Пандемия резко расширила использование цифровых технологий в компаниях, но одновременно быстро возросли риски кибератак на бизнес. Опросы топ-менеджеров предприятий показывают, что создание надежной защиты от цифровых мошенников зависит не только от служб информационной безопасности, но и участия «директорского корпуса», а также вовлеченности сотрудников всех подразделений.
Наступающий 2022 г. обещает стать одним из сложных периодов работы компаний с точки зрения кибербезопасности. Все более изощренные злоумышленники прощупывают скрытые уголки систем информационной защиты предприятий, ищут и, к сожалению, находят их слабые места. Какой бы ни была цифровая ахиллесова пята организации — будь то незащищенный сервер с 50 млн аккаунтов или ошибка в коде, контролирующем доступ к криптокошелькам, — хакеры постараются найти ее и использовать все имеющиеся в их распоряжении средства для получения своей выгоды.
Во всех странах компании, как показало исследование PwC «Доверие к цифровым технологиям — 2022», отдают себе отчет в том, что риски растут. Более 50% предприятий ожидают, что количество инцидентов в следующем году резко вырастет по сравнению с 2021 г. Они продолжают инвестировать средства в кибербезопасность. В 69% организаций в 2022 г. прогнозируется рост расходов на борьбу с атаками кибермошенников (в предыдущем году — 55%). Свыше четверти участников (26%) ожидают увеличения расходов на 10% и более (для сравнения: в прошлом году о таких ожиданиях заявили 8% респондентов).
Опросы PwC показывают примерно одинаковую заинтересованность в инвестициях в кибербезопасность в мире и в России.
Большая часть (65%) российских компаний также ожидают увеличения бюджетов на кибербезопасность в 2022 г.
Чтобы эти капвложения не пропали даром или не принесли результаты гораздо меньше ожиданий топ-менеджеров и инвесторов, целесообразно использовать в своей работе ряд рекомендаций.
Во-первых, руководитель компании должен активно участвовать в принятии решений о внедрении цифровых технологий, обеспечивающих безопасность всего предприятия. Он обязан сформулировать четкие, непротиворечивые принципы обеспечения безопасности и конфиденциальности, а также, что особенно важно, включить их в число приоритетов для бизнеса.
Во-вторых, необходимо найти компетентного начальника службы информационной безопасности (ИБ) и обеспечить этому отделу возможность беспрепятственно взаимодействовать со всеми без исключения бизнес-подразделениями.
В-третьих, очень актуальна вовлеченность всех сотрудников компании в обеспечение информационной безопасности. Они могут стать двигателями оптимизации цифровых технологий, давая необходимую, зачастую мало известную работникам ИБ информацию, помогая таким образом руководству предприятия.
В-четвертых, с расширением деятельности компаний растут и риски атак кибермошенников. Появляющуюся новую информацию вкупе с результатом анализа нужно использовать для непрерывной оценки увеличивающихся рисков.
В-пятых, невозможно защитить то, чего вы не видите. Необходимо найти и идентифицировать «слепые зоны» в ваших взаимоотношениях с третьими сторонами и в цепочках поставок.
«Хотя эти принципы и концепции могут показаться очевидными, далеко не все их применяют, — отмечает эксперт PwC Виталий Соколов. — Только 10% самых прогрессивных компаний внедрили эти подходы, и они же сообщают о самом большом прогрессе в достижении своих целей по кибербезопасности за последние два года».
В России по сравнению с общемировой практикой миссия в области кибербезопасности, которую отечественные компании ставят перед собой, носит более «защитный» характер. В то же время в мире кибербезопасность уже служит инструментом повышения доверия покупателей, что создает возможности для привлечения новых клиентов.