2017 года принес неприятности очень многим жертвам киберпреступлений, но общий тренд продолжается еще с прошлого 2016 года, в котором, по статистике, приблизительно 40% пострадавших компаний имели выручку менее $100 млн. годовых, а 11% - более $1 миллиарда. Таким образом, размер, как обычно, в таких делах ничего не решает – все равно вы можете стать следующей жертвой.
Даже если финансовые директоры компаний начинают тратить дополнительные средства на более совершенное IT-обеспечение, пытаясь тем самым предотвратить взлом, это еще ничего не гарантирует. Сегодня для CFO становится обычным делом рассматривать киберриски с позиции минимизации ущерба, а не только лишь предотвращения их фактической реализации.
Однако для многих финансовых директоров является настоящей проблемой оценить факторы потерь в любом связанном с кибербезопасностью инциденте. Например, если взять отрасль здравоохранения, то одна неназванная частная клиника в США была вынуждена заплатить 750 тыс. долларов за то, что хакеры получили доступ к более чем 90 тыс. историй болезни ее пациентов, а другая – 3.2 миллиона за 2,400 историй болезни, конфиденциальность которых оказалась нарушена. Вот и пойми логику. Причем такая непоследовательность характерна, как можно догадаться, не только для здравоохранения, а практически для всех отраслей.
Нужно понимать, что факторы потерь в киберинцидентах бывает трудно предсказать, но это не значит, что они случайны. Вот шесть простейших “уроков”, которые вполне способен усвоить любой финансовый директор:
Урок №1: Вы не можете потерять то, чего не имеете. Да, звучит тривиально, но взглянем на пример из жизни: в 2015 году американский страховщик Anthem (страхование жизни) и аффилированные с ним организации обслуживали 69 миллионов клиентов. В том году у них случился взлом, и злоумышленники получили доступ к 78 миллионам личных дел. Спрашивается, откуда взялись еще 9 миллионов? Оказывается, это бывшие клиенты, и каждого из этих 9 миллионов пришлось обзвонить, сообщить о факте взлома, принести извинения и предложить кредитный мониторинг, что только увеличило расходы сверх той величины, с которой компания столкнулась бы, если бы просто вовремя уничтожила записи по неактивным клиентам.
Урок №2: Вы не отправите никому письмо, если у вас нет адреса. В случае электронного взлома компании в США обязаны в общем случае извещать об этом клиентов традиционной, “бумажной” почтой, но при этом могут прибегать и к более быстрым методам типа электронной почты, если почтового адреса у них нет. “Бумажные” извещения ориентировочно стоят $2 в расчете на человека (конверт, марки и бумага), и эти расходы быстро накапливаются. Стоит спросить себя, так ли компании нужен почтовый адрес клиента, и стоит ли он запоминания, чтобы впоследствии столкнуться с высокими издержками извещения традиционным методом?
Урок №3: Вы говорите, что взлома не было, но можете ли это доказать? Данные американской юридической фирмы BakerHostetler показывают, что в 44% связанных с кибербезопасностью инцидентов публичные извещения не нужны. Чтобы никого ни о чем не извещать (следовательно, не нести за это расходов), компании должны уметь доказать, что, несмотря на взлом, несанкционированного доступа ни к одной их записи не было, а чтобы это доказать, нужно смотреть на системные регистрационные журналы, содержащие данные о времени доступа и пользователе, который его осуществлял. Многие компании таких журналов сегодня не ведут, либо же они у них неправильно настроены, а без необходимых записей компания обязана предполагать худшее, если не может доказать обратное. Финансовым директорам не нужно быть специалистами по системной безопасности, чтобы задать один простой вопрос: “Как у нас обстоят дела с фиксированием электронного доступа к конфиденциальным данным?”
Урок №4: Остановить хищение средств с карточек невозможно. Если речь идет о взломе с участием кредитных карточек, возмещение клиентам похищенных у них средств может достигать астрономических масштабов – по статистике, где-то от $3 до $30 на одну карту, иногда больше (данные той же юрфирмы BakerHostetler). Новые “интеллектуальные” карточки с чипом способны снизить вероятность хищения, хотя и не свести ее к абсолютному нулю. В самом деле, MasterCard сообщает от 54%-м снижении подделок в случае с предприятиями розничной торговли, перешедшими на чиповые карты. Хотя снижение числа краж – лишь один из множества факторов, которые необходимо учесть компаниям при взвешивании всех “за” и “против” перехода на новые карточки, о них определенно стоит подумать.
Урок №5: Если у вас это впервые, найдите помощь на стороне. Ваша реакция на произошедший взлом – плохой повод заново изобретать колесо. Время для этого совершенно неподходящее: ошибки совершить легко, а они будут иметь очень серьезные последствия. Взять для примера извещение клиентов: вот произошел взлом, его обнаружили, и побуждение тут же всех проинформировать может быть сильным. Однако неэффективно проведенное извещение способно породить панику, которая мгновенно повесит телефонные линии всех ваших кол-центров из-за наплыва звонящих, требующих для себя кредитный мониторинг. Сам по себе он может стоить от 5 до 30 долларов на человека. Но не стоит забывать, что есть специальные компании в области IT-консалтинга, специализирующиеся на кибервзломе – они помогут вам минимизировать панические настроения и издержки даже в такой неприятной ситуации.
Урок №6: Если за вас взялись регуляторы... В случае взлома любая компания может стать объектом расследования, и не одного, а нескольких органов регулирования. Необязательно, что именно так все и будет, но лучше подстраховаться, тем более что можно предпринять элементарные действия, способные защитить вас от баснословных штрафов. Самое основное здесь: именно финансовые директоры в компании должны быть активными поборниками внедрения инструментов контроля сетевой безопасности, которые им ранее порекомендовали внешние аудиторы или даже сами регуляторы. Чуть выше в пример приводилась компания, которую приговорили к $3.2 миллионам штрафа, а почему? У них это был уже второй по счету взлом за относительно короткий промежуток времени. После первого случая им были даны вполне конкретные рекомендации по усилению систем электронной безопасности, но они их, как водится, проигнорировали. А так, в случае чего, вы всегда можете сказать – мол, делали что могли.
Конечно, эти простые и во многом очевидные действия минимизируют потери лишь до определенного предела, а те же программы-вымогатели типа недавних WannaCry и Petya способны за один день нанести весьма ощутимый финансовый урон. Поскольку они еще довольно свежи в памяти, самое время запомнить еще один полезный урок для финансовых директоров: если они сталкиваются с вирусами-вымогателями, в первую очередь нужно оценить, связана ли эта атака также с нарушением конфиденциальности данных (то есть получили ли атакующие доступ к закодированным файлам). Потому что если это так, то все описанные выше действия будут полностью применимы и в этом случае.
Таким образом, хотя потери по-прежнему будут варьироваться от случая к случаю, если CFO хорошо понимает стоящие за ними факторы, он или она, безусловно, будет лучше подготовлен к защите своей организации от неизбежной (к сожалению, это так) неприятности.
По материалам: CFO