Стратегія мінімізації ризиків: частина 1

У сучасному світі виток даних став рутинною подією для бізнесу. Як стверджує статистика, з кожним роком кількість інформаційних інцидентів збільшується, а їхня підсумкова «вартість» — зростає.

Наприклад, згідно зі звітом Cybersecurity Ventures у 2021 році діяльність кіберзлочинців обійдеться компаніям у всьому світі в суму близько 6 трильйонів доларів США.
Не менш жахливо виглядає і зростання збитків у динаміці: щорічно глобальні збитки від інформаційних інцидентів зростають на 15% і до 2025 року сягнуть 10,5 трильйонів доларів. Для порівняння: у 2015 загальна сума глобальних збитків становила лише 3 трильйони доларів.

Варто зазначити, що мова, в першу чергу, йде про втрати, які можна легко порахувати, такі як недоотриманий прибуток, криза виробництва, штрафи від держрегуляторів. Однак існує ціла низка витрат, що взагалі не потрапляє до калькуляції. Пролонговані збитки від інформаційного інциденту можуть переслідувати компанію роками. Наприклад, за даними дослідження Infosys, 65% споживачів втрачають довіру до бізнесу у разі витоку даних, причому 85% із них заявили, що не хочуть знову мати справу з цими компаніями. Клієнти – це живі гроші, які уникають постраждалого бізнесу назавжди.

Незважаючи на зростання ризиків, багато фірм досі не провели ревізію систем безпеки та недостатньо захищені від сучасних цифрових загроз. За даними опитування ISACA, яке було проведено у 2021 році, лише 32% компаній вважають себе підготовленими до різноманітних інформаційних інцидентів.

Хоча модернізація периметра безпеки – процес трудомісткий, є кілька простих порад, розроблених фахівцями, які допоможуть виявити проблемні зони та зміцнити найважливіші ділянки у найкоротші терміни.

Структура внутрішніх систем

Використання різноманітних програм та сучасних технічних засобів значно розширює можливості бізнесу. Особливо в умовах посткарантинного світу, адже низка локдаунів змусила багато компаній, що традиційно працюють в офлайн-середовищі, перебратися на простори онлайн-світу. Хмарні сервіси, системи прийому платежів, програми складу та обліку дозволили бізнесу стати мобільнішими та вижити в умовах кризи, проте вони ж і породили додаткові ризики. Адже що складніша загальна структура – то більше вразливих місць.
Найяскравіша ілюстрація – нещодавній інцидент із Colonial Pipeline, яка була змушена зупинити виробництво. Як стверджує CNN, спираючись на дані з кількох джерел, основний вектор атаки був спрямований на програму білінгу. Тобто теоретично компанія могла не зупиняти виробничі потужності, але на практиці – виявилася повністю відрізана від можливості проводити взаєморозрахунки, що призвело до вимушеної паузі в життєдіяльності фірми.

Будь-який бізнес – це складний комплекс, діяльність якого спирається різні системи. Пріоритетне завдання керівника – виявити блекаут яких структур призведе до повного паралічу, та забезпечити їх захист насамперед.

Генератори прибутку

Будь-який бізнес – це не лише технології, а й люди. Саме синергія цих компонентів дозволяє компанії розвиватися та рухатися вперед. Після того, як керівник визначив пул найуразливіших технологічних систем, варто переходити на наступний рівень – виявити, які люди в організації забезпечують надходження коштів.

Наприклад, якщо компанія спеціалізується на рекламі чи поліграфії, параліч роботи відділу дизайну неминуче призведе до зупинення життєдіяльності бізнесу. У роздрібній та оптовій торгівлі найвразливіші – менеджери з продажу, при цьому без дизайнера компанія точно зможе обійтися. Більшість організацій легко витримають сценарій, за яких менеджери з персоналу на деякий час випадуть із загальних процесів, при цьому для рекрутингового агентства такий розвиток подій – втрачений прибуток.

Захищати «генераторів прибутку», як і будь-які інші цифрові та людські системи, потрібно не тільки від зовнішньої загрози, а й від самих себе. Саме «людський фактор» стає першопричиною переважної більшості інформаційних інцидентів. І йдеться не лише про цілеспрямоване шкідництво – продаж інформації конкурентам чи надання кодів доступу третім особам. Банальна помилка, така як відправка даних не в те вікно або перехід за посиланням з підозрілого листа, може стати відправною точкою для атаки.
Єдине ефективне вирішення проблеми – впровадження систем моніторингу та контролю персоналу.

Далі буде…