Delo.ua разбиралось, что такое анализ рисков кибербезопасности и почему он нужен бизнесу любого размера.

Чтобы сегодня вывести конкурента с рынка достаточно украсть данные, заблокировать пользователям доступ, или уничтожить оперативную информацию. Бизнес все чаще говорит о кибербезопасности, но еще мало внимания уделяет вопросам защиты данных. Хотя угроз становится все больше, а методы атак совершенствуются.

В связи с увеличением числа хакерских атак и появлением все более коварных вирусов сфера кибербезопасности становится все более обсуждаемой у бизнеса. Инвестирование в анализ рисков сейчас актуально не только для финансовых или страховых компаний. Мошенничество и утечки больших массивов данных случаются все чаще у компаний разных размеров и направлений деятельности. По данным Cisco, ежегодно кибератаки наносят ущерб бизнесу в размере $600 млрд. Один из самых ярких примеров — это WannaCry. Программа, запущенная с одного компьютера, парализовала огромное количество компаний в 150 странах мира всего за два выходных дня.

Кому это нужно?

Ежегодный рост потерь бизнеса от кибератак связан с тем, что у большинства компаний нет необходимого опыта и средств для управления своими активами. «Еще 15 лет назад считалось, что кибератаки — это проблема крупных корпораций, так как «у малого бизнеса мало денег», и это делает его непривлекательным для взломщиков. Однако, по мере того как использование информационных технологий становится повсеместным, наиболее уязвимыми для кибератак становятся именно средние и малые предприятия. Часто они являются мишенью только из-за того, что оказывают услуги крупной компании и нужны злоумышленникам как своего рода плацдарм для дальнейшего развития атаки на крупную цель. Ну и не стоит забывать, что хищник всегда охотится за самым слабым, а малые предприятия — это как раз те, у кого больше всего проблем с безопасностью», — говорит технический директор компании «Октава Киберзахист» Алексей Швачка.

Причина проста: малый бизнес очень часто управляется людьми, далекими от современных технологий, а риски кибербезопасности из тех, которые нельзя «пощупать руками».

Еще один очевидный фактор — когда предприятия начинают свою деятельность, они стремятся уменьшить начальные затраты, и кибербезопасность — одна из областей, где они обычно их «оптимизируют»

По словам Алексея Швачки, результат такого подхода очевиден и общеизвестен, это постоянный поток сообщений о жертвах: «базы данных зашифрованы с целью выкупа», «похищены персональные данные клиентов» и далее в том же духе. «В Украине даже масштабный Petya/Nyetya не всех научил считаться с рисками кибербезопасности. Через год после этой атаки, одна небольшая компания пострадала от вируса-шифровальщика, так как не предприняла даже элементарных мер безопасности. И восстанавливать базы данных за длительный период по первичным (бумажным!) документам оказалось долго, дорого и не до конца возможно. А если бы в этой компании была проведена оценка возможных потерь — хотя бы на случай потери данных из-за отказа сервера — очень вероятно, нашлись бы деньги на безопасное хранение резервных копий. Это точно обошлось бы дешевле», — рассказывает эксперт.

Если заранее не определить, какие данные и информационные системы представляют ценность для бизнеса, насколько эта ценность велика и от чего их надо защищать — проблемы будут, они будут возникать «внезапно», и это будет больно бить по карману

Ошибки бизнеса

Эксперты чаще всего среди главных ошибок предпринимателей, связанных с кибербезопасностью, называют следующие. Первая – слишком несерьезное отношение к этой проблеме.

Вторая – неправильная оценка рисков. Вы спросите, что может случиться с небольшой компанией? Хищение денег в системе интернет-банкинга, остановка работы инфраструктуры путем саботажа (используя вирус-шифровальщик), кража коммерческой тайны, подмена информации, майнинг на серверах, угрозы сотрудникам, рассылка спама с принадлежащих компании компьютеров или, еще хуже, использование компьютеров для участия в каких-то промежуточных атаках — это сильно подставляет компанию и несет угрозу ее репутации. Но если защищаться от всех угроз сразу, придется работать только на оборону, забывая о клиентах. Поэтому необходимо сортировать проблемы по степени их критичности.

Здесь возникает третья: из-за неправильной оценки рисков многие фирмы покупают ненужное оборудование или делают то, чего делать не нужно, и это приводит к бессмысленной трате финансовых и временных ресурсов.

Четвертая – забывать о том, что главное звено в кибербезопасности — человек. Сотрудник может нажать на опасную ссылку в письме, вставить не ту флешку, забыть что-то проверить. Поэтому необходимо обучать кибербезопасности всех сотрудников, а не полагаться на IT-специалистов.

Пятая – нельзя думать, что компьютерная безопасность заканчивается на событии «я нашел вирус, я его удалил». Вы удалили вирус на своем компьютере, но не стоит забывать, что он попал в ваше устройство с какого-то сервера. И этим сервером управляет человек, который продолжает рассылать этот и другие вирусы на множество других компьютеров. Не факт, что следующий вирус вы тоже обнаружите.

Помните, что для успешной кибератаки на всю ИТ-инфраструктуру компании достаточно одного уязвимого телефона, подключенного к корпоративной сети. У каждого сотрудника на рабочем месте есть как минимум одно личное устройство. Тогда как большинство украинских компаний работают по гибридной модели, когда часть ресурсов находится в облаке, а часть — на собственных серверах, что многократно усиливает риски и увеличивает расходы на содержание и поддержку.

Что делать в первую очередь?

Реалии таковы, что киберпреступники хотя бы на шаг, но всегда впереди. Есть масса примеров, когда успешно реализованная кибератака приводила к потере средств той или иной организацией.

По словам технического директора «Октава Киберзахист» Алексея Швачки, начинать необходимо с проведения оценки возможных потерь, которые понесет компания, в случае реализации киберугрозы. Из-за простоя в работе, накладных расходов на восстановление, репутационных потерь — здесь у каждого бизнеса будет свой перечень рисков. А имея на руках представление о стоимости того или иного актива, можно определить адекватные меры по обеспечению их безопасности.

При этом некоторая базовая защита на сегодня должна быть у любой компании вне зависимости от размера. И речь здесь не идет о каких-либо серьезных капитальных инвестициях, начинать нужно с соблюдения персоналом «цифровой гигиены» (какие электронные письма не открывать, на какие веб-сайты не заходить), обязательного использования антивирусной защиты и обеспечения возможности восстановиться из надежных резервных копий, даже если «всё пропало».

Имея такую базовую защиту, далее нужно понять потребности бизнеса в автоматизации, разобраться что этим информационным системам может угрожать и уже на основании такого анализа составить для себя план — дорожную карту — отстраивания системы кибербезопасности. Эта на самом деле несложная и здравая процедура важна также для того, чтобы деньги не были потрачены впустую.

А что делать, если средств на построение эффективных систем киберзащиты действительно не нашлось? Есть ответ и на этот вопрос. На сегодня в Украине появилась возможность приобрести услуги компании, профилем бизнеса которой является кибербезопасность. Это так называемые коммерческие Security Operation Center, готовые сотрудничать не только с крупными компаниями, но и оказывать услуги малому бизнесу.

Ещё один вариант, который может повысить устойчивость бизнеса к кибератакам — страховка рисков кибербезопасности. Это направление страхования для Украины инновационное, но первые предложения на рынке начали появляться

Безопасность — это инвестиция в бизнес, и она должна быть адекватна его текущему состоянию и, возможно, прогнозам его развития. Разумеется, цена безопасности не может превышать стоимости защищаемого актива, но она не может быть и нулевой. Полное отсутствие безопасности в конечном итоге всегда дороже минимальных инвестиций в неё.

Кибератаки были, есть и будут, но противостоять им можно и нужно. Попытка игнорировать угрозу (мол, с этим «невозможно бороться») — проигрышная стратегия. Если вы ищете оправдание неудачи — вы уже сдались и проиграли. Если вы ищете способ получить результат — вы на пути к победе.

Комментарии