Зачем перестраивать бизнес в экосистему и как сделать её кибербезопасной

Исследования показывают, что экосистемы растут быстрее и легче переживают кризисы, чем узкопрофильные компании. Для работы экосистем нужно много цифровых продуктов, это ускоряет работу, но делает инфраструктуру более уязвимой. Рассмотрим как перестроить бизнес в экосистему и сделать её кибербезопасной.

Что такое экосистема в бизнесе

Почему экосистемы стабильнее обычного бизнеса

Как начать строить экосистему

Какие у экосистем киберслабости

Как выстроить кибербезопасную экосистему

Кратко: зачем и как перестраивать бизнес в экосистему

Бизнес-экосистема — это комплекс взаимосвязанных компаний, продуктов и сервисов. Все части взаимодействуют друг с другом ради общих целей и удовлетворения потребностей клиентов. Суть экосистемы — это диверсификация бизнеса. В зависимости от направленности, экосистемы бывают внутренние и внешние.

Внутренние — это набор программ для удобной работы персонала компании. Как правило, это CRM и BI-системы. В таких программах объединяется информация от разных отделов компании, и каждый сотрудник может самостоятельно получить данные для работы.

Обычно такие системы настраивают так, чтобы у каждого работника был свой уровень доступа. Это ограждает от лишней информации и усиливает информационную безопасность (ИБ) компании. Большинство кибератак начинаются с ошибки сотрудников атакуемой компании. Об этом на форуме «Финансы цифровой эпохи» рассказала Наталья Воеводина, генеральный директор АО «Кибериспытание».

Внешние — экосистемы в более привычном понимании. Это крупные структуры, которые могут объединять несколько компаний. Причём организации могут входить в холдинг или работать в рамках партнёрства.

Например, в экосистеме Сбера есть собственные сервисы: банковские услуги, «Еаптека», «СберЗдоровье» и другие. Также есть партнёры, например: сервис аренды самокатов Whoosh и медийно-сервисная платформа «Афиша».

В отличие от узкопрофильных организаций, такие компании не ограничены одним продуктом или направлением, а могут предоставлять своим клиентам больше товаров или услуг.

Обычный бизнес ограничен несколькими продуктами в одной сфере. Экосистема может развивать кратно больше продуктов, причём в разных отраслях

Времена коронавируса показали, что бизнес, который опирается лишь на физические активы — более уязвим, чем компании с цифровыми сервисами. Продажи в некоторых отраслях во время пандемии остановились, в то время как цифровые продукты набирали популярность.

Сильно пострадала сфера развлечений: кинотеатры, туристический бизнес, общепит. Люди сидели дома, а не ходили развлекаться. Просело производство. Некоторые заводы перепрофилировались и начали изготавливать маски и дезинфицирующие средства, но таких — меньшинство. Некоторые офлайн-предприятия прогорели.

Индустрия доставок и удалённых услуг, наоборот, начала активно развиваться. Например, «Яндекс» создал суперапп «Яндекс Go». Через приложение можно сделать заказ еды в ресторане, купить продукты в «Лавке» и доставить это всё домой курьером. Пока клиент ожидает покупку, может скоротать время в «Кинопоиске». Так «Яндекс» одновременно продаёт четыре услуги. Это уже полноценная внешняя экосистема.

Суперапп (super app) — это мобильное приложение, с помощью которого пользователи могут получить набор разных услуг.

Внутренние экосистемы позволяют быстро отследить убытки и внести посильные изменения в процессы. Внешние дают возможность ввести в линейку новые продукты или вовремя заключить взаимовыгодное соглашение с партнёром. Оба варианта объединяют части в целое.

Шаг 1: Подготовить бизнес. Чтобы такая структура заработала сразу, нужно соблюсти три условия:

— Понять, что, как и кому продаёт бизнес.

— Обзавестись базой постоянных покупателей. Экосистема — это способ удержания лояльных клиентов. Если их нет, значит, удерживать некого и создавать сложную структуру бессмысленно.

— Убедиться, что есть ресурсы на развитие экосистемы, поскольку это затратная задача.

Шаг 2: Сформулировать позиционирование. Этот этап решает сразу три задачи:

— Формирует у потребителей ассоциацию с экосистемой и создаёт желание вернуться.

— Показывает направление развития компании.

— Помогает выделиться среди других экосистем.

Позиционирование задаёт границы развития бизнеса

Шаг 3: Определить цели создания экосистемы. Это помогает точнее понять, куда нужно двигаться дальше. Например, цели могут быть такими:

— Стимулировать постоянных клиентов решать свои задачи в рамках экосистемы, а не уходить к конкурентам.

— Увеличивать продажи продуктов, которые компания уже выпускает.

— Масштабировать бизнес и сделать его устойчивее.

— Расширить клиентскую базу.

После того как вы проделаете эти шаги, можно начинать наполнять экосистему. Подбирать услуги и продукты в соответствии с нуждами клиентов и строить инфраструктуру.

Одна из главных проблем — высокая степень взаимозависимости элементов экосистемы. Это увеличивает масштабы потенциального ущерба в случае успешной кибератаки. Причём это работает на трёх уровнях.

Первый уровень: пользовательский доступ. Все клиенты экосистемы могут зайти в любой сервис, используя одну и ту же учёную запись. Они делают это с разных устройств и через любые возможные сети. Система лояльности также связывает все части экосистемы в одно целое. Злоумышленнику достаточно проникнуть в любую часть под видом пользователя, чтобы получить доступ к информации. Причём подключение к одному продукту автоматически пропускает к остальным частям системы.

Второй уровень: внутренняя связь между частями. Чтобы пользователи могли пользоваться экосистемой, её части связывают между собой. При этом у каждого продукта есть своё программное обеспечение (ПО) и оборудование, где хранится информация. Взлом любой части автоматически компрометирует экосистему в целом.

Третий уровень: точки доступа к ПО экосистемы для многочисленных сотрудников компании и их партнёров. Поскольку человеческий фактор — одна из главных проблем кибербеза, то и большинство кибератак начинаются с фишинговых рассылок. Сотрудник нажимает на ссылку или открывает файл и запускает атаку.

Предположим, что есть экосистема, в которой существуют семь продуктов. Для их поддержки компания использует различное ПО. Например, системы для: бухучёта, управления персоналом, учёта данных по программе лояльности. Если перемножить количество программ на продукты, получим минимально возможное количество точек входа для взлома.

7 продуктов × 4 программы для каждой = 28 потенциальных точек входа для злоумышленника

Вторая большая проблема в том, что экосистемы чрезвычайно интересуют киберпреступников:

1. У экосистем большой объём персональных данных. Киберпреступники всегда хотят владеть подобными базами, чтобы затем продавать оттуда информацию.

2. Такие бизнесы крупные и захватывают разные сектора экономики. Поэтому поломка такой структуры — это масштабная проблема для государства в целом. Экосистемы представляют интерес для международных киберпреступников, которые что-то взламывают из политических, идеологических и любых других соображений.

По статистике 72% кибератак происходят с применением простых методов взлома. Специалисты компании «Кибериспытание» получили такие же результаты на практике.

Мы провели «Кибериспытание Экспресс» для 70 компаний. В 40 случаях этичные хакеры смогли смоделировать несанкционированный доступ в инфраструктуру и реализовать недопустимое событие. Более чем в половине кейсов системы компаний можно было взломать самыми простыми методами.

Также из наблюдений по результатам «Кибериспытание Экспресс», что системы компаний ломались в неожиданных местах. Это означает, что о защите экосистемы нужно задумываться ещё на стадии проектирования бизнеса.

👩‍💻 Читайте, как этичные хакеры помогают бизнесу в нашем материале.

Запланировать безопасность. Один из методов защитить инфраструктуру — встроить систему кибербезопасности в архитектуру в самом начале. Такая методология называется Secure by Design.

Разработка продукта по методике Secure by Design дороже обычного подхода. Однако это сэкономит деньги в будущем по двум причинам:

1. Не придётся несколько раз переписывать код из-за того, что его не пропускает отдел ИБ.

2. Компания заранее снизит количество кибератак, а значит, понесёт меньше убытков.

Если не заложить условия по кибербезопасности на уровне архитектуры системы, придётся переписывать код каждый раз, когда специалисты ИБ будут находить уязвимости

В соответствии с методикой Secure by Design, перед тем как разрабатывать инфраструктуру, компания определяет свои недопустимые события. Для этого добавляют этап обзора архитектуры, на котором проект проверяют правилам кибербезопасности. Если этого не сделать, придётся закрывать уязвимости уже после того, как система подверглась атаке.

☢ Что такое недопустимые события мы подробно разобрали в статье «Это может уничтожить ваш бизнес».

Если придерживаться методологии Secure by Design, дорабатывать проект придётся меньше, а найденные проблемы будут не такими фундаментальными

Учесть чужие ошибки. Подход Secure by Design предполагает, что к ПО экосистемы будут подключать продукты сторонних производителей. Например, компания может заключить партнёрский договор с поставщиком бухуслуг.

Знать заранее, насколько безопасно написали код программы бухучёта невозможно. Также нельзя быть уверенным в том, что сотрудники партнёра проходили обучение по кибербезопасности. Неизвестно, понимают ли они, насколько важны надёжные пароли и почему недопустимо переходить по сомнительным ссылкам.

Поэтому Secure by Design предполагает создание такого ПО, которое защитит инфраструктуру компании от проникновения через взлом партнёрского продукта.

Спрятать информацию. Один из способов обезопасить чувствительную информацию — спрятать её физически. Поэтому некоторые компании предпочитают хранить такие данные в облачных сервисах.

«Облака» физически отделены от основной части экосистемы, поэтому взлом инфраструктуры с меньшей вероятностью затронет базы с конфиденциальными данными. Киберпреступники физически не смогут украсть устройство с информацией.

Проверить систему на кибербезопасность. Даже если применить методику Secure by Design, всё равно можно что-то упустить и оставить пару уязвимостей. Чтобы найти слабые места, экосистему нужно проверить на прочность. Для этого существуют несколько методов:

📋 Пентест (Pentest) — внешняя проверка системы на уязвимости силами одной команды исследователей.

🔴 Red Team — более сложный вариант пентеста. Это «сражение» между двумя командами: одни белые хакеры атакуют инфраструктуру компании, а другие отбивают кибератаку.

🪲 Bug Bounty — это процесс поиска уязвимостей, организованный на специальной платформе. Когда компания хочет проверить себя на киберустойчивость, она приходит, например, на BI.ZONE или Bug Bounty. Там бизнес приглашает независимых белых хакеров взломать ИБ-систему и найти уязвимости.

🤖 Кибериспытание — это инновационный способ проверки киберзащиты компаний, который разработали вместе с ведущими представителями индустрии ИБ. Во время кибериспытаний белые хакеры моделируют реальные атаки. Они проверяют, можно ли за ограниченное время и бюджет продемонстрировать сценарий реализации недопустимого события, которое угрожает бизнесу. Например, утечку, шифрование данных, доступ к аккаунтам топ-менеджеров или остановку производства. Весь процесс контролирует независимый экспертный совет.

🤖 Как именно проходят кибериспытания, читайте в отдельном материале.

👉 Экосистема стабильнее, чем узкопрофильный бизнес.

👉 Экосистема — это крупная структура, в которой много частей. Каждый стык — это потенциальная уязвимость, через которую компанию могут атаковать киберпреступники.

👉 Чем больше цифровых решений в каждом сегменте экосистемы, тем больше слабых мест, которые могут атаковать

👉 Экосистему можно защитить от нападений. В этом вам помогут подход Secure by Design, а также проверки: пентесты, редтиминг, баг баунти и кибериспытание.

Проверьте надёжность инфраструктуры вашей компании. Записаться на Кибериспытания