Грань между бизнес-риском и кибер-риском стирается. Все чаще модели риска, построенные на финансовой неопределенности и юридической ответственности, невозможно отделить от риска ИТ-безопасности. Для специалистов по управлению рисками это означает, что главный специалист по безопасности (CSO) компании должен быть в прямом и быстром доступе.
Киберриск как бизнес-риск не новое явление. Например, соблюдение требований кибербезопасности, будь то нормативные требования или отраслевые особенности — уже давно стало реальностью для организаций. Но тенденции, связанные с новой постпандемической ситуацией для сотрудников и предприятий, ускорят размывание границ между кибер- и бизнес-рисками.
Эти тенденции включают темпы глобализации, сильную зависимость от цепочек поставок, новые тактики противника и геополитические цели, зависимость от облачных вычислений, экономический спад и медленную миграцию сотрудников обратно в офис. Список длинный, но все это заставляет организации выходить за рамки традиционных определений подверженности рискам, их оценки, снижения и мониторинга.
Тем временем руководители служб безопасности и управления рисками на уровне руководителей высшего звена по-новому смотрят на ответственность за кибербезопасность, поскольку регулирующие органы занимают более агрессивную позицию по отношению к компаниям, которые, по их мнению, проявляют халатность при обнаружении нарушений. Есть даже случаи, когда CSO сталкивался с уголовными обвинениями, косвенно связанными с нарушением.
Десятки других примеров нарушений в 2022-ом году привлекли внимание регулирующих органов и адвокатов по групповым искам. Финансовые штрафы, выплаченные за последний год, служат предвестниками того, что компании, которые не смогли должным образом защитить частную информацию своих клиентов, что привело к кибератаке и утечке данных, впереди ждут неспокойные времена.
Вероятно, каждая из этих фирм неправильно оценила или не смогла определить риск в своей системе защиты до атаки, а затем неправильно оценила дополнительные риски, связанные со сценариями «что-если?» после самой атаки.
Киберзащита должна быть направлена на обеспечение соответствия требованиям, архитектуре и сценариям после атаки. Но в первую очередь меры кибербезопасности должны быть направлены на предотвращение кибератак. Для этого необходимо уделять больше внимания «возможным атакам» — выявлению и устранению «слепых» и слабых мест для атак.
Бизнес-постулат всегда звучит как «не допустить утечек данных», однако не существует такого понятия, как работа бизнеса без операционного риска, который включает в себя нарушения. Этот риск может выражаться в долларах и центах. Согласно отчету Ponemon Institute об утечках данных, средняя стоимость утечек в 2022 году в США составила 9,4 миллиона долларов.
После пандемии к «нормальному» режиму нет возврата
Работодатели сталкиваются с тем, что после пандемии сотрудники постепенно возвращаются в офисы, в сочетании с Большим увольнением 2022 года, которое теперь переходит в то, что называют Большой перезагрузкой 2023 года. Эта тенденция связана с затягиванием корпоративных поясов в связи с изменением макроэкономических условий.
Основные условия, вероятно, подтолкнут команды ИТ-операторов к перестройке своих ИТ-структур. Организации будут продолжать модернизировать и менять инфраструктуру. Они будут отказываться от любых поспешно созданных решений, вызванных пандемией, и вместо этого, скорее всего, отдадут предпочтение созданию более устойчивых, доступных и простых в управлении систем.
Однако такие изменения сопряжены с риском. По мере того, как в ближайшие месяцы будет происходить внутренняя реструктуризация ИТ, команды безопасности будут вынуждены одновременно поддерживать старую платформу и вводить в эксплуатацию новую. Управление этим переключением создает огромный риск, поскольку даже самая незначительная неправильная конфигурация или упущенный из виду актив могут оставить дыры во внешней поверхности атаки и быть риском для компании.
К этим корректировкам добавляется вопрос о том, как организациям работать с внешними атаками, которые навсегда изменились за последние три года пандемии. Советы Gartner, данные в 2021 году, актуальны и сегодня для тех, кто занимается рисками: «Операционную поддержку облачных решений нужно будет поддерживать, работая удаленно или с меньшим количеством сотрудников, а на цепочки поставок повлияет нехватка поставок из-за того, что производственные мощности расположены в Китае и других регионах, на которые повлияли текущие события».
Риск кибербезопасности третьей стороны можно определить как зависимость организации от поставщиков в цепочке поставок и любых партнеров или дочерних компаний, включая поставщиков ИТ-услуг, облачные среды и приложения «ПО как услуга» (SaaS). Риск третьей стороны также создают нижестоящие и вышестоящие поставщики, которые работают с партнерами и дочерними компаниями организации.
Внешние силы создают новый ландшафт рисков
Глобализация делает мир более рискованным местом, утверждает министр внутренней безопасности Алехандро Майоркас. В своей речи, произнесенной в декабре 2022 года, он сказал, что США сталкиваются с «новым видом войны», в которой нет различий между частными и государственными организациями.
«Экономическая и политическая нестабильность и наша глобализированная экономика стерли границы и все чаще приносят угрозы и вызовы непосредственно в наши сообщества — в наши школы, больницы, малые предприятия, местные органы власти и критически важную инфраструктуру», — сказал он.
В качестве примеров можно привести кибератаку на американскую спутниковую компанию Viasat в начале войны в Украине, предположительно поддерживаемую Россией, а также недавнюю атаку хакеров APT41, связанных с Китаем, которые похитили по меньшей мере 20 миллионов долларов США, предназначенных для выплаты пособий COVID.
Ответом на это более рискованное геополитическое давление стала волна новых федеральных и частных нормативных актов, касающихся выявления рисков, анализа, их оценки, а также снижения и мониторинга.
В прошлом году Агентство по кибербезопасности и инфраструктурной безопасности (CISA) выпустило Обязательную оперативную директиву (BOD) 23-01, которая предписывает федеральным агентствам к 3 апреля 2023 года выявить активы, которые могут атаковать и улучшить возможности обнаружения и устранения уязвимостей.
Директива выходит далеко за эти рамки и требует автоматического обнаружения возможных точек атаки (в пределах всего пространства IPv4 организации) каждые семь дней. Учреждения также обязаны проводить оценку уязвимостей для всех конечных точек, сетевых и мобильных устройств каждые 14 дней.
Отраслевые стандарты, связанные с соблюдением требований кибербезопасности, такие как SOX, HIPAA, HITRUST, PCI и CIS, недавно пересмотрели свои рекомендации, касающиеся новейших киберугроз, связанных со здравоохранением, которые заставляют команды безопасности быть начеку. Однако, несмотря на важность соблюдения требований, этого недостаточно.
Если вы не можете управлять рисками, вы не сможете процветать.
Управление рисками кибербезопасности — это компонент управления ИТ-рисками, при котором ИТ-инфраструктура рассматривается с точки зрения кибербезопасности.
Смещение фокуса
Согласно результатам опроса, проведенного PwC в 2022 году, угрозы, которые не дают спать по ночам руководителям компаний, оказывают существенное влияние на их бизнес. В ходе опроса руководители компаний поделились с PwC, что больше всего их беспокоят киберриски (49%). «Руководители компаний больше всего обеспокоены тем, что кибератака или макроэкономические потрясения могут подорвать достижение финансовых целей их компании — тех самых целей, к которым по-прежнему привязано большинство компенсационных пакетов руководителей, — отметили в PwC.
Такое внимание к критически важным видам деятельности является приоритетом, в связи с чем возникают вопросы: Что именно может подвергнуться атаке и почему? Какие инструменты может использовать злоумышленник для нанесения удара и какое влияние это окажет на непрерывную работу бизнеса? Решение проблемы бизнес-рисков требует выявления киберрисков. Перемещение бизнес-лидеров в центр разговора о кибербезопасности — это хорошая практика управления цифровыми технологиями, лидирующие позиции в бизнес сфере и возможность не попасть в «красную зону».
Перевод статьи: Кибер риск — это бизнес-риск