Исследова­ние для руководи­те­лей, посвящен­ное вопро­сам кибер­рис­ков

Статья

Исследова­ние для руководи­те­лей, посвящен­ное вопро­сам кибер­рис­ков

2014 год

APT-угрозы (Advanced Persistent Threats) угрозы стали реальностью для всех организаций, использующих цифровые технологии.

В современном мире высоких технологий управление киберрисками является не просто стратегической задачей, но также неотъемлемой частью деятельности любой компании. Разработка концепции кибербезопасности часто представляет сложности для высшего руководства и советов директоров. Даже если решение данной проблемы предусмотрено в стратегической программе компании, что оно действительно из себя представляет? И что организация может предпринять, чтобы защитить себя от возможных кибератак? Существует широко распространенный миф, что кибератакам подвержен только определенный круг организаций, осуществляющих свою деятельность, в частности, в сфере высоких технологий. Правда, однако, заключается в том, что ни одна организация не застрахована от потери ценной информации. В действительности, атаки зачастую не являются целенаправленными, для них используются автоматизированные инструменты, определяющие потенциальные слабые места в системе.

Актуальные данные

Классификация инцидентов

%

Взлом систем POS-терминалов

14%

Атаки на web-приложения

35%

Неправомерное использование инсайдерской информации

8%

Кражу/утрата информации

<1%

Различные ошибки

2%

Вредоносное программное обеспечение

4%

Скиммеры

9%

Атака типа «отказ в обслуживании»

<1%

Кибершпионаж

22%

Прочее

6%

Таблица 1. Классификация инцидентов по 1367 нарушениям в 2013 году. Источник: Verizon 2014 Data Breach Investigations Report 1.

Кибератаки могут нанести огромный ущерб. Они влекут за собой значительные материальные расходы – от утраты денежных средств и имущества до правового ущерба и возмещения убытков. Тем не менее наиболее ощутимыми для компании могут стать нематериальные расходы, такие как потеря конкурентного преимущества по причине кражи интеллектуальной собственности, утрата доверия со стороны клиента или делового партнера, утрата целостности системы в результате атаки на цифровые активы, а также общий ущерб репутации и имиджу организации, способные вызвать резкое падение ее акций или даже стать причиной банкротства.

Устойчивость к киберрискам зависит, в первую очередь, от осведомленности членов советов директоров и высшего руководства в отношении того, что рано или поздно компания может быть подвержена атаке. Необходимо осознавать всю серьезность угроз и понимать, что активы, имеющие непосредственное отношение к миссии вашей организации, наиболее подвержены риску.

Кто может нанести удар вашей компании и зачем? Какие активы злоумышленники могут счесть наиболее ценными? Каким представляется наиболее вероятный сценарий атаки (см. таблицу 1), и какое потенциальное влияние она может оказать на деятельность вашей организации?

Подобные вопросы помогут определить, насколько устойчивой является ваша организация к киберугрозам. Такое понимание позволит высшему руководству или членам совета директоров разработать матрицу рисков вашей организации и предоставить внутренним и внешним специалистам по безопасности руководство к действию, которое поможет им снизить уровень риска до приемлемого посредством создания надежных систем киберзащиты. Несмотря на то, что любая организация находится в зоне риска, принятие различных мер для предотвращения, выявления и борьбы с кибератаками позволит существенно снизить риски и обеспечить стабильную работу.

С целью повышения эффективности и надежности систем киберзащиты необходимо учитывать три основных фактора: надежность, бдительность и устойчивость.

Надежность подразумевает защиту чувствительных к рискам активов, лежащих в основе обеспечения миссии вашей организации, активов, которые и вы, и потенциальные злоумышленники рассматриваете, как наиболее ценные.

Бдительность подразумевает распространение информации о вероятности возникновения угрозы на уровне организации, а также разработку механизмов выявления предпосылок или даже прогнозирования угрозы для наиболее ценных активов.

Устойчивость подразумевает возможность оперативной локализации ущерба и мобилизации различных ресурсов, необходимых для сведения к минимуму последствий кибератаки, которые могут повлечь дополнительные затраты, включая прямые затраты и приостановление деятельности, нанесение ущерба репутации и имиджу организации.

Настоящий отчет является лишь отправной точкой на пути понимания всей серьезности киберугроз для организаций. В нем рассматриваются основные угрозы для компаний в 7 ключевых отраслях: розничная торговля (ритейл), производство, электронная коммерция и онлайн-платежи, онлайн-медиа, высокие технологии, телекоммуникации и страхование. Отчет основан на реальных примерах и практическом опыте, что поможет вашей организации оценить масштаб угрозы и всегда опережать киберпреступников.

Приводя примеры из практики, мы хотим показать, что нет ничего предосудительного в том, что ваша компания подверглась хакерской атаке. Атакам подвержены все организации без исключения, не потому что у них плохая система управления, а потому что хакеры и киберпреступники с каждым днем совершенствуют свои навыки и становятся все более изощренными в своих атаках. «Путем сбора и передачи информации об атаках мы можем научиться себя защищать» — так звучит один из призывов инициативы Всемирного экономического форума «Партнерство ради противостояния киберугрозам».

Опыт показывает, что киберугрозы неизбежны: рано или поздно ваша организация может быть подвергнута атаке. Кроме того, мы все зависим друг от друга с точки зрения обеспечения безопасности киберпространства. К примеру, онлайн-медиа может использоваться для распространения вредоносного ПО; уязвимость сектора высоких технологий влияет на другие отрасли, использующие цифровые технологии; сбои в электронных платежных системах влияют на эффективность электронной коммерции. Путем передачи информации и понимания существующих проблем, а также осознания ответственности на уровне высшего руководства и совета директоров, мы можем вести согласованную работу по созданию безопасного киберпространства.

----------------------------------------------

http://www.verizonenterprise.com/DBIR/2014/

http://www.weforum.org/issues/partnering-cyber-resilience-pcr

Открыть в PDF * Материалы доступны на английском языке

Отрасль высоких технологий зачастую находится в эпицентре кибератак. Одной из наиболее очевидных причин является наличие у организаций ценной информации, которая может подвергнуться атаке. Тем не менее, другой более серьезной причиной является сам характер организаций, работающих в сфере высоких технологий. Такие организации и их сотрудники обычно подвержены более высокому уровню риска по сравнению с компаниями других секторов. Они также являются первопроходцами в использовании новых, еще не до конца испытанных технологий и, следовательно, в большей степени подвержены атакам и вредоносным вторжениям. Например, сотрудники организаций, работающих в сфере высоких технологий, могут использовать (и самостоятельно управлять) передовые мобильные устройства и новейшие мобильные приложения, что уже само по себе может представлять угрозу безопасности. Кроме того, многие организации в сфере высоких технологий характеризуются открытой корпоративной культурой, которая в силу своей нацеленности на выявление творческого потенциала и успешного взаимодействия, представляет фактор риска. В результате такие организации, как правило, имеют большое количество подверженных атаке областей, которые требуют защиты.

Высокие технологии

(материалы доступны на английском языке)

Онлайн-медиа, вероятно, в наибольшей степени подвержены киберугрозам. Поскольку такие организации работают в режиме онлайн, они характеризуются повышенным количеством областей, требующих защиты. Также, учитывая, что услуги подобных организаций пользуются высоким спросом и полностью основаны на применении цифровых технологий, существует высокий риск проникновения и хищения ценной информации как отдельными лицами, так и организованными преступными группами.

Онлайн-медиа

(материалы доступны на английском языке)

Телекоммуникационные компании — популярная мишень для кибератак, поскольку они создают, контролируют и управляют крайне важной инфраструктурой, которая широко используется для передачи и хранения больших объемов конфиденциальной информации.

Телекоммуникации

(материалы доступны на английском языке)

По мере того, как все большее количество компаний переходит на продажи через Интернет или расширяет спектр своих онлайн-услуг, их примеру следуют и преступники. В целях осуществления оперативной обработки данных и управления поставками, многие сайты онлайн-магазинов имеют прямую связь как с Интернетом, так и с серверными системами компании, что делает веб-сайт ключевым объектом атаки с целью получения доступа к стратегически важной информации компании.

Электронная коммерция и онлайн-платежи

(материалы доступны на английском языке)

Частота кибератак в секторе страхования растет в геометрической прогрессии в связи с тем, что страховые компании переходят на цифровые каналы обслуживания с целью формирования более тесных взаимоотношений с клиентами, представления новой продукции и увеличения доли финансовых портфелей клиентов. Подобная ситуация ведет к увеличению инвестиций в традиционные ИТ-системы (например, системы обработки страховых полисов и заявлений), а также интегрированные платформы, такие как порталы страховых услуг, онлайн-заявления на получение полиса, а также интернет и мобильные приложения для подачи страховых заявлений. Несмотря на то, что подобные инвестиции открывают новые стратегические возможности, они также создают новые киберриски и обозначают векторы возможных атак на организации, которые не имеют достаточного опыта решения проблем в многоканальной среде. Кроме того, проблема становится еще более серьезной, если страховщики сталкиваются с большим объемом данных и переходят к использованию передовых аналитических методов, что требует сбора и обработки большого объема клиентской информации. Страховщики ищут инновационные способы обработки данных, однако не стоит забывать, что вместе с этим необходимо использовать средства защиты информации от кибератак.

Страхование

(материалы доступны на английском языке)

Производители все чаще подвергаются нападениям не только со стороны таких злоумышленников, как хакеры и киберпреступники, но и со стороны конкурирующих компаний и стран, замешанных в корпоративном шпионаже. Мотивация может быть различной, начиная с финансового интереса и зависти и заканчивая стремлением к получению конкурентных преимуществ.

Промышленность

(материалы доступны на английском языке)

Данные кредитных карт стали для хакеров и преступников новой валютой, а розничные компании как раз обладают большим объемом таких данных. Подобная ситуация делает индустрию розничной торговли наиболее уязвимой для кибератак.

Розничная торговля

атериалы доступны на английском языке)

Заключение

Настоящий отчет рассматривает семь ключевых отраслей, которые подвержены прямой киберугрозе. В последующих отчетах будут рассматриваться основные угрозы для предприятий других ключевых отраслей, которые также являются чрезвычайно уязвимыми. В конечном итоге, единственный вывод, который можно сделать по результатам данного исследования, заключается в том, что кибервторжения неизбежны. Ни одна из отраслей или организаций не застрахована от нападения. Рано или поздно с такой проблемой столкнется и ваша компания.

Атаки влекут за собой значительные материальные расходы, от утраты денежных средств и имущества до штрафов, правового ущерба и возмещения убытков. Но это только вершина айсберга. Наиболее ощутимыми для компании могут стать нематериальные расходы, в частности, потеря конкурентного преимущества, утрата доверия со стороны клиента, а также общий ущерб репутации и имиджу организации. Подобные нематериальные расходы могут иметь значительные последствия для стратегического положения организации на рынке и цен на ее акции.

Но есть и хорошие новости: проблема киберугрозы вполне разрешима. Как упоминалось ранее, эффективная и надежная система киберзащиты должна учитывать три основных фактора: надежность, бдительность и устойчивость. Несмотря на то, что некоторые организации не могут быть на 100% защищены от кибератак, с учетом этих трех основных факторов возможно управлять вероятностью и последствиями возникновения киберугроз, ограничивая таким образом их воздействие и уменьшая риск потенциального ущерба.

В заключение предлагаем вашему вниманию пять основных вопросов, отражающих подход к созданию надежной системы киберзащиты на основе принципов надежности, бдительности и устойчивости.

  1. Сосредоточили ли вы внимание на главных аспектах? Мы часто спрашиваем себя об этом, но на практике не все так просто. Необходимо понимать, как создается стоимость вашей организации, что представляют из себя ваши основные активы и насколько они уязвимы перед угрозой. Защита должна создаваться изнутри.
  2. Есть ли у вас соответствующие специалисты? Отдавайте приоритет качеству, а не количеству. Возможно, для достижения всех целей у вас недостаточно квалифицированных специалистов. Примите стратегическое решение о подборе соответствующего персонала. Сосредоточил ли отдел по обеспечению безопасности свое внимание на основных направлениях деятельности?
  3. Умеете ли вы прогнозировать ситуацию или решаете проблемы по мере их поступления? Модернизация системы безопасности стоит очень дорого. Создавайте ее постепенно в рамках управленческих процессов, разработки программных приложений и инфраструктуры.
  4. Соответствует ли ваша деятельность принципам открытости и прозрачности взаимодействия и сотрудничества? 
    Установите прочные взаимоотношения с партнерами, правоохранительными, регулирующими органами и поставщиками. Обеспечьте взаимодействие между группами и подразделениями во избежание сокрытия рисков сотрудниками с целью самозащиты.
  5. Готовы ли вы к переменам? На случай возникновения кризисной ситуации потребуется пересмотр политики, проведение оценки и планирование процессов реагирования. Это позволит разработать ряд специальных мер для противостояния угрозам и уменьшения рисков.
Эта информация была полезна для вас?