1

Попереду 10 років кіберризиків — Звіт Давоського форуму 2023

У звіті Всесвітнього економічного форуму про глобальні ризики за 2023 рік кібербезпека залишається на порядку денному.

 

2022 рік був важким, якщо говорити про безпеку підприємств: війна раші проти України надихнула кіберзлочинців, а програми-вимагачі як послуга «увірвались в ефір». На жаль, прогноз щодо глобальної кібербезпеки 2023 від Всесвітнього економічного форуму (ВЕФ) та дослідників компанії Accenture передбачає, що ситуація з загрозами може погіршуватися.

 

Дослідження ВЕФ та Accenture показали, що 86% бізнес-лідерів і 93% провідних експертів з кібербезпеки вважають, що глобальна геополітична нестабільність може призвести до катастрофічної кібер-події в найближчі два роки.

 

Крім того, дослідження показало, що геополітична невизначеність змушує організації коригувати напрямки інвестицій, причому 49% бізнес-лідерів та експертів з кібербезпеки заявили, що вони «переглянуть країни, в яких їхня організація веде бізнес», у відповідь на геополітичний ризик.

 

Позитивним моментом є те, що дослідження також виявило, що організації, які враховують кіберризики в процесі прийняття рішень, більш впевнені у своїй кіберстійкості та краще відновлюються після кібератак.

 

ГЕОПОЛІТИЧНИЙ КОНФЛІКТ ДАЄ ЗЕЛЕНЕ СВІТЛО ДТСКУСІЇ ПРО РИЗИКИ

 

Хоча ще невідомо, чи справдяться прогнози про катастрофічну кібератаку, за останні кілька років відбулася низка гучних зламів з достатнім імпульсом, щоб вважати їх катастрофічними.

 

Одна з найвідоміших сталася у 2020 році. Атака на ланцюг поставок SolarWinds призвела до компрометації 100 компаній і дев’яти федеральних агентств. Так само у 2021 році атака програми-вимагача Colonial Pipeline змусила організацію перекрити 5500 миль трубопроводів.

 

Зважаючи на те, що війна раші проти України триває, у звіті зазначено, що геополітичний ризик «є відправною точкою для більш широкої дискусії між експертами з безпеки та бізнес-лідерами про те, як змінюються кіберзагрози» та як даний ризик може вплинути на планування безперервності бізнесу.

 

Така дискусія має вирішальне значення для зменшення ризиків, які спричиняють нові кіберзагрози. Те, як ці загрози проявлять себе, залишається предметом дебатів, але Джон Франс, CISO (ISC)2, стверджує, що компрометація ICS/OT є найбільш ймовірним шляхом для великої кіберподії.

 

«Я думаю, що в наступному році ми можемо побачити важливу подію, і це буде подія в сфері технологій ICS/OT. Через тривалий термін експлуатації, брак заходів безпеки і труднощі з виправленнями у критично важливих областях — атака в цій сфері матиме величезні наслідки, які будуть відчутні», — сказав Франс.

 

«Тож я певною мірою згоден із гіпотезою у цьому звіті та розділяю думку авторів опитування. Отже, можна стверджувати, що ми вже є свідками помірної атаки, яка була спрямована на Королівську пошту Великобританії, коли програмне забезпечення-вимагач зупинило відправку міжнародних посилок на тиждень та навідь більше», — заявив Франц.

 

Франц стверджує, що організації можуть захистити себе від цих загроз через виділення більших ресурсів для захисних заходів, а також завдяки тому, що кібербезпека стає обов’язковою на порядку денному топ-менеджменту.

 

Ключові кроки включають впровадження заходів швидкого реагування, навчання співробітників, як правильно реагувати, впровадження планів відновлення, підготовка до нестабільності ланцюга поставок і пошук альтернативних постачальників, які можуть надати критичні послуги у разі збою.

 

РІЗНИЦЯ МІЖ УСВІДОМЛЕННЯМ КІБЕРРИЗИКІВ ТА ДІЯМИ

 

Ще один ключовий висновок з дослідження полягає в тому, що в багатьох організаціях існує розрив між усвідомленням кіберзагроз і впровадженням необхідних заходів для пом’якшення цих ризиків.

 

Наприклад, попри те, що 86% бізнес-лідерів вважають, що в найближчі два роки відбудеться катастрофічна кіберподія, а 43% вважають, що атака вплине на їхню організацію в найближчі два роки, лише 27% з них вважають, що їхні організації є кіберстійкими.

 

«Це все одно, що сказати, що ви майже впевнені, що вода затопить ваш будинок і завдасть значних збитків, але ви майже впевнені, що не готові до цього», — сказав Паоло Даль Сін, керівник міжнародного напрямку Accenture Security.

 

Отже,  керівникам служби безпеки необхідно покращити внутрішню комунікацію з топ-менеджерами, якщо вони хочуть запровадити управління кіберризиками в процесі прийняття рішень згори вниз. Один із способів покращити комунікацію – навчитися перекласти на зрозумілу для управлінців мову те, як ризики можуть вплинути на бізнес-результати.

 

«Керівники бізнесу знають, що їм потрібно робити більше зусиль, щоб впроваджувати кіберризики в процес прийняття рішень, оскільки кіберстійкість дорівнює стійкості бізнесу. Це вимагає чітко скоординованих спільних зусиль всієї команди керівників, щоб отримати більш чітке уявлення про поточні та нові ризики, щоб безпека могла бути вбудована в усі стратегічні бізнес-пріоритети та захистити цифровий код», – сказав Дал Сін.

 

ПЕРЕПІДГОТОВКА — ЦЕ РІШЕННЯ ДЛЯ УСУНЕННЯ ПРОГАЛИН У КІБЕРНАВИЧКАХ

 

Нарешті, у звіті описано, як організації можуть працювати над усуненням прогалин у кібернавичках. Рекомендації зводяться до більше ефективного використання спеціалістів широкого профілю, а також спеціалістів для захисту середовища.

 

«Люди вважають, що кібербезпека — це щось суто технічне. Так, деякі ролі вимагають глибокої технічної експертизи, але кібербезпека — це широка сфера, і для того, щоб зробити організацію кіберстійкою, також потрібна участь спеціалістів широкого профілю, які потребують ширшого набору навичок, від освіти та обізнаності до написання політик, управління тощо. Нам потрібно більше людей як на технічних, так і на загальних посадах», – сказав Боббі Форд, старший віце-президент і головний спеціаліст із безпеки Hewlett Packard Enterprise.

 

Замість того, щоб конкурувати за невелику групу висококваліфікованих експертів з кібербезпеки, на яких існує величезний попит, організації повинні намагатися залучати більше талантів обізнаних з кібербезпеки у свої команди, тобто в такий спосіб розвивати культуру кібербезпеки у своїх організаціях.

 

З практичної точки зору, дослідники пропонують «розширити поняття, хто може працювати у сфері кібербезпеки». Це означає надання можливостей та/або навчання людей з нетехнічною освітою, а також осіб, які не входять до системи освіти, та представників недостатньо представлених груп, що відкриває двері можливостей для перепідготовки шляхом навчання на робочому місці або через проходження практики.

 

Джерело: WEF Global Security Outlook Report 2023

Related Posts

card__image

Майже дві третини CISO мали справу з втратою конфіденційних даних за останні 12 місяців — звіт Proofpoint

Компанія з кібербезпеки Proofpoint опублікувала щорічний звіт Voice of the CISO, у якому досліджуються ключові проблеми, очікування та пріоритети директорів з інформаційної безпеки (CISO).   CISO ВИЗНАЮТЬ, ЩО ЇХНІМ ОРГАНІЗАЦІЯМ ЗАГРОЖУЄ СУТТЄВА КІБЕРАТАКА ПРОТЯГОМ НАСТУПНИХ 12 МІСЯЦІВ   Згідно з новим опитуванням 1600 CISO з усього світу, 68% респондентів вважають, що їхній організації загрожує атака […]

card__image

Ваш пароль можна зламати за лічені секунди

    Коли ви востаннє оновлювали свої паролі? Експерти з кібербезпеки кажуть, що 95% кібератак відбуваються через людський фактор.   Зараз всюди потрібен логін і пароль. Тож ні для кого не є секретом, що в Інтернеті є люди, які готові «розсекретити» будь-які паролі. Звичайно, якщо ви не високопоставлений політик або знаменитість, вам немає про що […]

card__image

Понад 40% ІТ-фахівців приховують інформацію про кіберінциденти

Оскільки фішинг та атаки програм-вимагачів набирають обертів, половина компаній мали справу з тим чи іншим видом кіберзагроз за останній рік.   Уявіть, що у вашій компанії стався серйозний витік даних, але замість того, щоб поінформувати відповідні сторони та вжити необхідних заходів, вам наказали мовчати!   Нове дослідження, проведене компанією з кібербезпеки Bitdefender, показало, що це […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *