Колонка Председателя АНД Александра Иконникова

Растущая лавина новостей поглощает наше информационное пространство. Виртуальный мир прочно смешался с миром реальным и давно не ограничивается вымыслом или геймерами. Жизнь перешла в формат онлайн-шоу: мы делимся новостями и доверяем людям, которых никогда не видели. Верим информации, если она просто подкреплена видео из Интернета, и часто становимся заложниками иллюзий. Думаем, что у нас все еще есть своя реальность, хотя границы с виртуальностью уже давно стерлись.

Заголовки о налетах хакеров не исчезают со страниц газет. Очередной атаке с выводом средств через систему SWIFT подвергся Банк «Глобэкс». За 2017 год мошенники похитили из банкоматов в Москве более 5 млрд рублей, что в два раза больше, чем в 2016-м (по данным компании «Информзащита»). В результате взлома систем телекоммуникационной компании Swisscom были похищены данные о 800 000 клиентов. «Плохие парни» получили доступ к именам, адресам, телефонам и другой важной персональной информации.

Как в этой ситуации действовать советам директоров, на которых лежит ответственность за бизнес? Как принимать решения директорам, которым акционеры доверили управление деньгами и активами? Как не потерять связь с реальностью и дать отпор новым угрозам, приходящим из виртуального мира – постоянным кибератакам?

Согласно исследованию Института передовых технологий SANS существует три основных уязвимых места, которые можно найти практически в каждом бизнесе.

Во-первых, чаще всего «находкой» для преступников являются сотрудники – входная дверь во внутренний периметр цифровых систем. Формирование правильной культуры поведения персонала в отношении IT-безопасности становится уже не операционной, а стратегической задачей.

Во-вторых, существует так называемая проблема “нулевого дня”. Суть ее в том, что способы защиты от атак строятся на анализе прошлого опыта. В свою очередь злоумышленники изобретают новые креативные решения, чтобы обойти системы безопасности, и, как следствие, находятся на шаг впереди. Можно ли противодействовать такой тактике? Раньше в бизнесе особенно ценились директора с большим индустриальным опытом. Для того, чтобы противостоять киберугрозам, этого недостаточно. Требуется более широкое разнообразие компетенций в процессе оценки ситуаций и принятия решений, особенно понимание современных трендов и новых цифровых технологий.

Третий вызов - оценка адекватных мер по защите от кибератак. Например, эффективной мерой оказываются регулярные стресс-тесты, результаты которых находятся под контролем не только менеджмента компании, но и совета директоров. Менеджмент может скрывать острые углы и не предоставлять информацию о реальном положении вещей. На помощь компаниям приходят независимые команды, задача которых выявлять слабые места в системе защиты через различные внешние попытки ее взлома. Отчеты о независимых испытаниях обязательно должны доходить до совета директоров и показывать действительное положение дел.

Неудивительно, что регуляторы во всем мире повышают требования к качеству управления компаниями, которые позволяют повысить устойчивость бизнеса от новых угроз. Недавно Центральный Банк России инициировал сбор предложений по улучшению текущего Кодекса Корпоративного управления.

Многие директора задаются вопросом: попадает ли моя компания в зону интересов злоумышленников, если это не крупный банк, СМИ или организация с государственным участием? Разобраться с этим помогут честные ответы на три вопроса:

• Какие ценные активы имеет компания, насколько они могут быть привлекательны и каков реальный риск их украсть или вывести из строя? Как правило, главная цель хакеров скрывается в деньгах на счетах и ценных бумагах компании, в чувствительной информации о персональных данных, контрагентах и новых технологиях.  
• Какие затраты оптимальны для защитных мер? Ведь речь идет о вложениях не в развитие и рост продаж, а в расходы. 
• Как оценить работоспособность предпринимаемых мер?

Выносите на повестку дня эти вопросы, оценивайте объем рисков и потерь, изучайте современные технологии защиты, тестируйте. Проверяйте себя реальностью!

Эти и другие актуальные темы будут обсуждаться на первом глобальном форуме директоров по кибербезопасности 17-18 апреля в Женеве. Присоединяйтесь!

ПОДРОБНЕЕ О ФОРУМЕ

Александр Иконников
Председатель Наблюдательного совета
IoD Chartered Director

/ 21.02.2018