Киберугрозы: роль финансовых специалистов в их предотвращении должна быть пересмотрена

| статьи | печать

Последствия кибератак для некоторых бизнесов бывают катастрофическими. Насколько финансовые службы осведомлены о кибербезопасности и кибер-рисков своих компаний, какова их роль в управлении кибербезопасностью?

За последние несколько лет было много нашумевших кибератак на бизнес. Еще свежа в памяти история 2018 г. с гостиничными сетями Marriott International, когда похищенной оказалась информация сотен миллионов клиентов после кибератаки хакеров на базу данных системы бронирования. Злоумышленники получили доступ к именам, адресам, датам рождения, номерам телефонов, адресам электронной почты, паспортным данным, деталям бронирования. В некоторых случаях утекли данные платежных карт. Компания понесла миллионные убытки. Эта и многие другие истории доказали: разработка системы кибербезопасности для бизнеса становится жизненно необходимой.

Новое исследование «Кибербезопасность в финансовой сфере» от АССА (the Association of Chartered Certified Accountants)1 подтвердило, что на сегодняшний день киберпреступность представляет собой один из самых больших рисков для бизнеса. По приблизительным оценкам, к 2021 г. расходы на борьбу с этой проблемой составят 6 трлн долл. по всему миру.

Кибербезопасность входит в пятерку основных бизнес-рисков

Поскольку предприятия сейчас больше, чем когда-либо, зависят от цифровых решений для своего бизнеса, киберриски являются для них важной угрозой. Любое нарушение цифровой безопасности может повлиять не только на репутацию, но и на ценность бренда и, в конечном счете, на ее стоимость.

Исследование показало: практически 60% финансовых директоров и руководителей финансовых департаментов считают, что кибербезопасность входит в пятерку важных бизнес-рисков или даже является самым важным среди них (см. рис. 1).

Но есть одна проблема: диссонанс между значимостью рисков в этой сфере и вовлеченностью финансовых специалистов в управление кибербезопасностью. 20% опрошенных финансовых специалистов отметили, что они никак не вовлечены в дела, касающиеся обеспечения кибербезопасности внутри компании (см. рис. 2).


Уровень информированности в области кибербезопасности оставляет желать лучшего

Ответы на вопросы выявили важную проблему, связанную с недостатком общей информированности в сфере управления киберрисками. Так:

  • 10% респондентов не знают, кто в их компании отвечает за кибербезопасность;

  • 33% не знают, подвергалась ли ранее их компания кибератакам.

Крупные компании уделяют больше внимания киберрискам, но их число все равно невелико — только 8% опрошенных заявили об этом. Что касается малого и среднего бизнеса, то они обеспокоены такими рисками в меньшей степени (всего 5% из числа опрошенных).

Чуть больше, чем у четверти малых и средних компаний и примерно у половины крупных на удовлетворительном уровне развиты процессы управления кибербезопасностью, такие как информирование и руководство (guidance), тренинг персонала и политика найма персонала. У остальных эти процессы управления либо развиты не на должном уровне, либо вообще отсутствуют (см. рис. 3).

Эксперты обращают внимание на необходимость постоянного пересмотра уровня угрозы. Среди основных киберугроз финансовые специалисты назвали: фишинг, вредоносное программное обеспечение (malware), воровство данных, атаки веб-приложений, использование существующих факторов уязвимости и другие. При этом 15% опрошенных вообще оказались не в курсе подобных угроз.

Важно развивать знания в области управления кибербезопасностью

С каждым годом технологии, внедряемые в бизнес-процессы для извлечения дополнительной коммерческой выгоды, начинают носить более сложный и интегрированный характер с точки зрения возможных источников происхождения угроз. С появлением новых инструментов появляются и новые риски. Например, риски, связанные с третьей стороной. Как подчеркивается в исследовании, организации не должны надеяться, что их облачный провайдер обязательно обеспечит эффективный уровень безопасности.

Только 19% респондентов заявили, что они регулярно проверяют различные каналы, где может произойти утечка данных.

51% опрошенных оценивает свои знания в области кибербезопасности на среднем уровне.

Мошеннический доступ к данным является значительным риском для многих организаций. В ходе исследования у респондентов интересовались, как они защищают частную жизнь и конфиденциальные данные своих клиентов, которые есть в их распоряжении. Их ответы показали, что они, как правило, защищены средствами контроля доступа в виде идентификатора пользователей, а не систематическим шифрованием, при котором читаемая информация становится неразборчивой и вернуть ее в исходный вид можно лишь при использовании специального шифра. Но пользовательская аутентификация данных свойственна больше крупным корпорациям, компании малого и среднего бизнеса в своей практике чаще используют шифрование (см. рис. 4).

Даже из негативного опыта можно извлечь пользу, так как знания особенностей и последствий кибератак и разбор ситуаций позволяют улучшить процессы. Необходимо учиться на собственных ошибках. Респонденты из организаций, подвергшихся кибератакам, рассказали об их отрицательных последствиях (см. рис. 5), но вместе с тем уроки, которые они извлекли, привели и к положительным моментам. В частности, специалисты отметили повышение уровня информированности о проблемах (28%), увеличение инвестиций и/или расходов на профилактику — 17%.

Новые киберугрозы и технические уязвимости появляются очень быстро, однако кража данных с помощью плохо подготовленных сотрудников все еще является самым эффективным способом атаки на организацию для киберпреступников. Часть респондентов, которые за последние годы подвергались кибератакам, сообщили о необходимости повышения знаний персонала в этой области.

Корпорациям становится очевидно, что предпочтительнее учиться и принимать меры заблаговременно, нежели иметь дело с кибератакой и с последствиями нарушения безопасности.

Роль финансовых специалистов требует пересмотра

Исследование АССА показало, что далеко не все финансовые специалисты относят кибербезопасность к факторам риска. Они считают, что ответственность за нее лежит только на ИТ-специалистах.

Однако CFO должны осознать, что их организации находятся под угрозой кибератак постоянно и каждодневно.

Финансовые и ИТ-подразделения должны работать совместно, а не надеяться на то, что кто-то один из них отвечает за кибербезопасность.

Важным инструментом для минимизации финансовых потерь от киберугроз может быть страхование: только 17% компаний заявили, что они застрахованы от киберрисков.

Киберстрахование стало доступным на рынке страховых услуг в 2010 г. Наиболее развит рынок киберстрахования в США, там от подобных рисков застраховано около одной трети компаний. В 2017 г. рынок киберстрахования оценевался в 4,52 млрд долл. США и к 2023 г. его рост ожидается почти в четыре раза — до 17,55 млрд долл. США.

Обычно страховка от киберрисков покрывает такие виды ущеба, как, например:

  • потери бизнеса от простоя системы и нарушения деловой активности;

  • кража и мошенничество от кибератак;

  • физические повреждения;

  • затраты на восстановление данных и ремонт системы;

  • расходы на управление кризисными ситуациями;

  • репутационный ущерб и восстановление;

  • уведомление пострадавших клиентов и поставщиков и сопутствующие расходы, такие как мониторинг кредитования;

  • судебные иски о возмещении убытков в связи с конфиденциальной информацией;

  • утрата интеллектуальной собственности;

  • штрафы и издержки.

В связи с изменяющимся характером киберугроз финансовые департаменты должны быть осведомлены о последствиях нарушения кибербезопасности их организаций, чтобы обеспечивать надлежащие меры по управлению ситуацией для предотвращения финансовых и операционных рисков. Финансовым директорам и сотрудникам необходимо пересмотреть свою роль в управлении стратегическим риском в сфере кибербезопасности для бизнеса и учитывать, что подобный риск может нанести существенный ущерб бренду и репутации компании.

«Для повышения устойчивости и обеспечения непрерывной работы в случае проблем организациям необходимо быть уверенными в наличии хорошо подготовленного и опробованного плана реагирования на инциденты, связанные с кибератаками», — говорит Вера Стародубцева, FCCA, глава ACCA в России.

Общие рекомендации по минимизации киберрисков

В целях минимизации киберугроз эксперты рекомендуют отнести к ключевым операционным процедурам:

  • обучение сотрудников;

  • поиск, классификацию и защиту конфиденциальных данных;

  • своевременное обновление программного обеспечения для снижения уязвимости;

  • использование шифрования данных для защиты конфиденциальных данных;

  • использование брандмауэра (firewall), средств защиты от вредоносных программ и средств обнаружения вторжений для защиты вашего виртуального окружения;

  • использование идентификационных данных для контроля деятельности пользователей;

  • понимание, где хранятся ваши данные и кем, а также каков уровень безопасности и возможностей для восстановления хранилища данных;

  • оценку и контроль рисков в цепочке поставок;

  • мониторинг и управление устройствами, подключенными к компании сети, особенно интеллектуальными устройствами;

  • разработку, регулярное обновление и тестирование планов восстановления и обеспечения устойчивости, позволяющих управлять массированной атакой;

  • обеспечение соблюдения конфиденциальности данных (лично идентифицируемой информацией), которыми оперируете, в соответствии с юридическими требованиями;

  • знание сторон, которым организация должна сообщать о кибератаках;

  • рассмотрение возможности использования киберстрахования.

Для индивидуальных пользователей они рекомендуют:

  • не открывать сообщения от неизвестных отправителей;

  • всегда проверять адрес;

  • использовать программное обеспечение для блокировки вредоносных программ;

  • обновлять свои системы и приложения новейшими версиями программного обеспечения;

  • использовать общественный Wi-Fi с осторожностью, так как он может быть более уязвимым, чем частные/офисные системы;

  • изменять свои пароли, используемые на веб-сайтах или сервисах для предотвращения взлома.

***

Технологии — это способ ведения бизнеса. И остановиться в развитии и применении новых технологий мы уже не можем. Финансовая команда и руководители финансовых служб должны играть серьезную роль в формировании системы управления рисками, участвовать в проверке достаточности ресурсов для защиты от киберрисков, а также контролировать то, насколько быстро организация может мобилизовать ресурсы, если кибератака последовала.


1 С полным вариантом исследования можно ознакомиться по ссылке: https://www.accaglobal.com/russia/en/professional-insights/technology/cyber-and-the-cfo.html.