Вступая в процесс цифровизации, компания идет на определенные риски кибербезопасности, рассчитывая, что это принесет в первую очередь прибыль, а не только повышение уровня угроз. Мастерством здесь является лавирование между факторами риска, их приоритизацией и выбором мер, которые нам предписывают стандарты и методологии управления рисками, убежден руководитель службы информационной и коммерческой безопасности компании ООО «Электрорешения», представитель бренда EKF в России Александр ЗЛОЙ.
Сегодня оцифрованные бизнес-процессы сопряжены с рисками, присущими используемым в них технологиям. И чем сложнее и современнее используемые инструменты и системы автоматизации, тем больше поверхность их потенциальной угрозы.
Для организации эффективной защиты от актуальных киберугроз бизнесу хочется понимать свое текущее положение, видеть картину стратегии защиты в целом. Ключевой ориентир в этом вопросе – степень влияния на бизнес при реализации киберриска.
Стоит отметить, что инциденты кибербезопасности нередко выходят за границы влияния только лишь на подверженную им компанию и их информационные системы. Инцидент может нанести ущерб как окружающей среде, так и клиентам компании, ее партнерам. Здесь следует принимать во внимание стремление компании обеспечить комплаенс, демонстрацию проявления должной осмотрительности при реализации мер защиты информации, дабы при наступлении судебных разбирательств у компании были аргументы для своей защиты.
Процесс управления киберрисками можно разделить на теорию и практику. Среднему и крупному бизнесу необходимо при выработке и реализации конкретных практических мер защиты опираться на понятную и принимаемую бизнесом методологию.
Рассмотрим популярные методики и фреймворки:
Business Impact Analysis (BIA)
BIA помогает определить последствия кибератак для бизнеса. Этот анализ используется для разработки планов непрерывности бизнеса (BCP) и восстановления после инцидентов (DRP).
CIS RAM (Center for Internet Security Risk Assessment Model)
Помогает оптимизировать расходы на кибербезопасность, фокусируясь на самых критичных рисках и наиболее эффективных мерах защиты. Предлагает конкретные рекомендации по реализации контрмер, основанных на CIS Controls — наборе лучших практик по защите информационных систем.
FAIR (Factor Analysis of Information Risk)
FAIR – это количественная модель для оценки киберрисков, основанная на вероятностном анализе. Полезен для организаций, которые хотят использовать числовые данные для принятия решений.
COBIT 5 for Risk (Control Objectives for Information and Related Technologies)
Управление рисками рассматривается как часть более широкого процесса управления ИТ-ресурсами и создания ценности для бизнеса.
NIST RMF (Risk Management Framework)
Структурированный подход к управлению рисками информационной безопасности. RMF предоставляет организациям методологию для интеграции управления рисками в жизненный цикл информационных систем, обеспечивая защиту конфиденциальности, целостности и доступности данных.
ISO/IEC 27005: Управление рисками ИБ
Стандарт семейства ISO/IEC 27000, которое охватывает различные аспекты управления информационной безопасностью. ISO/IEC 27005 фокусируется на процессах и методологиях для анализа и обработки рисков ИБ в рамках системы менеджмента информационной безопасности (ISMS).
Киберриски меняются, что требует от бизнеса постоянного обновления стратегий защиты.
Инциденты кибербезопасности нередко выходят за границы влияния только лишь на подверженную им компанию и их информационные системы. Инцидент может нанести ущерб как окружающей среде, так и клиентам компании, ее партнерам.
Что можно отметить из актуальных киберрисков:
1. Ransomware-as-a-Service (RaaS).
Платформы распространения вымогательского ПО (ransomware) по сервисной модели. Это делает атаки доступными даже для неквалифицированных злоумышленников.
2. Атаки через партнера (Supply Chain Attacks).
Атаки на поставщиков и партнеров, чтобы получить через них доступ к ресурсам крупных компаний.
3. IoT-угрозы.
Чем больше IoT-устройств, тем больше потенциальных точек входа для атак.
4. Deepfake-атаки.
Генерация нейросетями видеозаписей или голосовых сообщений используется как инструмент социальной инженерии.
5. Cloudjacking.
Незаконное использование ресурсов для майнинга криптовалют.
6. AI-опасности.
Автоматизация фишинговых кампаний, создание более сложных вредоносных программ для обхода средств защиты.
7. Квантовые вычисления.
В ближайшем будущем квантовые компьютеры смогут взломать современные алгоритмы шифрования, что потребует перехода на постквантовую криптографию.
Наиболее актуальные, базовые практические шаги, которые позволят обеспечить устойчивость бизнеса:
1. Регулярное обучение сотрудников
Человеческий фактор остается одним из главных векторов кибератак. Это эффективно и не так дорого, как технический взлом. Объективная проверка – симуляции фишинговых атак через почту и мессенджеры.
2. Мультифакторная аутентификация
Пароль можно получить через фишинг быстро и просто. Это работает. Без мультифакторной аутентификации считайте, что доступные из интернета сервисы доступны всем желающим.
3. Резервное копирование данных
Создавайте резервные копии ценной информации по правилу 3-2-1: 3 копии данных, 2 типа носителей, 1 копия территориально отделена.
4. Обновление программного обеспечения
Регулярно обновляйте софт до последних версий, чтобы закрыть уязвимости.
Из более продвинутых мер стоит отметить:
Страхование киберрисков. Страховой полис, который покроет финансовые потери в случае успешной кибератаки.
Аудит безопасности. Внешний аудит IT-инфраструктуры для выявления недостатков архитектуры и настроек. Тестирование на уязвимости с помощью пентестов (penetration testing).
Елена ВОСКАНЯН