Как CEO обеспечить безопасный цифровой переход и защитить бизнес от киберугроз

Как CEO обеспечить безопасный цифровой переход и защитить бизнес от киберугроз

Привет, я Вячеслав Левин, сооснователь проекта «Кибериспытание». Хочу поговорить о двуличии цифровизации — как она повышает эффективность бизнеса, но и создаёт угрозы, с которыми многие компании ранее не сталкивались.

В 2024 году кибератаки перестали быть сугубо технической проблемой, они способны парализовать организацию и нанести ей миллиардный ущерб. Часто кажется, что это существует где-то далеко, пока хакерская атака внезапно не разрушает работу именно вашей компании.

Статья будет интересна тем CEO, которые задумываются о росте своего бизнеса в сегодняшних реалиях. Я расскажу о новой роли CEO в цифровом мире, а ещё о кибербезопасности и о том, как её достичь.

1. Вывести кибербезопасность из «слепой зоны»

В 2022 году на фоне санкций российский бизнес столкнулся с чередой вызовов, связанных с адаптацией к новым реалиям. Все искали новые способы оплаты, логистические маршруты, аналоги иностранных ИТ-сервисов. Перенастраивали бизнес-процессы и пересобирали команду.

По России прокатилась череда хакерских атак, лишь о малой части которых было широко известно. Это продемонстрировало — большинство организаций не могут обеспечить безопасность в новых условиях.

Ситуация, в которой оказались российские компании сегодня, — часть грядущих изменений мирового масштаба. Рост кибератак из-за геополитических событий подсветил риски цифровизации и то, в каком направлении нужно двигаться.

Чтобы выстроить в стране безопасный контур, он должен состоять из безопасных элементов. Поэтому важно объединить усилия: обмениваться опытом, создавать коллективные инструменты безопасности. Это надкорпоративная цель, на которую должна работать не только индустрия информационной безопасности (ИБ), но каждый российский бизнес.

Уровень осведомленности топ-менеджеров по вопросам ИБ существенно вырос в последние годы. Однако часто она всё ещё связана только оптимизацией расходов. Я предлагаю задавать себе другой вопрос:

«Позволяют ли мои инвестиции обеспечить необходимый уровень безопасности бизнеса?»

Большинство CEO по-прежнему недооценивают влияние цифровых технологий на основные бизнес-процессы. Присутствует иллюзия, что хакерская атака — это техническая проблема, которая имеет мало общего с физическим миром, с прибылью компании. Это уже давно не так.

Текущий масштаб цифровизации позволяет киберпреступникам дойти до точки, где бизнесу можно нанести критический ущерб, вплоть до полного уничтожения.

Кибератаки наносят ущерб на миллиарды долларов. Расскажу про несколько самых громких примеров — как кибератаки повлияли на бизнес-процессы и прибыль крупных мировых компаний.

Хакерская атака — это цепочка действий, чаще всего, группы злоумышленников, которые шаг за шагом продвигаются к критическим элементам инфраструктуры компании, чтобы нанести ущерб.

В зависимости от уровня защищённости организации, эта цепочка действий может быть длинной, занимать много времени, требовать особых компетенций или инструментов. Всё это, в итоге, формирует бюджет взлома.

Цель киберпреступника — максимизация прибыли. Значит, бюджет взлома плюс его риски должны быть компенсированы прибылью от атаки.

💰 Вирус Petya/NotPetya/ExPetr — ущерб более 10 млрд долларов США. Атака вируса на корпоративные сети крупных компаний и госслужб всего мира летом 2017 года. Вирус затронул Европу, США, Австралию, Россию, Индию и Китай.

Среди российских компаний пострадали, например, Роснефть и Башнефть, из международных корпораций — Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser.

💰 Взлом Facebook* — ущерб 5 млрд долларов США и падение стоимости акций на 7%. В 2020 году стало известно об утечке данных 267 млн пользователей соцсети. Данные могли быть использованы для рассылки фишинговых рассылок.

*принадлежит компании Meta, с 21 марта 2022 года решением суда организация признана в России экстремистской и запрещена.

💰 Кибератаки на российские компании — средний ущерб 20 млн ₽. Примеры взломов:

DDoS-атаки на сайт и приложение РЖД. Потребовалось 2 дня, чтобы восстановить доступ.

Атаки на Сбербанк и утечка данных из приложений его экосистемы — СберСпасибо, СберПраво, СберЛогистика.

— Утечки более 20 млн строк персональных данных из баз Ашана, Леруа Мерлен, Асконы, Буквоеда и других ритейл компаний.

Как CEO обеспечить безопасный цифровой переход и защитить бизнес от киберугроз

Отсидеться не удастся даже «не цифровым» бизнесам. Распространённое заблуждение некоторых CEO — низкий уровень цифровизации автоматически гарантирует компании защиту от хакеров. Важно понимать, что современный цифровой мир не имеет границ, инфраструктура отдельной компании — всегда часть общего.

Даже с низким уровнем цифровизации вы, скорее всего, взаимодействуете с внешним миром через цифровые каналы. Это могут быть подрядчики, партнёры, клиенты или государственные учреждения. Значит, этими же путями могут воспользоваться хакеры, чтобы проникнуть в системы вашей компании.

Яркий пример такой ситуации — взлом компании SolarWinds. Через её платформу хакерам удалось получить доступ к более 18 000 систем по всему миру и нанести совокупный ущерб на миллиарды долларов.

Цифровизацию не отменить, поэтому необходимо осознать, что безопасность должна стать неотъемлемой её частью.

Бывает, что в погоне за новыми технологиями команда забывает про безопасность. Но я считаю, что клиенты в первую очередь ожидают надёжной работы сервиса, а уже потом думают об удобстве.

Как клиент банка, я в первую очередь думаю о сохранности своих денег на счету, а уже потом — удобно ли совершать переводы и насколько эргономична кнопка «Отправить».

Безопасность не должна стать причиной остановки цифровизации, она должна занять соответствующее место. Это требует совместной работы подразделений, которые отвечают за ИБ и тех, кто отвечает за сам бизнес.

Прелесть безопасности в том, что она работает или не работает вне зависимости от рейтингов, качественного маркетинга и других инструментов продвижения. Проектом «Кибериспытание» мы предлагаем безопасность, которая работает, и это можно объективно проверить.

2. Включиться в вопрос кибербезопасности

Главный вопрос — что значит «заниматься кибербезопасностью»? Очевидно, что СЕО не может и не должен превратиться в директора по информационной безопасности (CISO), у него и так много забот. Но генеральный директор должен быть в состоянии влиять на безопасность компании. В конце концов, именно CEO несёт ответственность перед акционерами за критические последствия.

Одновременно с этим, многие CISO воспринимают вовлечение бизнеса в вопросы кибербезопасности как угрозу и форму недоверия. Похожая ситуация наблюдалась в ИТ — при переходе на продуктовый подход. Тогда часть команды в бизнесе могла принимать решения, находящиеся вне зоны её компетенции — например, выбор языка программирования — что не находило понимания у технических специалистов ИТ-департамента.

Однако успешные продуктовые команды научились эффективно работать сообща и, что не менее важно — добились состояния, когда вся команда несёт ответственность за результат. Этого сильно не хватает и в сфере кибербезопасности, где ответственность полностью лежит на CISO и его команде.

Что делать СЕО, чтобы повлиять на защищённость компании:

👉 Поставить цель. Важно понять, от чего хочется обезопасить компанию, определить бизнес-процессы, нарушение которых может привести к критическим потерям.

Обычно такая задача решается достаточно легко. Соберите ключевых руководителей компании — CFO, COO, CRO, CIO, CISO — и вместе сформулируйте критические ситуации для вашего бизнеса. Исходя из них, сформулируйте цели кибербезопасности на бизнес-языке. Важно, чтобы цели были понятными и измеримыми.

Ответственность СЕО заключается в том, чтобы внедрить эти цели в бизнес и выставить приоритеты.

👉 Запастись инструментами. Просто поставить цели недостаточно, у генерального директора должен быть понятный инструмент проверки — достигнута цель или нет.

Также важно, чтобы эта проверка была объективной и отражала факт защищённости компании, а не процесс её достижения.

Для решения этой задачи мы создали проект «Кибериспытание», который оценивает реальную защищённость бизнеса силами независимых исследователей — белых хакеров.

В 2024 году кибербезопасность выходит за рамки ответственности одного CISO и требует участия топ-менеджмента, так как кибератаки могут иметь критические последствия для бизнеса. Новый подход к киберустойчивости предполагает интеграцию ИБ-команды в бизнес-процессы для защиты разработки продуктов на всех этапах. Кибериспытание — универсальный стандарт, который позволит компании и её руководству объективно оценить уровень защищённости и своевременно устранить риски.

👉 Перенимать опыт коллег. Многие компании уже проверили уровень киберзащиты, одна из них Innostage, разработчики ИБ-решений.

Техзадание на Кибериспытание от Innostage:

  • Перевести с банковского счёта компании сумму до 2 000 ₽.
  • Вознаграждение: 5 млн ₽.
  • Продолжительность кибериспытания: 9 месяцев.
  • Участники: 600 исследователей, 3 топ-команды белых хакеров.
  • Промежуточные итоги: белые хакеры смогли скомпрометировать учётную запись одного из сотрудников компании, но реализовать недопустимое событие пока никому не удалось.

«Любому собственнику и руководителю компании, вне зависимости от сферы, важно наращивать прибыль, при этом всеми силами предотвращая риски, в том числе цифровые. Одна из ключевых целей, которую я перед собой ставил как CEO, выходя на открытые кибериспытания — поставить бизнес на надёжную, кибербезопасную основу.

Благодаря испытаниям прочность «брони», защищающей ИТ-инфраструктуру, перестаёт быть условностью, в которую руководителя просят просто верить. Теперь она приобретает измеримость и управляемость. Выставляя условия по реализации недопустимых событий и оценивая их в деньгах, мы понимаем, от чего и на какую сумму защищена наша компания.

Сюда же добавлю свое видение как СЕО одного из ведущих интеграторов России. В этом качестве я смотрю на кибериспытание как на проверку защищённости не только нашего бизнеса, но и наших партнёров и клиентов.

Кибериспытание — это объективная обратная связь, позволяющая посмотреть на нашу киберустойчивость глазами хакеров. Ценность такой информации гораздо выше, чем инвестиции в само мероприятие и подготовку.

Запуск нашей программы открытых кибериспытаний — пожалуй, самый удачный пример повышения киберустойчивости с чёткими критериями измеримости».

Айдар Гузаиров, основатель и CEO Innostage

3. Использовать новый инструмент объективной оценки киберзащиты компаний

Мы создали проект «Кибериспытание», чтобы любой СЕО мог получить ответ на вопрос: «сколько будет стоить успешный взлом моей компании с критическими последствиями?»

На Кибериспытании вашу компанию пытаются взломать белые хакеры, задача которых — найти способ нанесения ущерба сегодня, чтобы его не нанесли злоумышленники завтра. Исследователи имеют сопоставимую со злоумышленниками квалификацию и используют те же инструменты и методы.

Мотивация белых хакеров — этика и вознаграждение, которое они получат за демонстрацию подтверждённого способа нанести ущерб, но без реального ущерба. В зависимости от суммы вознаграждения, привлекаются исследователи с разной компетенцией.

При увеличении вознаграждения растёт экспертиза участников.

Если на Кибериспытании удалось получить результат за вознаграждение в несколько десятков тысяч рублей, скорее всего, это сделали начинающие исследователи, а уровень защиты компании очень низкий.

Если исследователям не удалось реализовать цель даже при вознаграждении в несколько сотен миллионов рублей — защита в компании на высоте и вряд ли будет по зубам многим профессиональным группировкам.

Главное кратко

  • Кибератаки — реальность каждого бизнеса в 2024 году. Важно перестать игнорировать тёмную сторону цифровизации.
  • CEO важно наладить диалог с департаментом информационной безопасности, включить CISO в круг людей, принимающих бизнес-решения.
  • Нужно не только наращивать защищённость компании, но и объективно её проверять. Взламывают даже ИБ-гигантов. Чтобы узнать реальное состояние дел, бизнесу стоит пройти Кибериспытание.

В следующий раз я подробно расскажу про механизм Кибериспытания — объясню, почему это безопасно и какую пользу может принести бизнесу.

88
Начать дискуссию