Нов-и Диджитал менеджмент
Нов-и Эксперты говорят

Поделиться:

Как защитить бизнес от кибератак

Как защитить бизнес от кибератак и их неочевидных последствий

2021-01-22 894

Из чего состоит целостная стратегия информационной безопасности предприятия и есть ли в ней место для киберстрахования? Читайте в авторской колонке Александры Гладышевской, генерального директора компании «Страховой брокер «Инсарт».

Зачем бизнесу кибербезопасность

Кибератака 27 июня 2017 года вместе с вирусом-вымогателем Petya.A показали украинскому бизнесу, что шутки кончены. В этот день компании потеряли 8 млрд долларов США, 75% инцидентов пришлось на Украину, пострадали 12 500 компьютеров. И это только официальные данные.

Нас поставили перед выбором: либо мы начинаем серьезно подходить к вопросу кибербезопасности в своей компании, вне зависимости от того, в какой сфере работаем. Либо вместе с аудиторами будем считать убытки и отправлять сотрудников в бессрочный отпуск. И тут перед нами становится задача. Если мы голосуем в пользу кибербезопасности, то как правильно подойти к ее построению, из чего она состоит и с чего начинать?

Как выстроить систему кибербезопасности в компании

В общепринятой практике скелет информационной безопасности в компании состоит из трех основных факторов:

  1. 1. корпоративные политики на случай кибератаки;
  2. 2. обучение сотрудников основам кибербезопасности;
  3. 3. технологические решения, к которым сейчас присоединился и четвертый – киберстрахование.

Посмотрим, что входит в каждый из них.

  • Корпоративные политики кибербезопасности

Первый фактор — это выписанный и отработанный план непрерывной бизнес активности на случай кибератаки. Проще говоря, это инструкции и требования по доступу к компьютерным системам и руководства на случай кибер-инцидента. А именно: кто будет заниматься восстановлением систем, куда на это время переместится офис, на чьих компьютерах будут работать сотрудники, кто будет отвечать на звонки и прочее.

Очень важно здесь не превратить составление и отработку такого документа в профанацию. Ведь его наличие и реализуемость может существенно облегчить жизнь в случае очередного Petya или его брата.

  • Обучение сотрудников основам кибербезопасности и грамотного поведения в сети

По статистике 55% убытков, связанных с нарушениями информационной безопасности, происходят по вине сотрудников. Смоделируем ситуацию. В офисе на полу лежит безымянная USB-флешка. Какая её дальнейшая судьба? Скорее всего ее подберет кто-то из персонала (будем надеяться, что это не будет бухгалтер) и решит проверить, что на ней записано, вставив в компьютер. Всё. И это один из простейших примеров. Именно поэтому обучение персонала — важная составляющая стратегии кибербезопасности.

  • Внедрение технологий защиты компьютерных систем

В зависимости от размеров предприятия и сферы деятельности. Для e-commerce важно защитить себя от DDoS-атак, для банков критичной будет защита персональных данных и операций в интернет-банкинге. Для аудиторов — защита корпоративных конфиденциальных данных своих клиентов. Это последний и, как правило, самый крепкий барьер на пути злоумышленников к несанкционированному доступу к компьютерной системе. И именно серьезность подхода руководства компании к этому инструменту во многом определяет устойчивость бизнеса.

Но увы, и этого не всегда достаточно, чтобы предотвратить кибератаку на предприятии. Остаются такие риски, как инсайдеры, системные уязвимости, например, в обновлениях, как это случилось с Petya. Ну, или кто-то всё-таки вставит USB-флешку. Именно поэтому четвертой составляющей общей стратегии кибербезопасности становится страхование кибер-рисков, которое, по сути, не создает физический барьер, но включается тогда, когда все остальные барьеры прорваны. А это, как показывает практика, рано или поздно происходит.

Защита от 5 неочевидных последствий кибератак

Основная задача киберстрахования — удержать бизнес на плаву и оказать финансовую поддержку при наихудшем сценарии развития событий после кибератаки.

Став жертвой киберинцидента, компании несут множество разных убытков и непредвиденных расходов.

  1. 1. Перерыв в производстве. Простаивание бизнеса, например, интернет-магазина может очень дорого обойтись его владельцам.
  2. 2. Реагирование на кибер-инцидент. Как и при пожаре, при кибератаке нельзя все оставить, как есть, её надо ликвидировать. С этой целью привлекаются специалисты по кибербезопасности для оперативного вмешательства и приостановления атаки.
  3. 3. Утерянные электронные данные. Например, для бизнеса, который работает с розницей, потеря клиентской базы будет весьма существенным ударом. Кроме того, её восстановление (если таковое вообще возможно) требует определенных затрат, как денежных, так и временных.
  4. 4. Претензии третьих лиц. Если компания-аудитор подверглась кибератаке и в сеть утекли конфиденциальные данные ее клиента, то вполне вероятно, что аудитора будет ожидать судебный иск со всеми вытекающими расходами: адвокаты, юристы, судебные издержки, штрафы и прочее.
  5. 5. Репутационный ущерб. Когда в сеть просачивается информация о том, что на банк была организована успешная кибератака, среди его клиентов часто наступает замешательство и беспокойство о сохранности своих денег и счетов. После таких новостей банк теряет не только существующих клиентов, но и будущих. А чтобы восстановить свою репутацию банку придётся привлечь серьезные бюджеты и лучших PR-специалистов.

Это далеко не полный перечень того, с чем может столкнуться компания, пострадавшая от киберинцидента. Чем глубже в бизнес-процессы проникают технологии, тем изощренней становятся кибератаки, и тем непредсказуемей объемы убытков и расходов на борьбу с ними.

Киберстрахование как вид риск менеджмента становится в некотором смысле суперзвездой на мировом финансовом рынке. Индустрия показывает ежегодный прирост, близкий к приросту стартапов Силиконовой Долины. И не потому, что это — «хайп». А потому, что это по-настоящему действенный механизм минимизации рисков компаний в киберпространстве. Киберстрахование — это полноценный инструмент стратегии кибербезопасности на предприятии, который идёт рука-об-руку с технологическими, операционными и просветительскими мероприятиями, направленными на защиту компании от кибер-рисков.

Узнайте больше о кибератаках из мини-эфира Александры Гладышевской «Управление рисками в киберпространстве» в «PRO Digital: Клуб цифровых инноваций». Вступайте в клуб, чтобы посмотреть запись этой встречи и участвовать в других мероприятиях бесплатно.
Оцените материал

Поделиться:

Добро пожаловать!

Куда хотите войти:

В систему дистанционного
обучения

Войти

В личный кабинет пользователя
вебинаров

Войти

Рады приветствовать на нашем сайте!

У нас есть два полезных портала для повышения квалификации!
Скажите, что именно вас интересует?

Курсы повышения
квалификации

Зарегистрироваться

Вебинары об изменениях
в законодательстве

Зарегистрироваться