Долгое время киберриски оценивались скорее в теоретическом, чем в практическом аспекте. Теперь же очевидна возросшая актуальность тщательной и комплексной оценки рисков, с которыми можно столкнуться в любом виде деятельности. Возможно, величайшим вызовом является то, что перед нами новая парадигма, к которой неприменимы существующие или исторические модели. Киберриски — большая, комплексная, многоплановая и во многом скрытая угроза, способная, однако, самым фундаментальным образом повлиять на деятельность компаний.

Дискомфорт от сложившихся реалий носит двойственный характер. Во-первых, взаимосвязанная инфраструктура, на которую опирается глобальный бизнес, по сути своей изначально небезопасна. И во-вторых, природа человека и его изобретательность становятся одновременно и величайшей силой, и величайшей слабостью. Если кто-либо сомневается в напряженности борьбы «зла» и «добра» в этой сфере, то сигналом к побудке может стать запуск операции #LeakTheAnalyst в конце июля этого года.

Анализ широко разрекламированных киберинцидентов с сетевыми червями WannaCry и NotPetya не должен ограничиваться лишь технологическими аспектами, хотя они, разумеется, достаточно важны. Обе вредоносные программы были штаммами программ-вымогателей, поражающих распространенные операционные системы на основе Windows. Обычный способ заражения — рассылки по электронной почте, включая злонамеренное соединение с неизвестным отправителем. Запущенная во внутреннюю сеть компании программа-вымогатель быстро распространяется и инфицирует незащищенные устройства, серверы и системы.

В большинстве случаев можно исходить из того, что организации становятся невольными жертвами, хотя нельзя полностью исключать такие факторы, как корпоративный шпионаж и тому подобное. Недавние события нанесли удар по всему миру и затронули продовольственные компании, юридические фирмы, транспорт и банки, коммунальное хозяйство и здравоохранение. Очевидное заключение — что преступники вымогают деньги и наносят значительный ущерб, используя существующие слабости.

Удивительно, что интермодальная цепь поставок не оказалась в большей степени подвержена разрушительному воздействию криминальной киберактивности. Частично это может объясняться низким уровнем прозрачности и отчетности. По слухам многие субъекты деятельности становятся объектами успешных «атак» различного вида в течение продолжительного времени. Понятно, что компании предпочитают скромно замалчивать распространенность и методы киберпреступности. В этой связи особо приветствуется обязательство A P Möller раскрыть уроки, полученные ими в ходе недавних событий.

В действительности интермодальные цепи поставок особенно подвержены рискам в силу того, что они во все большей степени доверяются информационным и коммуникационным технологиям (ИКТ), связывающим офисы компаний в разных странах, зависят от взаимодействий с многочисленными третьим сторонами и часто используют пользовательские патентованные программы, в которых протоколы безопасности могут не предупредить о недавно выявленных уязвимых местах. В дополнение к этому многие организации в нынешних экономических и конкурентных условиях в целом имеют склонность к рискам, не обязательно связанным с киберрисками, соответственно расставляя приоритеты своей бюджетной политики.

Разнообразие возможных негативных воздействий велико — от обычной кражи или мошенничества посредством контроля или манипуляций с системами или оборудованием до раскрытия информации или интеллектуальной собственности

По аналогии с человеческими вирусами важные принципы гигиены включают:

• Регулярное обновление программного обеспечения, даже с осознанием при этом недостатка времени для оценки косвенного воздействия на зависимые приложения.
• Наличие эффективных антивирусных программ и жестких фильтров для спама (большинство производителей быстро добавляют средства для распознавания эволюционирующих штаммов вредоносных программ).
• Систематическое и регулярное создание резервных копий важнейших данных, обеспечение офлайн-хранения копий для того, чтобы они не могли быть заражены более поздними версиями вирусов.

Многие компании дополнительно пересматривают меры по обеспечению безопасности электронной переписки, пытаясь сократить объем потенциально мошеннических сообщений. Такие меры могут включать ужесточение способов идентификации отправителя до того, как впустить сообщение в систему внутренней электронной почты, например, путем подтверждения «структуры политики отправителя» (SPF — sender policy framework). SPF подтверждает, что сообщение действительно пришло с легального домена, ассоциированного с компанией-отправителем. При этом, однако, необходимы дальнейшие проверки для фильтрации потенциально вредоносного контента.

Очевидно, что антирисковые изменения систем учитывают их взаимодействие с человеком, однако каждый индивидуум должен при этом осознавать риски и быть готовым к ним. Соответственно, технологии по снижению рисков должны сочетаться с пониманием очевидной проблемы: человеческого фактора. Структура и культура каждой компании самым фундаментальным образом влияет на то, каким образом ее сотрудники и партнеры реагируют на киберугрозы. Четкое формулирование политики компании в этой области, включая такие темы, как информирование руководства о нарушениях, а также эффективное и регулярное информирование и практический тренинг персонала, являются необходимыми мерами борьбы хотя бы с таким фактором, как беспечность сотрудников. Например, способность отслеживать подозрительные электронные сообщения и правильно поступать с ними является жизненно важной.

Также должно быть четкое понимание того, что жизнь людей не ограничивается рабочим местом. Компании должны продумать проблемы, связанные с такими устройствами, как смартфоны, не говоря уже об уязвимых местах, связанных с социальными сетями. И на уровне персонала, и на уровне корпоративного руководства необходим продуманный баланс между крепостью защитного периметра системы и удобством ее использования. Такой подход должен включать не только, скажем, сложность паролей и PIN-кодов, но и ясность в отношении подсоединения и использования периферийных устройств и флеш-карт.

Реальность заключается в том, что информационные и коммуникационные технологии являются совершенно необходимым условием для достижения личных и корпоративных целей. Вместе с тем оценка киберрисков должна привести к выработке такой системы, которая признает, что только меры по защите периметра недостаточны. Особое внимание должно быть обращено на человеческий фактор вместе с дополнительными технологиями обнаружения и исправления.

Надеемся, что вы нашли вышеизложенное интересным. Если вам нужна дополнительная информация или у вас есть собственные комментарии, пожалуйста, пишите нам либо перешлите эту статью тем из своих коллег, которые могут заинтересоваться ей.