Скільки бізнесу коштують прогалини в кібербезпеці

Стабільність роботи бізнесу без процесів кібербезпеки – питання часу, везіння і агресивності світу. Останні два моменти ви не контролюєте. 

Під час кібератаки на "Київстар" у 2023 році, через яку зник зв`язок у всіх абонентів, компанія зіткнулася з великими втратами. Хоча точна сума збитків не була офіційно оприлюднена, атака мала вкрай негативний вплив на довіру клієнтів і імідж компанії. 

Кібератака на Marriott International в 2018 році, при якій було викрадено дані 500 мільйонів клієнтів, могла коштувати компанії сотні мільйонів доларів. Штрафи, компенсації, витрати на зміцнення безпеки. Ці витрати могли сягнути понад 200 мільйонів доларів. Інформація про відтік клієнтів не була оприлюднена, але інцидент серйозно вплинув на репутацію компанії.

Вірус-вимагач Petya, що атакував у 2017 році, спричинив збитки на суму близько 10 мільярдів доларів на міжнародному рівні. Це включало значні втрати для великих корпорацій, урядових організацій і інфраструктурних об'єктів. 

Кібератака на Yahoo у 2013-2014 роках стала однією з найбільших в історії за обсягом скомпрометованих даних, включаючи інформацію всіх 3 мільярдів користувачів. Це призвело до зменшення вартості угоди з Verizon на 350 мільйонів доларів, що становить зниження від первісної вартості у 4,8 мільярда доларів. Після витоку даних компанія зазнала втрати довіри користувачів, але точна цифра відтоку не оприлюднена.

Кібербезпека – це не просто захист систем і даних від несанкціонованого доступу. Це основа для неперервності бізнесу. 

Команда YouControl Academy розробила вступний курс до кібербезпеки, покликаний надати компаніям базове розуміння методів захисту їхніх цифрових активів. Співавтор курсу, Сергій Стайкуца, визнаний експерт з кібербезпеки з 15-річним практичним досвідом у галузі та PhD ступенем. У цій колонці він ділиться своїм досвідом аби допомогти бізнесу краще зрозуміти, як кібербезпека може вплинути на їхню діяльність та як її впровадити. 

Мета кібербезпеки – неперервність бізнесу

Чимало національних стандартів та специфікацій оперують поняттям "неперервність бізнесу" або "управління неперервністю бізнесу – Business Continuity Management". Неперервність бізнесу (BCM) – це стратегія, яка включає в себе планування, підготовку та підтримку всіх критичних процесів компанії для забезпечення можливості функціонування та оперативного відновлення у випадку серйозних інцидентів. Основна ціль – досягти такого стану неперервності, при якому усі критичні мережі, системи, сервіси та процеси будуть постійно доступними без уваги на будь які дії. 

Кібербезпека – це лише один із компонентів у структурі загальної безпеки компанії. Підходи BCM дозволять виявити в напрямку кіберпростору загрози та ризики, підготувати ресурси та розробити плани дій. Якщо в компанії немає планів щодо безперервності бізнесу – з високою вірогідністю загроза, вплив ризику або інциденту призведе до банкрутства і неможливості вести діяльність. 

Чи може компанія функціонувати без кібербезпеки? 

Довгостроково – ні. Статистика говорить про банкрутство 95% компаній упродовж першого року роботи. Робота без принципів безперервності як стратегії безпеки компанії, включно з процесами кібербезпеки – це питання везіння та агресивності навколишнього світу. 

Чи впливає це якось на дохід компанії, або її репутацію? Так, напряму. Якщо в компанії порушено безперервність процесів – відразу призупинений процес отримання прибутку. Тому, у кращому випадку, дельта по прибутку дорівнює нулю. Але може бути і негативний показник – коли компанія змушена платити за зобов'язаннями, штрафні санкції.

Також це стосується репутації компанії. Ніхто не захоче мати справу з компанією, дізнавшись про витік конфіденційної інформації, персональних даних клієнтів, листування. У світі загалом новий тренд – показувати клієнтам, партнерам та конкурентам рівень безпеки та вкладення в неї. Безпека, кібербезпека – конкурентна перевага сучасного ділового життя.

Перші кроки в кібербезпеці для бізнесу

Якщо ваша компанія досі не звертала уваги на кібербезпеку, почніть з розуміння її необхідності. Оцініть свої бізнес-процеси, виділіть ключові активи та розробіть плани на випадок кіберінцидентів.

🧠  Стратегічно в компанії:

1. Почати з усвідомлення, що безпека потрібна на 100%. США, Європа давно живе з принципами неперервності бізнесу.  Компанії розуміють, що навчання співробітників, купівля обладнання, зміна технологій, послуги професіоналів – це безперервність бізнесу, це знак плюс. 

В житті ж нормально купити новий автомобіль та періодично користуватися послугами СТО. Змінювати масло, контролювати основні вузли машини, стежити за помилками бортового комп'ютера, в цілому – розуміти, що відбувається. При такому підході автомобіль працюватиме довго і виконуватиме всі завдання. Не будемо контролювати – економія в малому призведе до великих проблем. Так і у бізнесі.

Український бізнес поки що бачить вкладення у безпеку зі знаком мінус і називає це витратами. А за кризових часів, зрозуміло, всі хочуть зменшити статті витрат. Тому без зміни парадигми та ставлення до мотивів запровадження безпеки зміни малоймовірні. Безперервність бізнесу – це інвестиції, а не витрати!

2. Зрозуміти, що безпека – це збільшення витратної частини і водночас вкладення в безперервність процесів бізнесу. Мотивація "через усвідомлення" завжди краще, ніж мотивація "через інцидент".

3. Великі шанси на побудову безпеки, коли вона в компанії будується зверху вниз і підтримується власниками та керівництвом, мінімальні – коли ініціатива знизу.

4. Розібрати бізнес-процеси, виділити з них ключові, підготувати ресурси, розробити плани, назначити відповідальних, пройти навчання.

5. Зрозуміти, що безпека – це процес, а не результат. Не можна зробити один раз і повернутися до питання через кілька років. Це безперервний процес.

6. Оновлювати плани дій, бо загрози та ризики будуть змінюватися, отже компанія завжди в динаміці.

📍 Локально в командах і процесах:

1. Провести аудит і зрозуміти, які активи з позиції кіберсередовища має компанія? Комп'ютери, сервери, активне та пасивне мережеве обладнання, програмне забезпечення, сайти. Все це потребує захисту.

2. Персонал – це частина кіберсередовища. Проаналізуйте, хто ваші співробітники, хто контролює ключові процеси в компанії, рівень обізнаності з питань кіберзагроз, компетенція ключових співробітників в сегменті IT.

3. 80% кіберзагроз – це людський фактор. Навчайте своїх співробітників кібергігієні, планам дій, інформаційним технологіям. Багато проблем створюються випадково, без наміру, просто через незнання.

4. Візьміть за правило працювати зі стандартами або фреймворками з кібербезпеки, особливо для малого бізнесу. Це готові плани дій, виконання яких прибере багато проблем. Або зверніться за послугою до фахівців, які зможуть зробити це за вас і після аудиту стану ІТ в компанії розроблять плани дій і оберуть оптимальні методи захисту.

5. Відповідальні в командах. Тут все залежить від масштабу компанії, критичності її процесів, відповідальності перед партнерами та клієнтами та багатьох чинників. У мікробізнесі та малому бізнесі для старту достатньо однієї людини (буде універсальний солдат), при більшому масштабі – мова вже про відділи, поділ відповідальності. 

За вимогами до співробітника – компетенції, освіта, сертифікація, досвід роботи, порядність, навчання, розуміння бізнес-процесів у компанії, комунікація з усіма відділами та департаментами компанії. Адже займатися лише кібербезпекою без розуміння інших процесів – як лікувати ногу без порозуміння, що це частина складнішої структури.

Кібербезпека 2024: які є загрози 

У майбутньому ми можемо очікувати нові виклики у сфері кібербезпеки, особливо з розвитком хмарних технологій. Бізнесам варто бути готовими до постійної адаптації та оновлення своїх безпекових стратегій.

В 2024 році, серед всіх кіберзагроз, прогнозується висока кіберактивність у контексті виборів у США та розвиток політичного хакерства. Світ очікує зростання кібератак з метою впливу на виборчий процес та політичну ситуацію в країні. Збільшення кібератак у контексті геополітичних конфліктів, зокрема з використанням тактик, спрямованих проти цивільних та військових цілей.

Є високі ризики атак на гібридні та багатохмарні середовища. Зокрема через використання вразливостей та недоліків у конфігурації. Зростають також загрози для смартфонів.

Кіберзлочинці постійно пристосовуються до сучасного цифрового ландшафту, ставлячи перед фахівцями з кібербезпеки нові виклики. Приводом може служити як небажання бачити компанію на ринку, так і політичні мотиви. Тому кіберзагрози можуть стосуватися будь якої сфери бізнесу.

🧑🏻‍💻 Весь список курсів YouControl Academy досліджуйте за посиланням