Киберугрозы в эпоху цифровизации: к чему готовится топ-менеджмент
Тема кибербезопасности неизменно присутствует во всех актуальных ИТ-трендах. Эксперты могут скептически отзываться о внедрении ИИ и его реальном влиянии на бизнес, но информационная безопасность всегда в приоритете. Согласно последнему исследованию PwC Global Digital Trust Insights, среди мировых приоритетов в сфере ИБ – модернизация технологий, включая киберинфраструктуру; использование искусственного интеллекта для киберзащиты, а также создание новой операционной модели, ориентированной на поддержку бизнеса. Вместе с тем, использование облачных технологий считают главной киберугрозой почти половина опрошенных. Предлагаем читателям Клуба ОЦО сравнить задачи своих компаний в области ИБ с мировыми трендами.
ИБ во всех трендах
Прежде чем перейти к опросу PwC, коротко покажем, как тема информационной безопасности представлена у других мировых консультантов.
В прогнозе Gartner Top 10 Strategic Technology Trends 2024 два из десяти трендов относятся к теме ИБ. При этом десятку тенденций предлагается группировать тремя различными способами, исходя из стратегии. Одна из стратегий — «Защита инвестиций» — как раз предполагает фокус на кибербезопасности. В резюме Gartner предлагает примерный план действий на ближайшие 36 месяцев и первым шагом оказывается именно внедрение продвинутых ИБ-решений, а уже потом генеративный ИИ и прочее.
Deloitte в публикации Tech Trends 2024 делает акцент на шести силах ИТ. К «подъемным» силам относятся различные новые технологии, а вот вопросы безопасности и доверия/уверенности оказываются среди «приземляющих» сил. Интересно, что во многих случаях говорят даже не о технической стороне дела, не об инструментах ИБ, а о результате – уверенности (Trust) в возможности развивать бизнес. Это же слово – Trust – мы видим в названии опроса PwC, который будем разбирать ниже. И в пятерке актуальных трендов от IBM каждая строчка начинается с Trust – уверенность в операционной модели, в данных, в команде, в партнерах, в ИИ. Здесь тоже вопрос безопасности поставлен выше искусственного интеллекта.
Опрос PwC Global Digital Trust Insights, который мы подробно рассмотрим ниже, можно использовать как бенчмарк, сверять с ним свои планы и расчёты, использовать для аргументации при обсуждении вопросов кибербезопасности с коллегами. Свежее исследование охватило 3876 руководителей бизнеса, технологий и безопасности из 71 страны. Собственно, отличительной особенностью опроса является вовлечение не только ИБ-специалистов, но и топ-менеджмента. Четверо из 10 руководителей работают в крупных компаниях с доходом в 5+ млрд долл. США. Важно отметить, что 30% приходится на компании с выручкой в 10+ млрд долл. США. Глобальное исследование отличает широкий географический и отраслевой охват. Так что его выводы и данные можно считать вполне универсальными.
Все осознают, что любая «дыра» в системе безопасности стоит дорого и эта цена продолжает расти, так же, как и количество попыток пробить эту дорогостоящую брешь. При этом меры по защите предпринимают далеко не все. Например, хотя облачные атаки являются главной проблемой в киберпространстве, около трети организаций даже не имеют плана управления рисками на случай возникновения проблем со стороны провайдера облачных услуг. Только половина участников опроса «полностью удовлетворены» своими технологическими возможностями в ключевых областях кибербезопасности.
Что отличает Топ 5% компаний в сфере ИБ
Как вы думаете, сколько компаний из 3876 смогли не просто осознать важность инноваций – это сейчас понимают многие, – но и поставить в центр технологий именно информационную безопасность. Как та же IBM, которая каждый тренд начинают со слова Trust?
Вопрос – в скольких компаниях директор по ИБ (или CISO, Chief Information Security Officer) – это не человек, мечтающий наглухо закрыть периметр во избежание проблем, а топ-менеджер, который мыслит в категориях ярких идей и смелых амбиций. И не только мыслит, но и работает над обеспечением надежной базы для реализации бизнес-планов организации и защиты ценных активов.
В данном опросе таких было 179 респондентов, которые, «похоже, именно этим и занимаются» (PwC осторожно говорит «похоже», но не утверждает категорично). Эти 5% лучших (на самом деле даже меньше – 4,6%) пожинают плоды, которые пока недоступны другим. Им приходится латать меньшее количество брешей, а атаки, которые все-таки наносят ущерб, обходятся не так дорого. Их киберкоманды практикуют защиту от 80% до 100% своего времени.
Управлять рисками стало проще, потому что они оптимизировали свои решения в области безопасности. Фокус на повышение производительности и ускоренный рост позволяет топовым компаниям опережать конкурентов, поскольку они внедряют новые технологии будучи уверенными в том, что они хорошо защищены.
Найдите 9 отличий
Что отличает передовиков кибербезопасности от всех остальных? Вот четыре отличительных черты компаний из первых 5% (если вы не можете согласиться с положениями из списка применительно к своей компании – это повод для действий):
- в 6 раз выше вероятность того, что они уже внедрили инициативы в области кибербезопасности, которые помогают трансформировать бизнес и получать выгоду;
- в 5 раз выше вероятность того, что они будут очень довольны своими текущими возможностями в области кибертехнологий;
- в 4 раза выше вероятность того, что они будут постоянно обновлять свой план управления рисками для минимизации облачных угроз;
- в 9 раз выше шанс быстро достигнуть стадии зрелости в обеспечении киберустойчивости.
Лучшие 5% компаний с большей вероятностью:
- больше инвестируют в кибербюджет: 85% увеличат его в 2024 году (против 79% в целом), из которых 19% увеличат на 15% или более (по сравнению с 10% в целом),
- говорят, что их самая масштабная кибератака за последние три года обошлась им менее чем в 100 тысяч долларов (28% против 19% в целом),
- полностью согласны с тем, что их организация будет развивать новые направления бизнеса, используя GenAI (49% против 33% в целом),
- планируют внедрить инструменты GenAI для киберзащиты (44% против 27%),
- не согласны с тем, что генеративный ИИ приведет к катастрофической кибератаке (33% против 22% в целом).
Управление киберрисками: готовность к переосмыслению
Согласно исследованию PwC 2024 Global Digital Trust Insights, снижение киберрисков является главным приоритетом на 2024 год. Подкрепим эту мысль данными другого исследования PwC CEO Survey, которое демонстрирует нам логику руководства компаний. Посмотрим на список приоритетных рисков. Так вот в прошлом году киберриски были лишь на четвертом месте. Сейчас они занимают второе место, уступая только цифровым и технологическим рискам. И, по мнению респондентов первые неотделимы от вторых.
В сегодняшнем деловом климате мы просто не можем говорить о цифровой трансформации или переосмыслении бизнеса, не упоминая при этом кибербезопасность. Облачные атаки и атаки на подключенные устройства — это киберугрозы, которые больше всего беспокоят респондентов, поскольку эти две технологии лежат в основе трансформации бизнеса. Первая позволяет легко масштабироваться и снижать затраты на инфраструктуру, без второй невозможен Интернет вещей, один из столпов Индустрии 4.0.
Число и масштабы «мегабрешей» постоянно растут. Так же, как и их цена. Доля тех, кто сообщил о потерях от самого крупного инцидента в размере 1 млн долл. или более за последние три года выросла до 36% (в предыдущем году было 27%).
Темпы переосмысления бизнеса и инноваций с использованием технологий точно не замедлятся. Это просто невозможно в тот момент, когда 40% генеральных директоров опасаются того, что их компании могут перестать быть экономически жизнеспособными через десять лет, если они задержатся на своем нынешнем пути.
Вызов, с которым сталкивается совет директоров любой компании, заключается в следующем: организовать систему управления киберрисками вашей организации так, чтобы она шла в ногу с изменениями.
Упрощение киберинструментов: проклятие ненадежности
Кибербюджеты на 2024 год направлены на то, чтобы максимально использовать существующие инструменты. Модернизация и оптимизация являются первыми приоритетами киберинвестиций на 2024 год. Почти половина (49%) руководителей бизнеса выбрали технологическую модернизацию, включая киберинфраструктуру, а 45% выбрали оптимизацию существующих технологий и инвестиций (см. рис. 1).
В ходе опроса 2022 года выяснилось, что руководители компаний, в частности, были очень обеспокоены тем, что их организации стали слишком сложными для обеспечения безопасности. В то же время 32% компаний консолидировали поставщиков технологий в попытке упростить, а также перестроить микс из внешних и внутренних сервисов.
В опросе 2024 года 44% сообщили об использовании интегрированного набора решений в области кибертехнологий, а 39% планируют перейти на одно из них в ближайшие два года. Почти пятая часть (19%) — говорят, что у них слишком много киберрешений и они нуждаются в консолидации.
Вызов для руководства заключается не в недостатке инструментов или инвестиций. Вместо этого необходимо выяснить, как ваша организация может извлечь выгоду из ваших инвестиций. Является ли ваша ИТ-архитектура слишком сложной для надлежащей защиты? Облегчаете ли вы специалистам поиск брешей в вашей защите?
Облачная безопасность: давно пора обратить внимание
Облачная безопасность является проблемой № 1 среди киберрисков почти для половины (47%) респондентов. Возможности злоумышленников в облаке могут показаться практически безграничными. Организации должны внедрять средства контроля повсюду в вопросах идентификации и доступа, горизонтального перемещения по сети, учетных записей электронной почты, веб-сайтов, приложений, служебной информации, взаимодействия с клиентами, операционных систем, подключенных устройств. Список можно продолжать еще долго.
Многие из респондентов (42%) используют более одного облака, а опасения по поводу облачной безопасности среди пользователей нескольких сред только возрастают. 54% этих респондентов называют облачные технологии наиболее серьезным риском для своей кибербезопасности. Пользователи гибридного облака также с наибольшей вероятностью выберут облако в числе трех приоритетов для инвестиций в безопасность в течение следующего года (36% по сравнению с 33% в общем).
Почти у каждой организации (97%) есть пробелы в области управления облачными рисками. Только 3% опрошенных поддерживают актуальные планы, которые охватывают все составляющие облачной безопасности. Например, риски, связанные с разрозненными правилами, еще предстоит устранить 42%; у 41% нет плана борьбы с риском концентрации в одном облаке и перехода на гибридный вариант; 36% еще не рассматривали риски, связанные со облачными сервисами от сторонних провайдеров.
Вызов для руководства можно сформулировать так: как вы работаете вместе со своими провайдерами в области безопасности, чтобы добиться прогресса в защите наиболее важных точек доступа к вашим системам и активам через облако?
Генеративный искусственный интеллект: нанимаем для киберзащиты
Почти семь опрошенных из десяти заявляют, что их организация будет использовать генеративный искусственный интеллект (GenAI) для киберзащиты. Инструменты GenAI могут улучшить условия работы киберкоманд, перегруженных огромным количеством и сложностью проводимых людьми кибератак, количество которых постоянно увеличивается.
Платформы лицензируют собственные большие языковые модели (LLM) в тандеме со своими решениями в области кибертехнологий. Microsoft Security Copilot намерена предоставить функции GenAI для управления состоянием безопасности, реагирования на инциденты и составления отчетов о безопасности. Google анонсировала Security AI Workbench для аналогичных случаев использования.
Многие производители расширяют возможности GenAI, тестируя все, что возможно. Может пройти некоторое время, прежде чем мы увидим широкомасштабное использование средств защиты. Тем временем, вот три наиболее перспективные области для использования GenAI в ИБ: обнаружение и анализ угроз, отчетность о киберрисках и инцидентах, а также адаптивный контроль.
Вызов для топ-менеджмента делится на два вопроса.
Как вы используете новые инструменты, не вызывая появления новых рисков в организации и обществе? Что вы должны сделать, чтобы использовать GenAI этично и ответственно?
Регулирование: обеспечение безопасного пространства для игр и роста
Общепринято мнение, что новые правила и предписания препятствуют получению доходов, но по меньшей мере треть респондентов считают иначе. Установленные «ограждения» могут придать компаниям дополнительную уверенность в том, что они могут исследовать новое, экспериментировать, изобретать и конкурировать.
Около трети респондентов в этом году согласны с тем, что четыре вида регулирования будут наиболее важными для обеспечения будущего роста их организации: регулирование искусственного интеллекта (37%), согласование законов о кибербезопасности и защите данных (36%), обязательная отчетность по управлению киберрисками, стратегии и руководству (35%) и требования к операционной устойчивости (32%) (см. рис. 2).
Целых три четверти опрошенных ожидают, что соблюдение правил потребует значительных затрат денег и времени. Высоких издержек и последствий для доходов можно избежать, если предприятия заблаговременно и постоянно вовлекаются в процессы регулирования — например, участвуют в публичных обсуждениях законодательных изменений и даже садятся за стол переговоров с регулирующими органами, чтобы помочь разработать предлагаемые директивы или повлиять на них.
Задача руководства заключается в ответе на вопрос: в условиях неопределенности регулирования можете ли вы предоставить своей организации пространство для инноваций, сохраняя при этом безопасность и конфиденциальность? Как вы превращаете новую нормативно-правовую среду в источник конкурентного преимущества?
Сдвиги кибербезопасности в 2024
2024 год, вероятно, станет переломным. Кибербезопасность сталкивается с несколькими изменениями, каждое из которых может быть разрушительным. Компании «изобретают» себя заново. Разработчики политик задумываются о новых подходах к регулированию. Проявляют ли ваши руководители высшего звена такие же новаторские подходы к обеспечению безопасности своих организаций? Насколько смелым вы можете быть и что вы могли бы сделать по-другому?
Как показывает исследование 2024 Global Digital Trust Insights, большинство компаний по-прежнему работают в киберпространстве «как обычно».
Разрозненные инициативы? Постоянно расширяющийся спектр технологических сложностей? Программа управления рисками, которая из-за своих пробелов сама по себе является рискованной? Преобразования и проекты, которые не дают желаемых результатов? Эти и другие камни преткновения остаются на пути обеспечения кибербезопасности, которая действительно заслуживает доверия.
В 2024 году вам предлагается задача: осмелитесь ли вы, как руководитель высшего звена, выйти из застоя и сделать один или два смелых шага, которые будут наиболее важны для вашей организации? Или совершить тот единственный творческий рывок, который мог бы, наконец, устранить препятствия, мешающие вашей компании достичь своих целей?
Вот несколько советов для различных ролей в эпицентре инноваций.
Говорите на новом языке
Для CISO, финансовый директор, главный юрисконсульт
Оказаться в эпицентре инноваций — значит встретиться со своими руководителями и помочь им преодолеть страх, который они могут испытывать по поводу того, что вы делаете. Использование инсайдерских терминов, таких как ландшафт киберугроз, площадь атаки и даже нулевое доверие, может только еще больше озадачить тех, кто не разбирается в нюансах вашей профессии.
Лучше говорить о кибербезопасности в терминах бизнеса, технологий, финансов или даже понятий повседневной жизни. Рассказывайте своим клиентам, инвесторам и деловым партнерам о ежегодных отчетах по безопасности таким образом, чтобы они усвоили информацию и заинтересовались. Использование общих словарей может помочь руководителям бороться с компромиссами, напряженностью и хаосом, которые неизбежно возникают в эпицентре инноваций.
Попробуйте смелые, новые способы управления киберрисками
Для CISO, CRO, IA, CCO, главного операционного директора
Используйте более сложные подходы к моделированию киберрисков, такие как сканирование на наличие угроз с использованием формул, специфичных для вашей отрасли, а также видения и стратегии вашей компании. Чтобы сформировать риск-культуру, создайте стимулы к повышению эффективности, привязанные к рискам, для каждого сотрудника компании, имеющего право на получение бонуса. Придумайте новые способы поиска и усиления ваших слабых мест, возможно, с помощью современной программы вознаграждения за ошибки, стимулирующей независимые исследования в области безопасности. Наконец, приобретите и начните использовать облачное централизованно управляемое решение по идентификации для достижения целей расширения вашего бизнеса.
Сформируйте периметр защиты
Для CISO, ИТ-директора, PR, генерального директора
Говорите на языке доверия. Включайтесь во внешние процессы как можно раньше и чаще, чтобы иметь больше шансов повлиять на любые новые правила и гарантировать, что они будут способствовать успеху бизнеса, а не препятствовать ему. Искусственный интеллект, метавселенная, криптовалюта, конфиденциальность, — в этих актуальных темах регуляторы вполне могли бы извлечь пользу из вашего опыта и инсайтов. Помните, что регулирующие органы могут чувствовать себя сбитыми с толку работой киберпространства и технологий, как и любой другой человек.
Освободите своим командам простор для творчества (автоматизация, GenAI, управляемые сервисы)
Для CISO, CIO, технического директора, CRO, исполнительного директора
Предоставление вам круглосуточного контроля является одним из преимуществ автоматизации, GenAI и управляемых сервисов. Другое достоинство – выполнение рутинной работы за вашу команду. Освобожденные от тирании утомительных задач, ваши сотрудники могут найти время и место для осмысления новых киберопасностей и создания новых способов противодействия развивающимся угрозам.
Постоянное место в совете директоров
Для CISO, правления, генерального директора
Киберугрозы возглавляют список рисков в большинстве компаний и во многих опросах руководителей. Но являются ли они основной темой в вашей повестке? Получаете ли вы качественную информацию не только о киберрисках и мерах контроля, но и о том, как основные стратегические инициативы способствуют росту бизнеса и доходов? Безопасность обеспечивает основу для всего, что делает организация: финансов, развития, персонала, технологий и других областей бизнеса, которые вы, вероятно, обсуждаете при каждой встрече.
Посмотреть вашей киберпрограмме прямо в глаза – это смелый шаг.
Думайте, как владелец бизнеса
Для CISO, генерального директора
Трансформация бизнеса и кибертрансформация – едины. Теперь CISO и генеральному директору вместе необходимо рассматривать кибербезопасность как комплексное направление бизнеса, поставив себя на место владельца бизнеса. Разве они не хотели бы, чтобы все направления работы — финансовые отчеты, собственные исследования, разработка приложений, данные клиентов и т.п. — были бы защищены от несанкционированного просмотра или использования? Разве они не хотели бы защитить свой бренд? Разве кибербезопасность не может стимулировать инновации, которые экономят деньги и помогают бизнесу расти? В этом смысл существования безопасного киберпространства.
Материал подготовлен Михаилом Сапрыкиным
Централизация функционала ФЭС: опыт СИБУРа
Анна Кустова, СИБУР, – о том, как компания централизовала финансово-экономическую функцию и какие это дало эффекты.
МЧД: практика применения
ОЦО и бизнес, – о том, как они организовали процесс выпуска МЧД, и с какими проблемами они сталкиваются в ходе этой работы.