Ризики масової цифровізації для бізнесу. Як кібергігієна убезпечить компанії від збитків у разі кібератак та збоїв

З січня 2022 року Росія веде кібервійну проти України. Після вторгнення вона вчинила більше 1500 кібератак на державні структури та бізнес, спричинивши збитки, надзвичайні ситуації та глобальні збої в системі, за даними CERT-UA. Сьогодні неможливо уявити себе та компанії без цифрової інфраструктури — вона обслуговує кожну сферу від онлайн-платежів до навчання. Але щоб все працювало надійно та стабільно, потрібно серйозно відноситись до інформаційних ризиків.

Автор: Олексій Барановський, керівник програми Information and Cybersecurity Management в SET University, президент київського хабу ISACA.

Припиніть обробляти замовлення та вхідні запити вашого бізнесу протягом трьох днів — чи зможете ви працювати та повноцінно функціонувати у 2022 році? Яку кількість товару ви зможете продати, якщо раптом вимкнеться система розрахунків магазину?

Українські ІТ-компанії, ІТ-інфраструктура бізнесів, банківські та державні послуги напружено працюють в контексті регулярних хакерських та конвенційних атак рік після повномасштабного вторгнення. При цьому вони забезпечують неймовірно високий рівень якості обслуговування.

Попри виклики, експорт IT-послуг перевищив $6 млрд за 10 місяців 2022 року, а кількість ІТ-фахівців в Україні перевищила 300 000, свідчить дослідження IT Ukraine Association. Це результати цифровізації, темпи якої стають швидшими з кожним роком.

Після повномасштабного вторгнення, Міністерство цифрової трансформації запустило понад 20 нових сервісів. Сюди входять нові послуги «Дії»: «єДокумент», «Дія.ТБ», «Дія.Радіо», допомога з безробіття, послуги для ВПО, купівля військових облігацій, допомога армії, можливості додати в «Дію» витяг про місце проживання, пенсійне посвідчення, посвідки на постійне і тимчасове проживання. Це оцінили не лише всередині країни — Естонія запускає державний застосунок mRiik, побудований на базі «Дії».

Оборонна промисловість, агро, фармацевтика, ритейл, важка промисловість і фінансовий сектор не відстають. Завдяки руху Industry 4.0 важка промисловість рухається до повністю автоматизованого виробництва, система точного землеробства підвищує ефективність управління земельними банками аграріїв, фармацевти використовують Big Data, чатботи стали буденністю для фінансових послуг. Усі ці зміни — лише за останні 7 років.

Від виробництва до соціальних послуг — диджіталізація всюди. Це створює можливості для зростань і проривів, але може спричинити проблеми, якщо не достатньо опрацювати всі ризики.

Впроваджуючи цифровізацію в державні послуги, ми не приділили достатньої уваги системі інформаційної безпеки. Масштабним викликом стала атака Petya/NotPetya у 2017 році, коли він вразив українські енергетичні компанії, банки, великий бізнес, київський метрополітен, аеропорт Харкова, а також бізнес у 16 країнах світу.

На мій погляд, до 2015-2016 років більшість обов’язків фахівців в сфері інформаційної безпеки були пов’язані з рутинними задачами: взаємодія з документацією, інструкціями, інколи написання коду. Після 2015 року, попит на кіберфахівців виріс в рази. Проте це стало реакцією на пожежу, а не діями на випередження чи ознакою культури кібербезпеки.

За швидку диджиталізацію потрібно заплатити свою ціну — ризиками безпеки даних та системи загалом. Попереду нас чекають кібератаки, витоки даних, збої в системах — або втрата контролю над цифровими процесами, яких стало занадто багато. Проте є хороша новина — з цим можна треба працювати. Найгріший сценарій — не аксіома.

Встановити антивірус замало

Культуру інформаційної безпеки українського бізнесу можна умовно розділити на декілька типів. Перша властива великим корпораціям та банкам. Працівники ще не звикли дбати про кібербезпеку самостійно, тому організації впроваджують політики по безпеці для співробітників і слідкують за їхнім виконанням.

У другій моделі бізнес вважає, що найм одного профільного спеціаліста чи встановлення антивірусу попередить біду і цього цілком достатньо. Бізнес також може взагалі не опікуватися інформаційною безпекою та сприймати це питання всерйоз — це третя модель поведінки.

А що було б, якби ризик витоку даних чи кібератаки сприймався так само, як ризик несплати платежу контрагенту? Зрілі компанії за кордоном не лише мають профільних спеціалістів в штаті чи антивіруси — вони точно знають, яку кількість даних можуть втратити у випадку атаки та за який час вони відновлять діяльність.

Перший показник називається Recovery point objective (RPO) — яку кількість інформації ви можете собі дозволити втратити, якщо відбудеться умовна кібератака, раптове тотальне відключення світла чи всеохопний збій системи. Другий показник — Recovery time objective (RTO) — проміжок часу, за який робота системи відновлюється після форс-мажорного випадку. Звісно, це далеко не єдині показники ефективності систем інформаційної безпеки, існують додаткові метрики та методології оцінки. Проте це питання вартує окремого матеріалу.

Скільки українських компаній знають ці показники для своїх систем? Це стосується не лише великого бізнесу — умовний ФОП-айтівець та його комп’ютер може містити не менш чутливу інформацію, витік якої матиме наслідки для компанії.

Кіберзагрози можуть прийти не тільки з Росії

З-поміж усіх кібератак, які здійснили на Україну починаючи з 24 лютого 2022 року, чверть припала на державний сектор. Під прицілом хакерів також опинилася енергетична інфраструктура, логістичний, телеком-, комерційний, оборонний сектори, за даними CERT-UA.

Російські кібератаки ціляться також на приватні компанії та гуманітарні організації, свідчить дослідження CERT-UA. Перед вторгненням у січні 2022 українські банки були під прицілом масової кібератаки. Ми відбиваємо ці удари, адже попри постійні атаки, можемо далі користуватися «Дією», замовляти доставку, проводити платежі. Україна пройшла перший антикризовий етап — настав час системно оцінювати ризики.

Усе тільки починається. Кожну секунду у 2022 році відбувалися витоки даних мінімум двох інтернет-користувачів, згідно з дослідженням британської IT-компанії AAG. Збитки бізнесів через витоки сягнули $4,4 млн — при цьому 67% МСБ відчуває, що «не має навичок» протистояти кібератакам.

Об’єктами знакових атак у 2022 році стали компанії Uber та Nvidia. Вірус WannaCry спричинив загальних збитків на $4 млрд, кібератака в Коста-Ріці спричинила оголошення надзвичайного стану в країні.

Нас з дитинства вчать слідкувати за власною гігієною, мити овочі та фрукти і не їсти їх брудними руками. Так формуються звички, норми життя. Так само із кібербезпекою. Крок за кроком, цифрова безпека бізнесів та кожного окремо зіграє ключову роль, щоб впоратися з будь-яким збоєм чи кібератакою.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Підписатись на коментарі