6 шагов к улучшению кибергигиены

6 шагов к улучшению кибергигиены

Советы экспертов Crowe Global
Евгений Самойлов, Партнер, Аудит
07/16/2021
6 шагов к улучшению кибергигиены

Баланс между технологиями, людьми и планированием имеет решающее значение для успешности стратегии, считает директор Cyber ​​Risk Aware Стивен Берк.

По прогнозам глобальной исследовательской и консалтинговой компании Gartner, мировые расходы на информационную безопасность в 2020 году вырастут до 123,8 млрд долл. США. Однако, с ростом киберпреступности – который был в значительной степени подстегнут коронакризисом, массовым переходом на удаленную работу и более активным использованием личных устройств – организации по всему миру по-прежнему имеют все шансы потерять триллионы.

Если эти огромные цифры о чем-то нам говорят, так это о том, что инвестиции в технологии – далеко не панацея для борьбы с киберпреступностью. Напротив, лучшим способом минимизировать риски, устранить уязвимости и эффективно подготовиться к потенциальным кибератакам и утечке данных является комплексный подход, который позволяет уравновесить роль технологий, людей и планирования, выявляя и устраняя недостатки каждого из этих факторов.

Кибербезопасность – важная тема для организаций любого размера в 2021 году. Руководители бизнеса должны быть смелыми. Им необходимо принимать более умные решения как с точки зрения инвестирования в инновационные технологии, так и с точки зрения внедрения процессов, способствующих цифровому росту и помогающих защитить данные самой компании и ее клиентов.

Большинство компаний могут улучшить свою кибергигиену – и им стоит начать этим заниматься, ведь этот процесс идет сверху вниз. По мнению аналитиков по кибербезопасности CybSafe, человеческий фактор стал причиной 90% утечек цифровых данных в Великобритании в 2019 году – аналогичная картина наблюдается и в остальном мире. Есть над чем задуматься.

Стивен Берк, основатель и главный исполнительный директор Cyber Risk Aware, ирландской компании, занимающейся повышением осведомленности и обучением в области безопасности, рассказал Crowe, что руководители, которые хотят делать умные решения в отношении кибербезопасности, должны понять, что нужно учитывать гораздо больше факторов, чем просто внедрение новейших технологий или содержание большого ИТ-отдела. На деле же культура компании и ее отношение к кибербезопасности имеют наибольшее значение.

Специально для нашего исследования «Искусство правильных решений» г-н Берк выделил шесть ключевых шагов к созданию эффективной и всеобъемлющей программы кибербезопасности.

1. Определите актуальные для вас риски 

Риски кибербезопасности обычно связаны с ключевыми активами организации. «В условиях ограниченного времени, количества людей, ресурсов и денег вы не можете сосредоточиться на всем сразу, – признает г-н Берк. – Не все риски актуальны для каждого отдельно взятого бизнеса; важно определить, какие риски будут ключевыми и существенными именно для вашей компании и уже затем стараться их минимизировать».

2. Вовлеките всю организацию 

Улучшить кибербезопасность поможет создание рабочего комитета по ИТ, охватывающего высшее руководство в основной сфере деятельности компании, и одновременно выявление рисков, связанных с системами или данными в каждом отделе организации.

«Вам потребуется помощь всей компании – в одиночку вы не справитесь, – объясняет г-н Берк. – Постарайтесь вводить сотрудников в тему кибербезопасности продуктивно, с привязкой к рискам, используя язык бизнеса, и отслеживайте все, на что организации стоит обратить внимание».

3. Оцените эффективность существующих средств контроля

«Когда вы применяете средства контроля, а ими могут быть технические средства, процессы или люди, вы снижаете риск до остаточного уровня», – говорит г-н Берк. Таким образом, важно точно определить существующие средства контроля и измерить их эффективность.

Он продолжает: «Тогда вы получите понимание того, во что нужно инвестировать, чтобы снизить уровень риска и чтобы компания могла сказать: “Мы сделали вот это, выявили такой-то риск, применили такие-то меры контроля и смогли снизить его до приемлемого уровня”».

stephen_190.jpg

«Постарайтесь вводить сотрудников в тему кибербезопасности продуктивно, с привязкой к рискам, используя язык бизнеса, и отслеживайте все, на что организации стоит обратить внимание», – Стивен Берк

4. Учитывайте человеческий фактор – информирование повышает осведомленность

Часто упускают из виду, насколько важно инвестировать во всех работников, а не только в сотрудников ИТ-отдела. Информирование всей компании о том, как улучшить кибергигиену, установление протоколов и процедур на случай утечки данных – крайне важная работа.

«Вы должны оценить, в чем заключаются уязвимости ваших сотрудников, а потому программа повышения осведомленности о кибербезопасности будет ключевым шагом, – объясняет г-н Берк. – [Такая программа] оценивает пробелы в знаниях персонала, уязвимость к фишингу через электронную почту и нацелена на обучение тех, кто нуждается в помощи».

5. Найдите и устраните технические уязвимости

Если вам удастся выявить, в чем заключаются технические трудности компании, и соответствующим образом их устранить, то вы решите большую часть проблемы.

«Одна из основных угроз сегодня связана с кражей учетных данных: имен пользователей и паролей, – рассказывает г-н Берк. – Они продаются на рынке, поэтому многие киберпреступники могут получать доступ практически к любому паролю. Но если вы задействуете многофакторную аутентификацию, вы обеспечите 99% защиту данных от кражи».

6. Составьте план и протестируйте его

Подготовиться к возможным кибератакам компания может с помощью плана реагирования на инциденты – это имеет как практические, так и юридические преимущества, и именно в этой области можно добиться более эффективного принятия решений. При составлении плана необходимо определить, кто будет принимать решения от лица организации в случае нарушения безопасности. Также в плане должно быть указано, каким образом сотрудники будут связываться друг с другом в случае, если корпоративные системы выйдут из строя. Кроме того, при составлении плана также необходимо решить юридические, этические и моральные вопросы, связанные с выплатой выкупа, если его будет требовать преступник.

Г-н Берк комментирует: «Президент Дуайт Д. Эйзенхауэр сказал: “Планы бесполезны, но планирование – обязательно”. Это означает, что любой план должен быть проверен. Если вы не будете проводить регулярных прогонов и тренировок по составленному плану, то вы не сможете обнаружить в нем пробелы». А если пробелы не устранить, то для вашей организации это может дорого обойтись как в финансовом, так и в репутационном плане.

Точка зрения Crowe

Надим Маниар, Директор по форензик и расследованиям, Crowe ОАЭ

Nadim_190.jpg

«Так или иначе, каждый из нас – мишень или жертва киберпреступности. По данным Управления комиссара по информации, человеческий фактор стал причиной 90% утечек цифровых данных в Великобритании в 2019 году – аналогичная картина наблюдается и в остальном мире. Цифровые рынки Ближнего Востока продолжают расширяются и ежегодно растут на 12%: соответственно, цена утечки данных также растет тревожными темпами. В августе 2020 года The National [ежедневная газета в ОАЭ] сообщила, что стоимость устранения последствий кражи информации в Саудовской Аравии и ОАЭ выросла на 9,4% за последний год. Утечка данных обходится компаниям региона в среднем в 6,53 млн долл. США за один инцидент, что намного выше средней мировой цифры 3,86 млн долл. США. Лучшая защита – это нападение. Правильные системы и средства контроля, своевременное обучение, новейшие методы и опытный профессиональный партнер, такой как Crowe, помогут вам и вашей организации снизить риски, связанные с киберугрозами».

Источники информации:
Управления комиссара по информации Великобритании (UK Information Commissioner’s Office), 2019 г.
Ассоциация дипломированных специалистов по расследованию мошенничества (Association of Certified Fraud Examiners), 2020 г. Мошенничество в свете COVID-19: сравнительный отчет.
IBM Security, 2020 г. Отчет о цене утечки данных.


Герт-Ян Кролл, Партнер по ИТ-консультированию, Crowe Peak (Нидерланды)

Croll_190.jpg

«С появлением организованной преступности киберкриминал превратился в один из крупнейших мировых черных рынков: ожидается, что его годовой объем достигнет 10,5 трлн долл. США к 2025 году по сравнению с 3 трлн долл. США за 2015 год. Стоимость одного лишь инцидента может быть достаточно высока, чтобы заставить компанию уйти с рынка менее чем через шесть месяцев после происшествия. Благодаря технологиям и автоматизации киберпреступникам требуется меньше навыков, чтобы представлять собой угрозу для организаций и эксплуатировать найденные уязвимости. Новые техники и методы появляются ежедневно, из-за чего картина угроз постоянно меняется, что затрудняет защиту цифровых активов и бизнес в целом от кибератак. Я считаю, что парадигма кибербезопасности должна перейти от концепции предотвращения рисков к более цикличному подходу. Это означает, что компаниям следует применять принцип «предположения о нарушении безопасности», согласно которому бизнес предполагает, что рано или поздно столкнется с киберпреступлением или инцидентом. Помимо защиты своих цифровых активов компаниям также следует принимать меры, включающие в себя обнаружение ЧП, реагирование на них и последующее восстановление, чтобы иметь возможность адекватно действовать в случае, если инцидент все-таки произошел. Руководители должны осознать, что каждая компания является заманчивой целью для киберпреступников и что, соблюдая правила кибергигиены, организация может существенно снизить риск стать жертвой. Кибербезопасность основывается на людях, процессах и технологиях. Поэтому решающее значение будет иметь именно отношение к кибербезопасности и культура компании».

Думать как киберпреступник

Чрезвычайно важно знать, кто твой враг, и понимать, какие уязвимости есть у твоего бизнеса, считает Джим Джи из Crowe UK

Crowe использует уникальный подход к созданию защиты от киберпреступлений: встать на место киберпреступника, использовать методы, аналогичные мошенническим, и действовать в темной сети под прикрытием. Согласно оценкам Crowe, сделанным в июле 2019 года, компьютерное мошенничество обошлось физическим и юридическим лицам в 5,1 трлн долл. США за год, в целом же убытки за последнее десятилетие выросли на 56%. Потенциальные убытки таковы, что неиспользование всех доступных способов борьбы с этой серьезной угрозой обойдется вам гораздо дороже.

«Мы проводим проверку уязвимости компании к внешним атакам, в ходе которой изучаются узкие места, на которые киберпреступники будут обращать внимание, если захотят выяснить, следует ли им тратить время на атаку на данную компанию, а не на другой бизнес», – объясняет Джим Джи, глава национального отдела форензик в Crowe UK.

Наряду с внешним анализом эксперты Crowe проводят и внутреннюю проверку уязвимостей. Этот процесс аналогичен первым этапам теста на проникновение, или «санкционированной» кибератаки, но без дальнейшего эксплуатирования слабых мест внутри бизнеса.

«За последние несколько лет мы разработали такие профили, которые позволяют нам выходить на рынки и форумы в Даркнет, через которые организуется большая часть киберпреступлений и мошенничества, – говорит г-н Джи. – Мы можем отслеживать, какие темы обсуждаются, что продается, и это позволяет нам находить доказательства того, что ведутся обсуждения об атаках на определенные организации, о взломанных электронных почтах, украденных паролях».

Согласно Отчету о глобальных рисках Всемирного экономического форума за 2020 год, кибератаки занимают первое место среди глобальных антропогенных рисков, а в 2021 году киберпреступность каждую минуту обходится компаниям в 11,4 млн долл. США. Поэтому очевидно, что для организаций критически важно укрепить свою компьютерную защиту.

«В связи с COVID-19 в сфере киберпреступности произошел огромный подъем, – продолжает г-н Джи. – Вопрос уже не в том, подвергнется ли организация нападению в принципе, а в том, когда именно это произойдет». По его мнению, для того чтобы ответные меры были эффективны, компаниям стоит понимать следующие три вещи:

  1. Безусловно, для максимальной защиты необходимо использовать технологии. Однако мы также должны быть готовы к реагированию на атаку, если она произойдет, и иметь возможность восстановиться после нее и минимизировать ущерб – подход к защите должен быть комплексным.
  2. Киберпреступность – это бизнес, принимающий коммерчески обоснованные решения о том, какие организации лучше всего атаковать с точки зрения затрачиваемых ресурсов и потенциальных выгод.
  3. Киберпреступность не похожа на другие явления, которые мы привыкли расценивать как риски. Сфера киберпреступлений не статична, а чрезвычайно динамична, постоянно меняется и развивается, как вирус. А это значит, что защитные механизмы и подходы организаций также должны развиваться и меняться, чтобы соответствовать новейшим проявлениям этой проблемы.

Контакты

Евгений Самойлов
Евгений Самойлов
Партнер, Аудит
Москва