Источник: GAAP.RU
Дата публикации: 15 Сентября 2021 г.
К такому выводу приходит автор небольшой статьи на CFO
Радж Патель (Raj Patel) – партнер крупной американской аудиторской и консалтинговой компании Plante Moran, возглавляющий к тому же направление кибербезопасности.
Времена, в самом деле, изменились. Если армия идет на войну, ее обеспечение формируется на основе плана сражений, а не заранее определенного бюджета. Так и с кибербезопасностью: придерживаться старых методов, когда расходы определялись бюджетами, а не результатами проведенного анализа текущих потребностей, в современных условиях для финансовых директоров равносильно тому, чтобы подвергать свои организации очень большой угрозе.
Киберриски, по причине колоссального ущерба, который может причинить успешно проведенная кибератака, должны восприниматься иначе, чем другие виды рисков. Экономия – это, конечно, хорошо, но не в этом случае, ведь даже один миллион сэкономленных здесь расходов может обернуться десятками миллионов выкупа, который придется выплатить хакерам за разблокировку данных (еще свежа в памяти майская история Colonial Pipeline).
Этот риск – отнюдь не теоретического плана. В эпоху пандемии, после перехода многих сотрудников на удаленные режимы работы, кибератаки интенсифицировались, и теперь уже принято говорит не “если”, а “когда”. В США Центр ФБР по обработке обращений, связанных с правонарушениями в интернет-среде, получил в прошлом году более 800 тыс. сообщений о киберпреступлениях; общий размер убытков по итогам прошлого года достиг рекордного значения в $4,1 млрд. – намного больше трех с половиной миллиардов за год до этого. Нет особых причин думать, что 2021 год окажется переломным*.
*Согласно данным SonicWall, общее количество атак, подобно случаю с Colonial Pipeline, имеющих целью получение выкупа, уже достигло 188,9 миллионов во втором квартале этого года – GAAP.RU
Даже крупнейшие компании не могут чувствовать себя защищенными, а поэтому загонять расходы на кибербезопасность в узкие бюджетные рамки – значит заранее обрекать себя на поражение. Ведь то, что в прошлом году на это были выделены средства в $1 млн. (например), вовсе не означает, что в этом году адекватным будет решение выделить на 5% больше, руководствуясь традиционной логикой.
Правильным вариантом для современной компании было бы отложить здесь бюджет в сторонку и оценить, что на данный момент требуется для отражения кибератак. Стартовая точка – это анализ киберрисков, а не смета доходов и расходов. Безусловно, в непростых кризисных условиях компании, конечно же, будут весьма ограничены в финансах, и им в любом случае придется вписываться в какие-то рамки. Тем не менее, если ориентироваться на текущий уровень угроз, такой подход все равно позволит принимать более осторожные и взвешенные решения, выбирая не фактическую открытость перед кибератаками, а состояние, которое можно себе позволить, принимая во внимание ограниченные финансы.
Есть 3 основные области, которые придется проверять на риски: люди, технологии и процессы: