Стаття
Брифінг для керівників, присвячений питанням кібер-безпеки – 2014
Постійні та цілеспрямовані загрози стали реальністю для всіх організацій, діяльність яких залежить від використання цифрових технологій.
In a world increasingly driven by digital technologies and information, cyber-threat management is more than just a strategic imperative. It’s a fundamental part of doing business. Yet for many C-suite executives and board members, the concept of cybersecurity remains vague and complex. Although it might be on your strategic agenda, what does it really mean? And what can your organization do to shore up its defenses and protect itself from cyber-threats? A common myth is that cyber-attacks only happen to certain types of organizations, such as high-profile technology businesses. However, the cold, hard truth is that every organization has valuable data to lose. In fact, the attacks that happen most frequently are completely indiscriminate – using scripted, automated tools that identify and exploit whatever weaknesses they happen to find.
Уроки з кібер-безпеки
| Incident classification pattern | Percentage |
|---|---|
| Point of Sale System Intrusions | 14% |
| Web App Attacks | 35% |
| Insider Misuse | 8% |
| Physical Theft/Loss | <1% |
| Miscellaneous Errors | 2% |
| Crimeware | 4% |
| Card Skimmers | 9% |
| Denial of Service Attacks | <1% |
| Cyber-espionage | 22% |
| Everything else | 6% |
Table 1: Frequency of incident classification patterns from 1367 breaches during 2013. Source: Verizon 2014 Data Breach Investigations Report 1
Кібер-атаки можуть завдати величезної шкоди: вони спричиняють значні матеріальні витрати від втрати грошових коштів і майна до штрафів, виплати грошових компенсацій та відшкодування збитків постраждалій стороні. Однак, найбільш болісними можуть бути саме нематеріальні витрати, а саме втрата конкурентної переваги внаслідок розкрадання інтелектуальної власності, втрата довіри з боку клієнта або ділового партнера, втрата цілісності системи внаслідок атаки на цифрові активи, а також нанесення загального збитку ділової репутації та іміджу організації, що здатні призвести до різкого падіння вартості акцій компанії або навіть до її банкрутства.
Стійкість до кібер-ризиків залежить, у першу чергу, від обізнаності членів рад директорів і найвищого керівництва, визнання того, що організація може зазнати кібер-атаки. Необхідно усвідомлювати всю серйозність загроз і розуміти, що активи, які мають безпосереднє відношення до діяльності вашої організації, є найбільш вразливими.
Хто потенційно може завдати удару вашій компанії і навіщо? Які активи зловмисники можуть вважати найбільш цінними? Яким ви уявляєте найбільш вірогідний сценарій атаки (див. Таблицю 1), і який потенційний вплив вона може мати на діяльність вашої організації?
Подібні питання допоможуть визначити, наскільки стійкою є ваша організація до кібер-загроз. Таке розуміння дозволить вам як представнику найвищого керівництва або члену ради директорів розробити матрицю ризиків вашої організації і вказати внутрішнім і зовнішнім фахівцям з безпеки шляхи мінімізації ризику до потрібного рівня за допомогою створення надійних систем кібер-захисту. Незважаючи на те, що жодну організацію не може бути захищено від кібер-атак на 100%, вживання різних заходів для запобігання, виявлення та боротьби з кібер-атаками дозволить істотно знизити ризики і забезпечити безперервність діяльності.
Для забезпечення ефективності та надійності систем кібер-захисту необхідно враховувати три ключові чинники: надійність, пильність і стійкість.
Надійність: захист чутливих до ризику активів, що є в основі забезпечення місії вашої організації, активів, які ви і потенційними зловмисники розглядаєте як найбільш цінні.
Пильність: упровадження системи поширення інформації про вірогідність виникнення загрози на рівні організації, а також розробка механізмів, які зможуть виявляти або прогнозувати загрози для найбільш цінних активів.
Стійкість: можливість оперативної локалізації збитку й мобілізації різних ресурсів, необхідних для мінімізації наслідків кібер-атак, що можуть призвести до додаткових витрат, включно з прямими витратами та призупиненням діяльності, а також нанесенням шкоди репутації та іміджу організації.
Цей звіт є початковою точкою на шляху розуміння всієї серйозності кібер-загроз для організацій. У ньому розглянуто основні загрози для компаній в семи ключових галузях: роздрібна торгівля (ритейл), виробництво, електронна комерція та онлайн-платежі, онлайн-медіа, високі технології, телекомунікації та страхування. Звіт ґрунтується на реальних прикладах і практичному досвіді, що допоможе вашій організації оцінити масштаб загрози і завжди бути на крок попереду кібер-злочинців.
Наводячи приклади з практики, ми прагнемо продемонструвати: якщо ваша компанія зазнала хакерської атаки, в цьому немає нічого поганого. Атакам піддаються всі без винятку організації, і це не тому що в них погана система управління, а тому що хакери і кібер-злочинці постійно вдосконалюють свої навички і стають усе більш витонченими в своїх атаках. «Шляхом збору та передачі інформації про кібер-атаки ми зможемо навчитися себе захищати», – так звучить один із закликів ініціативи Всесвітнього економічного форуму «Партнерство заради протистояння кібер-загрозам – 2».
Як свідчить досвід,кібер-загрози залишаються неминучими: рано чи пізно ваша організація може зазнати атаки. Ми всі залежимо один від одного з точки зору досягнення безпеки кібер-простору. Наприклад, онлайн-медіа може використовуватися для поширення шкідливого програмного забезпечення; вразливість сектору високих технологій впливає на інші галузі, що використовують цифрові технології; порушення в електронних платіжних системах впливають на ефективність електронної комерції. Шляхом передачі інформації та розуміння наявних проблем, а також завдяки усвідомленню відповідальності на рівні найвищого керівництва і ради директорів ми можемо працювати разом над створенням безпечного кібер-простору.
Завантажити звіт
High Technology
The high tech sector is often ground zero for cyber-attacks. One obvious reason is that these organizations have very valuable information to be stolen. However, another more subtle reason is the nature of high tech organizations themselves. High tech companies – and their employees – generally have a higher risk appetite than their counterparts in other sectors. Also, they tend to be early adopters of new technologies that are still maturing and are therefore especially vulnerable to attacks and exploits.
For example, employees in high tech are more likely to use (and self-administer) cutting-edge mobile devices and the latest mobile apps, which might not be secure. In addition, many high tech organizations have open environments and corporate cultures that are designed to stimulate creativity and collaboration, but are more difficult to defend. As a result, high tech organizations typically have a very large attack surface to protect.
Online media
The online media sector might have the greatest exposure to cyber-threats. Since its organizations operate online, they have a huge attack surface to protect. Also, since its products are in high demand and completely digital, there is a high risk of being infiltrated and robbed of valuable content – both by individuals and organized crime groups.
Telecommunications
Telecom companies are a big target for cyber-attacks because they build, control and operate critical infrastructure that is widely used to communicate and store large amounts of sensitive data.
E-Commerce & Online payments
As more and more businesses move or expand from bricks to clicks, criminals are following suit. Many e-commerce websites are directly connected both to the internet and to a company’s back-end systems for data processing and supply management, making the website a prime attack point for gaining access to crucial information assets within the organization.
Insurance
Cyber-attacks in the insurance sector are growing exponentially as insurance companies migrate toward digital channels in an effort to create tighter customer relationships, offer new products and expand their share of customers’ financial portfolios. This shift is driving increased investment in traditional core IT systems (e.g., policy and claims systems) as well as in highly integrated enabling platforms such as agency portals, online policy applications and web- and mobile-based apps for filing claims.
Although these digital investments provide new strategic capabilities, they also introduce new cyber-risks and attack vectors to organizations that are relatively inexperienced at dealing with the challenges of an omni-channel environment. What’s more, the challenges are likely to become more complex as insurers embrace big data and advanced analytics that require collecting and handling vast amounts of consumer information. As insurers find new and innovative ways to analyze data, they must also find ways to secure the data from cyber-attacks.
Manufacturing
Manufacturers are increasingly being targeted not just by traditional malicious actors such as hackers and cyber-criminals, but by competing companies and nations engaged in corporate espionage. Motivations range from money and revenge to competitive advantage and strategic disruption.
Retail
Credit card data is the new currency for hackers and criminals, and retailers possess a lot of it. This makes the retail industry an almost irresistible target for cyber-attacks.
Conclusion
This report focused on seven key industry sectors that are prime targets for cyber-attacks. Follow-on reports will highlight the top cyber-threats in other major sectors that are also highly vulnerable. After all, the single biggest takeaway from the stories and insights presented here is that breaches are inevitable -- and that no industry or organization is immune. Your organization will be hacked someday.
Attacks can result in significant tangible costs ranging from stolen money and property to regulatory fines, legal damages, and financial compensation. But those are just the tip of the iceberg. The really significant costs are the intangibles, particularly loss of competitive advantage, loss of customer trust, and damage to an organization’s reputation and brand. Intangibles such as these can have a major impact on an organization’s strategic market position and share price.
The good news is that cyber-threats are a manageable problem. As noted earlier, a well-balanced cyber-defense needs to be secure, vigilant, and resilient. Although it isn’t possible for any organization to be 100 percent secure, by focusing on these three key attributes, it is entirely possible to manage and mitigate cyber-threats in a way that reduces their impact and minimizes the potential for business disruption.
In closing, here are five takeaway questions to reflect on through the lens of a secure, vigilant, and resilient approach to cybersecurity:
- Are we focused on the right things?
Often asked, but difficult to accomplish. Understand how value is created in your organization, where your critical assets are, how they are vulnerable to key threats. Practice defense-in-depth. - Do we have the right talent?
Quality over quantity. There may not be enough talent to do everything in-house, so take a strategic approach to sourcing decisions. Are the security teams focused on the real business areas? - Are we proactive or reactive?
Retrofitting for security is very expensive. Build it upfront in your management processes, applications, and infrastructure.
- Are we incentivizing openness and collaboration?
Build strong relationships with partners, law enforcement, regulators, and vendors. Foster internal cooperation across groups and functions, and ensure that people aren’t hiding risks to protect themselves. - Are we adapting to change?
Policy reviews, assessments, and rehearsals of crisis response processes should be regularized to establish a culture of perpetual adaptation to the threat and risk landscape.
Back to Risk