Пока единичные случаи кибератак в мире уже показали их огромный разрушительный потенциал в случае массового применения. Но если широкое понимание этого среди топ-менеджеров компаний есть, то адекватных мер со стороны руководства компаний к отражению возможных киберугроз, как показывает начало исследования PwC глобальных тенденций информационной безопасности на 2018 г., недостаточно.
В качестве основного возможного результата кибератаки 40% участников опроса PwC в мире и 37% в России называют нарушение операционной деятельности, 39% — утечку конфиденциальных данных (48% — в России), 32% — причинение вреда качеству продукции (27% соответственно), 29% — нанесение ущерба материальному имуществу (30%) и 22% — причинение вреда человеческой жизни (21% — в России).
Тем не менее, заключают авторы исследования, несмотря на существенно возросшую осведомленность и публичность фактических событий и последствий кибератак, многие компании по-прежнему не подготовлены к их реальному наступлению. Из 9500 топ-менеджеров в 122 странах мира, опрошенных экспертами PwC, 44% признались в отсутствии у них целостной стратегии обеспечения кибербезопасности. Еще 48% сообщили, что не имеют программ обучения сотрудников и повышения их осведомленности в вопросах защиты информации, а 54% заявили, что у них не предусмотрена политика реагирования на чрезвычайные ситуации.
Ключевой риск — всеобщая киберзависимость
Как было заявлено на Всемирном экономическом форуме (ВЭФ), растущая взаимная киберзависимость инфраструктурных сетей является одним из ключевых факторов риска в мировом масштабе. Недавний отчет Совета национальной разведки США, посвященный глобальным тенденциям, также содержит предостережение о том, что общество стоит перед надвигающимся риском киберразрушения — потенциально в массовом масштабе и с «летальными последствиями» ввиду уязвимости критически важной инфраструктуры, говорится в исследовании PwC.
При этом в исследовании PwC лишь 39% участников глобального опроса заявили, что уверены в том, кому вменять киберпреступление. В России такая уверенность еще ниже — 19%.
Существует огромное неравенство в вопросах готовности к обеспечению кибербезопасности между разными странами мира, как внутри регионов так и между ними, отмечается в Глобальном индексе кибербезопасности за 2017 г., подготовленном ООН. Лишь 38% стран — членов ООН используют общедоступную стратегию обеспечения кибербезопасности, и только 11% обладают своей собственной специальной стратегией. Еще у 12% стратегия обеспечения кибербезопасности находится в стадии разработки. Зато у 61% стран-членов имеются группы по реагированию на чрезвычайные ситуации, обладающие соответствующими полномочиями на национальном уровне, только 21% стран публикует количественные показатели происшествий в сфере кибербезопасности.
Высокий уровень готовности не обязательно означает низкий уровень риска, отмечают аналитики PwC. В Глобальном индексе кибербезопасности за 2017 г., подготовленном ООН, США входит в число стран-членов, взявших на себя наибольший объем обязательств в сфере кибербезопасности, и уступают по этому показателю лишь Сингапуру. Однако инфраструктура в США все же уязвима для тех факторов, которые Всемирный экономический форум рассматривает в качестве бизнес-риска номер один на территории Северной Америки, а именно «крупномасштабных кибератак или воздействия вредоносных программ, вызывающих крупные экономические убытки, геополитическую напряженность или повсеместную потерю доверия к сети Интернет».
Министерство внутренней безопасности США выявило более 60 объектов критически важной инфраструктуры США, для которых ущерб, вызванный всего одним инцидентом в сфере кибербезопасности, может закономерно привести к экономическим убыткам в размере 50 млрд долл., или к 2500 случаям мгновенного летального исхода, или к серьезному снижению национальной обороноспособности США.
Кибератакам — киберустойчивость!
«Завтра успешными государствами, — говорится в отчете Совета национальной разведки США от 2017 г. — будут, по всей вероятности, те страны, которые инвестируют в инфраструктуру, знания и взаимоотношения и которые устойчивы к потрясениям — будь то экономические, экологические, общественные или кибернетические». Аналогичная идея, считают авторы исследования, применима и по отношению к успешным компаниям завтрашнего дня.
Тем не менее, отмечают эксперты PwC, в рамках данного исследования было выявлено, что большинство корпоративных советов директоров не придерживаются превентивного подхода к формированию стратегий обеспечения кибербезопасности или инвестиционных планов по ее развитию. Лишь 44% глобальных и 49% российских респондентов заявили, что советы директоров активно участвуют в выработке и реализации общей стратегии обеспечения безопасности их компании.
Чуть меньше половины всех глобальных участников исследования PwC считают, что расходы на информационную безопасность должны быть основаны исключительно на оценке рисков. Доля российских респондентов, считающих так же, превышает глобальные показатели и составляет 61%.
Большинство участников данного глобального исследования (66%) и 54% респондентов из России утверждают, что расходы их организаций на обеспечение безопасности согласуются с выручкой по каждому направлению бизнеса. Однако внушительная остальная часть (34% в мире и 46% в России) считает, что это не так, либо не знает этого наверняка.
В таком контексте все большее значение приобретает должность директора по информационной безопасности, считают эксперты PwC. Согласно их исследованию чаще всего директор по информационной безопасности или директор по безопасности непосредственно подотчетен главному исполнительному директору или совету директоров, нежели директору по информационным технологиям.
«Директор по информационной безопасности должен помочь совету директоров определить позицию компании в отношении защиты своей корпоративной сети», — говорит Кейт Александер, основатель и главный исполнительный директор компании IronNet Cybersecurity, ранее возглавлявший Киберкомандование США и Агентство национальной безопасности в ранге генерала.
Между тем во многих организациях по-прежнему отсутствуют должностные позиции высшего звена, в чью компетенцию входили бы вопросы кибербезопасности. Лишь около половины респондентов PwC (52% в мире и 47% в России) заявили о том, что в их организации есть должность директора по информационной безопасности; 45% в мире и 34% в России сказали, что у них есть директор по безопасности; 47% в мире и 35% в России сообщили, что в их компании есть специализированный персонал по обеспечению безопасности, в чьи задачи входит поддержка внутренних бизнес-процессов.
Применительно к управлению рисками многие организации могли бы действовать на опережение, подсказывают авторы исследования, но лишь половина респондентов говорит о том, что в их организациях проводятся специальные проверки background checks. Многие ключевые процессы выявления киберрисков в бизнес-системах, включая тесты на проникновение, оценку угроз, активный мониторинг информационной безопасности, а также киберразведку и оценку уязвимости, внедрены менее чем у половины участников опроса.
Лишь 58% глобальных респондентов и примерно столько же российских (57%) заявили о том, что они официально сотрудничают с другими представителями своей отрасли, включая конкурентов, в рамках повышения уровня безопасности и сокращения потенциального наступления рисков в будущем. Среди сотрудничающих между собой участников глобального исследования PwC лишь половина уверена, что их усилия привели к обмену и получению новой практически применимой информации от их коллег по отрасли. В России респондентов, считающих так же, больше (73%).
С кого пример, как не с лидеров
Первые лица компаний должны возглавить перемены по обеспечению киберустойчивости и вовлечь в них советы директоров, призывают эксперты PwC. Руководство должно стимулировать развитие культуры управления киберрисками на всех уровнях организации. Киберустойчивость должна рассматриваться как неотъемлемый компонент получения выгоды, а не только как способ предотвращения рисков.
Отраслевые лидеры и государственные деятели должны взаимодействовать, невзирая на организационные, секторальные и национальные границы, чтобы выявлять киберриски и риски межсетевого взаимодействия, составлять карты рисков и тестировать их, повышая устойчивость организаций и совершенствуя управление рисками
Основной вывод в исследовании PwC заключается в том, что у современных лидеров есть возможность повысить устойчивость организаций к разрушительным киберугрозам и выстроить безопасное цифровое общество.
Прогнозируемые последствия кибератак на системы автоматизации и (или) роботизации, %
Последствия |
В мире |
В России |
---|---|---|
Нарушение операционной/производственной деятельности |
40 |
47 |
Потеря или повреждение конфиденциальных данных |
39 |
48 |
Негативное влияние на качество производимой продукции |
32 |
27 |
Повреждение материального имущества |
29 |
30 |
Причинение вреда человеческой жизни |
22 |
21 |
Источник: PwC |