У звіті Всесвітнього економічного форуму про глобальні ризики за 2023 рік кібербезпека залишається на порядку денному.
2022 рік був важким, якщо говорити про безпеку підприємств: війна раші проти України надихнула кіберзлочинців, а програми-вимагачі як послуга «увірвались в ефір». На жаль, прогноз щодо глобальної кібербезпеки 2023 від Всесвітнього економічного форуму (ВЕФ) та дослідників компанії Accenture передбачає, що ситуація з загрозами може погіршуватися.
Дослідження ВЕФ та Accenture показали, що 86% бізнес-лідерів і 93% провідних експертів з кібербезпеки вважають, що глобальна геополітична нестабільність може призвести до катастрофічної кібер-події в найближчі два роки.
Крім того, дослідження показало, що геополітична невизначеність змушує організації коригувати напрямки інвестицій, причому 49% бізнес-лідерів та експертів з кібербезпеки заявили, що вони «переглянуть країни, в яких їхня організація веде бізнес», у відповідь на геополітичний ризик.
Позитивним моментом є те, що дослідження також виявило, що організації, які враховують кіберризики в процесі прийняття рішень, більш впевнені у своїй кіберстійкості та краще відновлюються після кібератак.
ГЕОПОЛІТИЧНИЙ КОНФЛІКТ ДАЄ ЗЕЛЕНЕ СВІТЛО ДТСКУСІЇ ПРО РИЗИКИ
Хоча ще невідомо, чи справдяться прогнози про катастрофічну кібератаку, за останні кілька років відбулася низка гучних зламів з достатнім імпульсом, щоб вважати їх катастрофічними.
Одна з найвідоміших сталася у 2020 році. Атака на ланцюг поставок SolarWinds призвела до компрометації 100 компаній і дев’яти федеральних агентств. Так само у 2021 році атака програми-вимагача Colonial Pipeline змусила організацію перекрити 5500 миль трубопроводів.
Зважаючи на те, що війна раші проти України триває, у звіті зазначено, що геополітичний ризик «є відправною точкою для більш широкої дискусії між експертами з безпеки та бізнес-лідерами про те, як змінюються кіберзагрози» та як даний ризик може вплинути на планування безперервності бізнесу.
Така дискусія має вирішальне значення для зменшення ризиків, які спричиняють нові кіберзагрози. Те, як ці загрози проявлять себе, залишається предметом дебатів, але Джон Франс, CISO (ISC)2, стверджує, що компрометація ICS/OT є найбільш ймовірним шляхом для великої кіберподії.
«Я думаю, що в наступному році ми можемо побачити важливу подію, і це буде подія в сфері технологій ICS/OT. Через тривалий термін експлуатації, брак заходів безпеки і труднощі з виправленнями у критично важливих областях — атака в цій сфері матиме величезні наслідки, які будуть відчутні», — сказав Франс.
«Тож я певною мірою згоден із гіпотезою у цьому звіті та розділяю думку авторів опитування. Отже, можна стверджувати, що ми вже є свідками помірної атаки, яка була спрямована на Королівську пошту Великобританії, коли програмне забезпечення-вимагач зупинило відправку міжнародних посилок на тиждень та навідь більше», — заявив Франц.
Франц стверджує, що організації можуть захистити себе від цих загроз через виділення більших ресурсів для захисних заходів, а також завдяки тому, що кібербезпека стає обов’язковою на порядку денному топ-менеджменту.
Ключові кроки включають впровадження заходів швидкого реагування, навчання співробітників, як правильно реагувати, впровадження планів відновлення, підготовка до нестабільності ланцюга поставок і пошук альтернативних постачальників, які можуть надати критичні послуги у разі збою.
РІЗНИЦЯ МІЖ УСВІДОМЛЕННЯМ КІБЕРРИЗИКІВ ТА ДІЯМИ
Ще один ключовий висновок з дослідження полягає в тому, що в багатьох організаціях існує розрив між усвідомленням кіберзагроз і впровадженням необхідних заходів для пом’якшення цих ризиків.
Наприклад, попри те, що 86% бізнес-лідерів вважають, що в найближчі два роки відбудеться катастрофічна кіберподія, а 43% вважають, що атака вплине на їхню організацію в найближчі два роки, лише 27% з них вважають, що їхні організації є кіберстійкими.
«Це все одно, що сказати, що ви майже впевнені, що вода затопить ваш будинок і завдасть значних збитків, але ви майже впевнені, що не готові до цього», — сказав Паоло Даль Сін, керівник міжнародного напрямку Accenture Security.
Отже, керівникам служби безпеки необхідно покращити внутрішню комунікацію з топ-менеджерами, якщо вони хочуть запровадити управління кіберризиками в процесі прийняття рішень згори вниз. Один із способів покращити комунікацію – навчитися перекласти на зрозумілу для управлінців мову те, як ризики можуть вплинути на бізнес-результати.
«Керівники бізнесу знають, що їм потрібно робити більше зусиль, щоб впроваджувати кіберризики в процес прийняття рішень, оскільки кіберстійкість дорівнює стійкості бізнесу. Це вимагає чітко скоординованих спільних зусиль всієї команди керівників, щоб отримати більш чітке уявлення про поточні та нові ризики, щоб безпека могла бути вбудована в усі стратегічні бізнес-пріоритети та захистити цифровий код», – сказав Дал Сін.
ПЕРЕПІДГОТОВКА — ЦЕ РІШЕННЯ ДЛЯ УСУНЕННЯ ПРОГАЛИН У КІБЕРНАВИЧКАХ
Нарешті, у звіті описано, як організації можуть працювати над усуненням прогалин у кібернавичках. Рекомендації зводяться до більше ефективного використання спеціалістів широкого профілю, а також спеціалістів для захисту середовища.
«Люди вважають, що кібербезпека — це щось суто технічне. Так, деякі ролі вимагають глибокої технічної експертизи, але кібербезпека — це широка сфера, і для того, щоб зробити організацію кіберстійкою, також потрібна участь спеціалістів широкого профілю, які потребують ширшого набору навичок, від освіти та обізнаності до написання політик, управління тощо. Нам потрібно більше людей як на технічних, так і на загальних посадах», – сказав Боббі Форд, старший віце-президент і головний спеціаліст із безпеки Hewlett Packard Enterprise.
Замість того, щоб конкурувати за невелику групу висококваліфікованих експертів з кібербезпеки, на яких існує величезний попит, організації повинні намагатися залучати більше талантів обізнаних з кібербезпеки у свої команди, тобто в такий спосіб розвивати культуру кібербезпеки у своїх організаціях.
З практичної точки зору, дослідники пропонують «розширити поняття, хто може працювати у сфері кібербезпеки». Це означає надання можливостей та/або навчання людей з нетехнічною освітою, а також осіб, які не входять до системи освіти, та представників недостатньо представлених груп, що відкриває двері можливостей для перепідготовки шляхом навчання на робочому місці або через проходження практики.