Роль кибербезопасности в международной торговле

Цифровая торговля имеет решающее значение почти для каждой компании, но она также сопряжена с новыми сложностями. Когда продукты или услуги, которые включают в себя компьютер или могут быть подключены к Интернету — а это почти каждый продукт или услуга — пересекают границы, возникают риски кибербезопасности.

Растущие опасения по поводу того, что иностранные государства или корпорации могут использовать цифровые продукты для сбора конфиденциальных данных, выявления уязвимостей или каким-либо иным образом причинить вред, означают, что цифровые продукты, продаваемые за границу, подлежат усиленному контролю. Это может стать объектом запретов — справедливых или несправедливых — со стороны правительства принимающих стран. Управление этими рисками и их снижение должны быть частью стратегии цифровизации каждой транснациональной компании.

Неспособность должным образом учитывать эти риски будет приближать катастрофу. Например, Германия запретила продажу и право собственности на куклу «Мой друг, Кайла» американского производства в 2017 году на том основании, что она содержит скрытое устройство наблюдения, которое нарушает федеральные правила Германии о конфиденциальности и может использоваться для шпионажа и собирать личные данные. Оборудование Huawei 5G вызвало опасения, что правительство Китая может установить бэкдоры для мониторинга критически важных телекоммуникационных сетей, в ответ многие страны запретили или ограничили использование оборудования 5G Huawei.

Это не просто паранойя — примеры, которые вызывают реальные опасения. Например, Crypto AG, производитель устройств шифрования, принадлежал ЦРУ США и немецкому BND. С 1970 по 2018 год (или 1990-е, в случае BND) агентства использовали бэкдоры для взлома зашифрованных сообщений союзников и врагов.

Чтобы понять, как компании могут попасть в противоречие и как они могут справиться с этими ситуациями, мы рассмотрели 75 случаев, которые демонстрируют, что это уже глобальное явление, охватывающее более чем 31 страну, включая все крупные экономики, такие как члены G20 и ОЭСР. Мы наблюдали случаи, включая (но не ограничиваясь) компьютеры и сетевое оборудование, медицинские устройства, услуги видеоконференцсвязи, программное обеспечение безопасности, социальные сети, камеры безопасности, банковские ИТ-системы, дроны, смартфоны, умные игрушки, программное обеспечение ИИ и международный фонд, а также переводы и платежные системы. Заниматься проблемами кибербезопасности для транснациональных компаний — это уже не вопрос не того, нужно ли, а «когда?» и «как?».

Свод правил

С технической точки зрения риски кибербезопасности, присущие транснациональным цифровым продуктам, одинаковы для всех государств. Но правительства используют различные стратегии для решения этих проблем, такие как введение ограничений на импорт, предварительных требований к доступу на рынок и требований послепродажного обслуживания для управления потенциальными рисками кибербезопасности. В результате международный бизнес должен согласовывать фрагментированную систему правил и требований, которая меняется от страны к стране, а часто и изо дня в день, что создает значительные риски для компаний, стремящихся по ней ориентироваться.

Следовательно, не только технические соображения определяют политику. Компании также должны учитывать эти критические факторы, размышляя о своей международной цифровой стратегии.

Возможности правительства в управлении рисками кибербезопасности. Реакция правительства определяется его способностью управлять рисками кибербезопасности, такими как: законы и постановления о кибербезопасности; реализация технических возможностей через национальные и отраслевые агентства; организации, реализующие кибербезопасность; а также информационные кампании, обучение и партнерство между агентствами, фирмами и странами. Правительства с высокими возможностями кибербезопасности могут считать риск кибербезопасности более управляемым, поэтому они с большей вероятностью примут более лояльную ограничительную политику цифровой торговли.

Доверие между правительствами и бизнесом. Для правительства функционально невозможно изучить миллионы строк программного обеспечения или микропрограмм в каждом цифровом продукте и услуге, продаваемых в его границах. Решения принимаются на основе предполагаемых рисков, на которые значительно повлияет доверие между правительствами и бизнесом, а также в деловых отношениях между бизнесом. Доверие и деловая лояльность, сформировавшиеся с течением времени, могут способствовать принятию местными органами власти подхода, ориентированного на управление киберрисками, и деполитизировать киберриски. Наше исследование также показывает, что такое доверие и деловая лояльность усиливают переговорные позиции корпорации с местными органами власти, особенно для правительств с относительно низкой эффективностью управления и контролем над коррупцией. В таком случае у корпораций больше шансов провести переговоры с правительством, чтобы избежать или, по крайней мере, смягчить влияние потенциальных ограничений, связанных с проблемами кибербезопасности.

Геополитика. В качестве типичного примера возьмем продукты Huawei 5G. У США были все основания принять Huawei, учитывая высокое качество и низкую стоимость ее продуктов, а также необходимость модернизации сетей связи США для перехода на 5G. Риски, как и почти у любого поставщика, можно было снизить, отслеживая и обнаруживая любые уязвимости. Однако запрет устройств Huawei все же произошел — во многом из-за геополитического соперничества. Япония и Австралия последовали примеру Соединенных Штатов, учитывая их тесные стратегические отношения с США. Точно так же Великобритания в конечном итоге запретила установку нового оборудования Huawei. С другой стороны, способность Германии балансировать между политикой Китая и США привела к относительно сбалансированной рыночной среде 5G для всех поставщиков, включая Huawei. Швейцария, пришла к выводу, что оборудование Huawei не представляет значительных рисков, и построил сеть 5G с использованием устройств Huawei.

Примечательно, что компаниям сложно предсказать, как отдельные страны отреагируют на риски кибербезопасности, связанные с цифровой торговлей, но предприятиям необходимо понять и принять эту новую реальность. В нашем исследовании мы разработали метод прогнозирования результатов и определили действия, которые компании могут предпринять для смягчения неблагоприятных результатов.

Разработка активной стратегии

Учитывая, насколько фрагментирована глобальная система управления кибербезопасностью, корпорациям необходимо проявлять активный подход к совершенствованию своей глобальной цифровой стратегии. Хотя эти усилия не всегда могут окупаться, они подготовят компании к решению проблем кибербезопасности, когда они неизбежно возникнут. Некоторые действия включают:

Создайте эффективную культуру управления кибербезопасностью. Встраивание функций кибербезопасности в цифровые продукты становится де-факто предварительным требованием выхода на рынок для многих транснациональных цифровых продуктов, особенно для критически важных инфраструктур, таких как финансовые ИТ-системы или сети 5G. Компаниям следует культивировать культуру кибербезопасности в своих организациях, включая руководство и группы разработки продуктов, чтобы способствовать осознанию важности кибербезопасности для их рыночного успеха. Помимо соблюдения международных стандартов, компании должны разработать гибкую систему управления кибербезопасностью, которая может эффективно адаптироваться к различным политикам и правилам кибербезопасности на целевых рынках и соответствовать им.

Будьте готовы играть в политику и создавать имидж кибербезопасности. Поскольку невозможно тщательно изучить программное обеспечение, микропрограммное обеспечение или оборудование каждого отдельного продукта, репутация имеет решающее значение с точки зрения кибербезопасности. Клиенты будут полагать, что компания с высокой репутацией сделает все возможное, чтобы улучшить функции кибербезопасности в цифровом продукте, не причинить вред своим клиентам, намеренно используя уязвимость, и ответственно отреагировать на инциденты кибербезопасности, если они произойдут. Следовательно, корпорации должны активно защищать свою репутацию на рынке, демонстрируя свою приверженность кибербезопасности. Никто не хочет делать «незащищенность» частью корпоративных брендов в эпоху цифровых технологий. Важно отметить, что такая высокая репутация может помочь компании избежать политизации интересов кибербезопасности.

Будьте готовы уйти и приготовиться вернуться. На рынке, где проблемы кибербезопасности были политизированы и для корпораций слишком дорого соблюдать требования кибербезопасности, временный уход с рынка может быть хорошим вариантом. Но даже когда компания заблокирована для выхода на рынок, например, Huawei заблокирована на рынке США или уход Google из Китая, защита репутации может помочь сохранить ее партнерские отношения с другими странами.

Кроме того, корпорации должны обратить внимание на стратегию повторного входа после выхода с рынка, особенно когда запрет на рынок распространяется только на часть бизнеса корпорации или обусловлен внешними политическими влияниями. Глобальные компании все чаще возвращаются на зарубежные рынки, поэтому эффективная стратегия возвращения, такая как поддержание знаний, изучение рынков, подготовка модели повторного входа с новыми продуктами кибербезопасности и мониторинг среды политизации в целевом объекте рынки, имеет решающее значение, когда корпорации могут вернуться.

Учите правительства принимающих стран «ловить рыбу». Поскольку риски кибербезопасности, связанные с цифровыми предложениями, неизбежны, корпорации должны проявлять активный подход, чтобы помочь правительству принимающей страны создать возможности для управления потенциальными рисками. Например, запуск центра прозрачности для клиентов, в том числе правительств, чтобы убедиться, что риски кибербезопасности минимальны, становится передовой практикой. Это демонстрирует уверенность бизнеса и укрепляет доверие клиентов с помощью кибербезопасности, встроенной в продукты.

Важно отметить, что достаточные возможности кибербезопасности могут помочь правительству принимающей страны реализовать политику, которая может снизить риски кибербезопасности, не создавая необоснованных барьеров. Например, имея высокие обязательства по кибербезопасности, Германия была готова пойти на некоторые риски при развертывании сети 5G, но минимизировала эти риски, предоставив «четко определенный каталог безопасности», в котором были указаны требования безопасности для всех поставщиков.

Кроме того, помощь правительству принимающей страны в развитии возможностей кибербезопасности окупается, поскольку могут быть приняты достаточные меры защиты, когда приходит время пилотировать или тестировать предоставляемые услуги на этом рынке.

Увеличьте свою позицию на переговорах. В такой раздробленной ситуации управления кибербезопасностью одна и та же проблема кибербезопасности может привести к радикально разным результатам в разных странах. Поэтому разработка и поддержание механизмов доверия и сотрудничества имеет решающее значение. Были предложены и приняты многие подходы, такие как: усиление лоббистских групп, приверженность к местным действиям в области кибербезопасности и действия в качестве хорошего корпоративного гражданина.

Примечательно, что сложность кибербезопасности делает корпорации более могущественными в киберпространстве. Подобно Google, Amazon и Meta (ранее Facebook), некоторые корпорации жестко контролируют глобальную киберфизическую инфраструктуру, код, алгоритмы или данные. Хотя они сталкиваются с растущим политическим давлением, они де-факто имеют право устанавливать правила кибербезопасности, в том числе отклонять запросы некоторых правительств. Например, WhatsApp и Telegram отказались создавать бэкдоры, запрошенные некоторыми правительствами для доступа к зашифрованному содержанию сообщений, что могло бы нарушить конфиденциальность их клиентов.

Корпорации также могут наращивать свое влияние через консорциумы, чтобы представлять их перед правительствами или международными рынками, рекомендовать политику кибербезопасности и продвигать международные стандарты кибербезопасности. Международные компании инициировали диалоги и соглашения, такие как Цифровая Женевская конвенция и Парижский призыв к доверию и безопасности в киберпространстве, чтобы продвигать глобальные принципы управления кибербезопасностью.

Во многих случаях правительства могут иметь полномочия, но не иметь достаточных возможностей кибербезопасности, и поэтому они более открыты для участия глобальных консорциумов. Например, вклад Софтверного альянса (BSA) и Фонда информации, технологий и инноваций (ITIF) способствовал снятию требований по локализации данных для внедрения иностранных сервисов облачных вычислений в финансовых учреждениях Бразилии.

Подводя итог

Каждой компании, чьи цифровые продукты пересекают границы, необходим эффективный план управления кибербезопасностью, в котором сбалансированы технологии, геополитические отношения, возможности правительства, рыночная репутация и сотрудничество между государственным и частным секторами. Если такой возможности сейчас нет, руководители должны обучиться подготовке или найти новых директоров, у которых есть такие возможности, чтобы добавить их в совет. Все компании, которые предоставляют транснациональные цифровые продукты или полагаются на них, рано или поздно столкнутся с проблемами кибербезопасности. И хотя подготовка не может уберечь их от «горячего кресла», она может иметь решающее значение, когда они окажутся там.

Перевод статьи Harvard Business Review «Navigating Cybersecurity Risks in International Trade»