Оценка киберрисков

Управление рисками
Источник: GAAP.RU
Опубликовано: 9 июня 2021


Автор оригинального материала: Перри Уиггинс (Perry D. Wiggins), CPA, секретарь и заведующий финансовым отделом в APQC – некоммерческой организации в Хьюстоне, занимающийся исследованиями и анализом в бизнесе

По материалам: CFO

PerryWiggins-2017_0.jpg

Сотрудники исследовательской компании из Техаса APQC не так давно стали получать рассылку якобы от своего руководства с информацией о важной грядущей встрече. Подставные руководители интересовались, удобно ли будет сообщить в переписке о своем присутствии. Вроде бы бытовая ситуация, только никто из реального руководства ничего не рассылал, а поддельные информационные сообщение преследовали целью единственно получение доступа к коммерчески чувствительной информации и персональным данным. Благодаря бдительности и осведомленности сотрудников APQC, “скиммерам” этого сделать не удалось.

Киберриски – очень серьезная угроза в наши дни. Хакеры успешно вымогают каждый год миллионы долларов у частных и общественных организаций (школ и больниц). Совсем недавний случай хакерского взлома Colonial Pipeline привел к уплате хакерам в качестве выкупа за разблокирование данных 5 млн. долларов в биткоинах – правда, ФБР смогло отследить перечисление криптовалюты на электронный кошелек DarkSide и вернуть газотранспортной компании примерно половину долларового эквивалента. Так или иначе, перед этой угрозой уязвимы все.

Недавно проведенный опрос среди риск-менеджеров выявил, среди прочего, и распределение топовых (самых актуальных для организаций) рисков по категориям. Мы видели, что к топовым респонденты причисляют стратегические риски, операционные, финансовые и, конечно, киберриски. Аналитики APQC подсчитали, что примерно один из каждых десяти оцененных организациями рисков относится к категории “кибер”, причем это справедливо и для медианы, и для 25%-го перцентиля (нижнего квартиля выборки). Что касается 75%-го перцентиля (или верхнего квартиля выборки), то там каждый пятый оцененный риск относят к категории “кибер”.


Источник: APQC

В данном случае принадлежность к нижнему квартилю или медиане еще не означает, что организации отстают от представителей верхнего квартиля в плане своей “бдительности”. Уже хорошо, что они, по крайней мере, помнят о киберрисках и отслеживают их. Но в то же время, с учетом злободневности проблемы и масштаба потенциального негативного влияния на операционные и финансовые результаты, имеет смысл оценивать все же большее число топовых рисков, являющихся при этом “кибер”.

Защищая ваш бизнес        

Предпринимать шаги по защите бизнеса от киберугроз - в интересах любой организации, поскольку давно известно, что это даже не вопрос из разряда “случится или нет”, а, скорее, “когда”. И нет сомнений, что успешная хакерская атака будет иметь для любой организации самые серьезные последствия. По этой причине финансовые руководители не имеют права позволить себе воспринимать подготовку к кибератакам как просто один из обязательных элементов проверки IT-систем. Это намного больше. Вот три основные рекомендации, которым сегодня следуют хорошо подготовленные к киберугрозам организации.

1. Инвестирование в киберзащиту

Придется направлять изрядные ресурсы на приведение вашей организации в состояние готовности к киберугрозам, но это всегда “умные” инвестиции, которые себя окупят. Лучше предотвращать ущерб от атаки, чем платить многомиллионный выкуп хакерам в случае компрометации чувствительных коммерческих данных. Имеет смысл также дополнительно вложиться в перепроверку платежных требований от поставщиков, чтобы система автоматически высвечивала подозрительные транзакции.

Подготовка к кибератакам также предполагает обучение сотрудников, чтобы те имели представление о самых распространенных в хакерской среде подходах. Просто предполагать, что все действующие сотрудники и так достаточно умны, чтобы вычислить хакерскую атаку – ошибка, которая может дорогого стоит. Распространенные методы защиты вроде двухфакторной аутентификации работают намного лучше с сотрудниками, которые имеют четкое понимание, что это такое.

2. Оценки киберрисков

Если говорить в общем, то оценка киберрисков не так уж и многим отличается от оценки любых других рисков в организации. И там, и тут нужно идентифицировать сферы деятельности, наиболее уязвимые перед риском, и оценить, в какой мере действующие механизмы контроля и защиты позволяют держать риск в пределах, установленных на основе склонности к риску данной организации.

Оценка киберрисков, однако, обладает известной спецификой и требует тестирования IT-систем на устойчивость к взлому, а методы их минимизации включают использование почтовых фильтров для отсеивания подозрительных писем. Кроме того, подготовка предполагает составление готовых планов действий на случай, если атака уже случилась, чтобы не пришлось заниматься продумыванием ответных мер уже постфактум.

3. Четкие и понятные организационные политики, следование им сотрудниками организации

Одна из самых распространенных схем кибератаки проявляется в виде вроде бы вполне легального платежного требования со стороны поставщиков, которые просто просят изменить номер счета для перечисления оплаты. Чтобы деньги не ушли мошенникам, важно чтобы все сотрудники бухгалтерии знали, как действовать по пунктам в таких случаях, и не обрабатывали подозрительные транзакции.

К сожалению, недавнее исследование APQC показало, что даже в США многие организации здесь проваливаются: меньше чем половины опрошенных корпоративных казначеев сообщили, что у них все официально принятые политики регулярно доводятся до сведения сотрудников. То есть больше чем половину не волнует прозрачность и четкость понимания организационных политик сотрудниками. Более того, практически половина опрошенных признались, что их сотрудники не следуют четко принятым политикам, даже будучи осведомленными о них. С киберрисками это непростительное поведение, потому что здесь даже один-единственный сотрудник может оказаться тем “слабым звеном”, из-за которого порвется вся цепь защиты, и будет причинен огромный финансовый ущерб.

Кибератаки в наше время продолжаются, и можно гарантировать, что они никуда не уйдут. С учетом этого, руководству современных организаций следует удвоить свои усилия в отношении оценки, приоритезации и минимизации конкретно киберрисков. Инвестиции в эту область обязательно окупятся, может и не сейчас, но чуть позже – или через полное предотвращение успешной кибератаки, или через минимизацию ее последствий.


Другие материалы этого автора:

Теги: киберриски  кибератаки  оценка киберрисков  APQC  персональные данные  коммерчески чувствительная информация  Colonial Pipeline  киберугрозы  киберзащита  подозрительные транзакции