивость к киберрискам зависит, в первую очередь, от осведомленности членов советов директоров и высшего руководства, признания того, что рано или поздно организация может быть подвержена атаке. Необходимо осознавать всю серьезность угроз и понимать, что активы, имеющие непосредственное отношение к миссии вашей организации, наиболее подвержены риску.
Кто может нанести удар вашей компании и зачем? Какие активы злоумышленники могут счесть наиболее ценными? Каким вам представляется наиболее вероятный сценарий атаки (см. таблицу 1), и какое потенциальное влияние она может оказать на деятельность вашей организации?
Подобные вопросы помогут определить, насколько устойчивой является ваша организация к киберугрозам. Такое понимание позволит вам, как представителю высшего руководства или члену совета директоров, разработать матрицу рисков вашей организации и указать внутренним и внешним специалистам по безопасности путь по снижению уровня риска до приемлемого посредством создания надежных систем киберзащиты. Несмотря на то что любая организация находится в зоне риска, принятие различных мер для предотвращения, выявления и борьбы с кибератаками позволит существенно снизить риски и обеспечит бесперебойную работу.
С целью максимизации эффективности и надежности систем киберзащиты необходимо учитывать три основных фактора: надежность, бдительность и устойчивость.
Надежность подразумевает защиту чувствительных к рискам активов, лежащих в основе обеспечения миссии вашей организации, активов, которые и вы, и потенциальные злоумышленники рассматриваете, как наиболее ценные.
Бдительность подразумевает распространение информации о вероятности возникновения угрозы на уровне организации, а также разработку механизмов выявления предпосылок или даже прогнозирования угрозы для наиболее ценных активов.
Устойчивость подразумевает возможность оперативной локализации ущерба и мобилизации различных ресурсов, необходимых для минимизации последствий кибератаки, которые могут повлечь дополнительные затраты включая прямые затраты и приостановление деятельности, нанесение ущерба репутации и имиджу организации.
Настоящий отчет является лишь отправной точкой на пути понимания всей серьезности киберугроз для организаций. В нем рассматриваются основные угрозы для компаний в семи ключевых отраслях: розничная торговля (ритейл), производство, электронная коммерция и онлайн-платежи, онлайн-медиа, высокие технологии, телекоммуникации и страхование. Отчет основан на реальных примерах и практическом опыте, что поможет вашей организации оценить масштаб угрозы и всегда на шаг опережать киберпреступников.
Приводя примеры из практики, мы хотим продемонстрировать, что если ваша компания подверглась хакерской атаке, в этом нет ничего предосудительного. Атакам подвержены все без исключения организации, не потому что у них плохая система управления, а потому что хакеры и киберпреступники с каждым днем совершенствуют свои навыки и становятся все более изощренными в своих атаках. «Путем сбора и передачи информации об атаках мы можем научиться себя защищать» — так звучит один из призывов инициативы Всемирного экономического форума «Партнерство ради противостояния киберугрозам».
Опыт показывает, что киберугрозы неизбежны: рано или поздно ваша организация может быть подвергнута атаке. Он также показывает, что мы все зависим друг от друга с точки зрения обеспечения безопасности киберпространства. К примеру, онлайн-медиа может использоваться для распространения вредоносного ПО; уязвимость сектора высоких технологий влияет на другие отрасли, использующие цифровые технологии; сбои в электронных платежных системах влияют на эффективность электронной коммерции. Путем передачи информации и понимания существующих проблем, а также осознания ответственности на уровне высшего руководства и совета директоров, мы можем вести согласованную работу по созданию безопасного киберпространства.
----------------------------------------------
1 http://www.verizonenterprise.com/DBIR/2014/
2 http://www.weforum.org/issues/partnering-cyber-resilience-pcr
Высокие технологии
Отрасль высоких технологий зачастую находится в эпицентре кибератак. Одной из наиболее очевидных причин является наличие у организаций ценной информации, которая может подвергнуться атаке. Тем не менее, другой более серьезной причиной является сам характер организаций, работающих в сфере высоких технологий. Такие организации и их сотрудники обычно подвержены более высокому уровню риска по сравнению с компаниями других секторов. Они также являются первопроходцами использования новых, еще не до конца испытанных технологий и, следовательно, в большей степени подвержены атакам и вредоносным вторжениям. Например, сотрудники организаций, работающих в сфере высоких технологий, могут использовать (и самостоятельно управлять) передовые мобильные устройства и новейшие мобильные приложения, что уже само по себе может представлять угрозу безопасности. Кроме того, многие организации в сфере высоких технологий характеризуются открытой корпоративной культурой, которая в силу своей нацеленности на выявление творческого потенциала и успешного взаимодействия, представляет фактор риска. В результате такие организации, как правило, имеют большое количество подверженных атаке областей, которые требуют защиты.
Онлайн-медиа
Онлайн-медиа, вероятно, в наибольшей степени подвержены киберугрозам. Поскольку такие организации работают в режиме онлайн, они характеризуются повышенным количеством областей, требующих защиты. Также учитывая, что услуги подобных организаций пользуются высоким спросом и полностью основаны на применении цифровых технологий, существует высокий риск проникновения и хищения ценной информации как отдельными лицами, так и организованными преступными группами.
Электронная коммерция и онлайн-платежи
По мере того, как все большее количество компаний переходит на продажи через Интернет или расширяет спектр своих онлайн-услуг, их примеру следуют и преступники. В целях осуществления оперативной обработки данных и управления поставками, многие сайты онлайн-магазинов напрямую связаны как с Интернетом, так и с серверными системами компании, что делает веб-сайт ключевым объектом атаки для получения доступа к стратегически важной информации компании.
Страхование
Частота кибератак в секторе страхования растет в геометрической прогрессии в связи с тем, что страховые компании переходят на цифровые каналы обслуживания для создания более тесных взаимоотношений с клиентами, представления новой продукции и увеличения доли финансовых портфелей клиентов. Подобная ситуация ведет к увеличению инвестиций в традиционные ИТ-системы (например, системы обработки страховых полисов и заявлений), а также интегрированные платформы, такие как агентские порталы, онлайн-заявления на получение полиса, а также интернет и мобильные приложения для подачи страховых заявлений. Несмотря на то, что подобные инвестиции открывают новые стратегические возможности, они также создают новые киберриски и обозначают векторы возможных атак на организации, которые не имеют достаточного опыта решения проблем в многоканальной среде. Кроме того, проблема становится еще более серьезной, если страховщики сталкиваются с большим объемом данных и переходят к использованию передовых аналитических методов, что требует сбора и обработки большого объема клиентской информации. Страховщики ищут инновационные способы обработки данных, однако необходимо также использовать средства защиты информации от кибератак.
Промышленность
Производители все чаще подвергаются нападениям не только со стороны традиционных злоумышленников, таких как хакеры и киберпреступники, но и со стороны конкурирующих компаний и стран, замешанных в корпоративном шпионаже. Мотивация может быть различной, начиная от финансового интереса и зависти и заканчивая стремлением к получению конкурентных преимуществ.
Розничная торговля
Данные кредитных карт стали для хакеров и преступников новой валютой, а розничные компании как раз обладают большим объемом таких данных. Подобная ситуация делает индустрию розничной торговли наиболее уязвимой для кибератак.
Заключение
Настоящий отчет рассматривает семь ключевых отраслей, которые подвержены прямой киберугрозе. В последующих отчетах будут рассматриваться основные угрозы для предприятий других ключевых отраслей, которые также являются чрезвычайно уязвимыми. В конечном итоге, единственный вывод, который можно сделать по результатам данного исследования, заключается в том, что кибервторжения неизбежны. Ни одна из отраслей или организаций не застрахована от нападения. Рано или поздно с такой проблемой столкнется и ваша компания.
Атаки влекут за собой значительные материальные расходы, от утраты денежных средств и имущества до штрафов, правового ущерба и возмещения убытков. Но это только вершина айсберга. Наиболее болезненными могут быть нематериальные расходы, в частности, потеря конкурентного преимущества, утрата доверия со стороны клиента, а также общий ущерб репутации и имиджу организации. Подобные нематериальные расходы могут иметь значительные последствия для стратегического положения организации на рынке и цен на акции.
Но есть и хорошие новости: проблема киберугрозы вполне разрешима. Как упоминалось ранее, эффективная и надежная система киберзащиты должна учитывать три основных фактора: надежность, бдительность и устойчивость. Несмотря на то, что некоторые организации не могут быть на 100% защищены от кибератак, с учетом этих трех основных факторов вполне можно управлять вероятностью и последствиями возникновения киберугроз, ограничивая таким образом воздействие и минимизируя риск потенциального ущерба.
В заключении предлагаем вашему вниманию пять основных вопросов, отражающих подход к созданию надежной системы киберзащиты на основе принципов надежности, бдительности и устойчивости.
Сосредоточили ли вы внимание на главных аспектах? Мы часто спрашиваем себя об этом, но на практике не все так просто. Необходимо понимать, как создается стоимость вашей организации, что представляют из себя ваши основные активы и насколько они уязвимы перед угрозой. Защита должна создаваться изнутри.
Есть ли у вас соответствующие специалисты? Отдавайте приоритет качеству, а не количеству. Возможно, для достижения всех целей у вас недостаточно квалифицированных специалистов. Примите стратегическое решение о подборе соответствующего персонала. Сосредоточили ли группы по обеспечению безопасности свое внимание на основных направлениях деятельности?
Умеете ли вы прогнозировать ситуацию или решаете проблемы по мере их поступления? Модернизация системы безопасности стоит очень дорого. Создавайте ее постепенно в рамках управленческих процессов, разработки программных приложений и инфраструктуры.
Соответствует ли ваша деятельность принципам открытости и прозрачности взаимодействия и сотрудничества?
Установите прочные взаимоотношения с партнерами, правоохранительными, регулирующими органами и поставщиками. Обеспечьте взаимодействие между группами и подразделениями во избежание сокрытия рисков сотрудниками с целью самозащиты.
Готовы ли вы к переменам? Необходим пересмотр политики, проведение оценок и планирование процессов реагирования на случай возникновения кризисной ситуации, что позволит разработать ряд специальных мер для противостояния угрозам и уменьшения рисков.