Кибербезопасность: семь вопросов для
советов директоров

На каждую технологию, которую придумывают специалисты по кибербезопасности, злоумышленники находят обходные пути — это лишь вопрос времени. И на новом этапе нужны новые управленческие принципы для обеспечения безопасности организаций. Для советов директоров это означает иные подходы к фидуциарной ответственности и надзорным функциям в сфере контроля рисков. Директора больше не могут игнорировать проблемы кибербезопасности или отдавать их на откуп операционным менеджерам; они должны показывать свою компетентность, ставить эти вопросы в приоритет и демонстрировать готовность решать возникшие проблемы. Многие директора это осознают, однако они порой не знают, с чего начать.

Мы провели исследование, чтобы понять, как советы директоров решают поставленные перед ними проблемы. Только 68% респондентов на вопрос «Как часто советы директоров вашей организации обсуждают проблемы кибербезопасности?» смогли ответить «регулярно» или «постоянно»; 9% признались, что эти вопросы на заседаниях совета директоров их компании не затрагиваются вовсе.

Интересна и динамика восприятия роли совета директоров по данной проблеме. Хотя 50% респондентов отметили, что она обсуждалась в их компании, единого мнения о том, в чем эта роль должна заключаться, не наблюдается. 41% респондентов назвали зоной ответственности совета директоров общие рекомендации управляющим и высшему руководству; участие в учебно-теоретических мероприятий отметили 14%; 23% полагают, что совет директоров должен просто быть настороже и демонстрировать готовность «вмешаться при необходимости». При этом 23% респондентов также посетовали на то, что у совета нет ни плана, ни стратегии.

На основе полученных данных мы разработали для советов директоров рекомендации о том, какой информацией они должны располагать, какие действенные шаги необходимо предпринимать и какие вопросы им следует обсудить на следующем заседании.

Пять идей о кибербезопасности, которые важно понимать совету директоров

1. Кибербезопасность — это не только про «защиту данных»

В былые времена обеспечение кибербезопасности было синонимом «защиты данных». Руководители компаний переживали о потенциальных утечках персональных данных, краже баз покупателей или информации по кредитным картам. Все это по-прежнему представляет собой серьезную угрозу, но кибербезопасность — это нечто большее, чем просто защита данных. В результате цифровизации методов работы и технологий компаний, с подключением промышленных комплексов к системам с функциями дистанционного управления основным оборудованием и внедрением автоматизированных процессов оформления и исполнения заказов в цепях поставок горизонты потенциальных рисков, связанных с кибербезопасностью, значительно расширяются. Небрежность в этом деле отныне грозит не только штрафом за недостаточную защиту персональных данных. Директорам следует иметь реальные представления относительно физических и цифровых киберугроз.

2. Советам директоров необходимо деятельно участвовать в контроле за обеспечением кибербезопасности

Совет директоров должен обеспечить готовность организации к различным рискам. В то же время детальная проработка планов реагирования в зону ответственности советов директоров не входит. Существует множество разработанных практик, способных помочь организациям формировать стратегии кибербезопасности. Лучшая из них — созданная Национальным институтом стандартов и технологий США методика NIST (National Institute of Standards and Technology). Она достаточно проста и представляет собой схему для осмысления важнейших аспектов кибербезопасности, которую должны знать руководители высшего звена. При этом NIST содержит все необходимые детали, так что использовать ее наработки могут и профессионалы для внедрения методов контроля и процедур. Использование NIST сделает организацию более подготовленной к отражению кибератаки или к сглаживанию ее последствий.

В рамках NIST определено пять ключевых направлений: идентификация, защита, обнаружение, ответ, восстановление. У хорошо подготовленных к киберинцидентам организаций имеется разработанный и согласованный с начальством план действий по каждому из пяти указанных направлений схемы NIST, что со временем позволит этим фирмам довести процессы обеспечения кибербезопасности до автоматизма.

3. Советы директоров должны сфокусироваться на рисках, репутации и обеспечении непрерывности деятельности компании

Когда ИТ-специалисты разрабатывают те или иные рекомендации и практики, они держат в голове три фундаментально важных приоритета для функционирования систем и оборота информации: конфиденциальность, целостность и доступность. Но когда речь идет о сфере ответственности совета директоров, набор приоритетов совсем иной: риски, репутация, непрерывность деятельности.

В то время как советы директоров зачастую подходят к управлению рисками стратегически, ИТ-специалисты работают на техническом, организационном и операционном уровнях. Эти процессы зачастую требуют разного языка описания, что может повлечь за собой сложности в понимании рисков и поиске оптимальной методики их минимизации. Из-за технической сложности процесса обеспечения кибербезопасности члены совета директоров зачастую не вполне отдают себе отчет, какие защитные меры надо принять. Но есть несколько решений, которые позволят исправить ситуацию.

Хотя присутствие технически грамотного члена в совете директоров может быть полезным, распространять это правило на всех не нужно. Пропасть между компетенцией совета директоров и компетенцией ИТ-менеджеров может быть устранена, если обе стороны сфокусируются на общем приоритете — обеспечении бесперебойной и безопасной работы фирмы. Первый шаг — создание четких механизмов коммуникации для обсуждения объективных показателей оценки информации, системного контроля, практик персонала. Второй шаг подразумевает определение сильных и слабых сторон имеющейся стратегии кибербезопасности, а также сравнение ее с существующими лучшими практиками и методологиями. Наконец, третий шаг — консультация компетентных специалистов, которые помогут совету директоров сориентироваться в данной проблеме.

4. Кибербезопасность требует многоуровневого подхода

Сохранность ценной информации и важных данных обеспечит комплекс многоуровневых мер защиты. Не сработает один механизм — подстрахует другой. Это позволит отразить атаки и охватить как можно больше потенциальных рисков. Подобный многоуровневый подход часто называют «замковым», поскольку здесь можно провести параллели со стратегией защиты средневекового замка от внешних нападений.

Линиями защиты выступают технологии, меры контроля, прописанные правила, организационные механизмы. Например, наличие одного или нескольких фаерволов, современных систем авторизации, шифрования, тестирования систем на проникновение создает необходимую техническую линию защиты, которая поможет предотвратить или обнаружить риски. Технологии искусственного интеллекта укрепят эти защитные барьеры по мере возникновения еще более высокотехнологичных угроз. Но одними лишь технологиями полноценной защиты не обеспечить. Восполнить пробелы в их работе поможет дополнительный контроль специалистов Центров мониторинга и реагирования (SOC). Приведем пример со взломом в SolarWind: проблема была обнаружена и разрешена благодаря внимательности одного из сотрудников, который заметил неполадки и начал незамедлительное расследование. Но даже в этом случае еще нет гарантий стопроцентной защиты.

Нужны четко прописанные правила и процедуры, которые соответствовали бы требованиям в отношении контроля. И устанавливать их должно руководство. К тому же в нынешних условиях каждому сотруднику придется проявить особую настороженность. По меньшей мере люди должны знать о возможных уловках и схемах злоумышленников, чтобы не пасть их жертвой. И, кстати, это касается и членов советов директоров: они могут стать мишенью киберпреступников. Им тоже необходим минимальный запас знаний, чтобы не попасться на удочку мошенников — например, какие электронные письма или уведомление опасно открывать.

5. Кибербезопасность — организационная, а не только техническая проблема

Большинство возникающих проблем в сфере кибербезопасности упираются в человеческий фактор. Недавнее исследование Стэнфордского университета показало, что 88% случаев утечки данных связано с ошибкой сотрудников. Выстраивание практик и процедур, обеспечивающих безопасность организации и применяемых во всех командах, а не только в команде ИТ-специалистов, — задача не столько техническая, сколько организационная. Обеспечение полноценной кибербезопасности требует всеобщей осведомленности и готовности каждого сотрудника действовать, опознавать аномалии, оповещать руководителей и вносить посильный вклад в нивелирование рисков.

Наши исследования в MIT показывают, что помочь тут может корпоративная культура. «Культура кибербезопасности», по нашему мнению, — специфическая среда, где поощряются установки, взгляды и ценности, мотивирующие действия, направленные на соблюдение требований безопасности. Это означает, что сотрудники не только выполняют свои должностные обязанности, но и сами активно заботятся о защите ресурсов компании. Безусловно, не все люди в одночасье станут экспертами в технической сфере, но от каждого требуется соблюдение мер контроля и выполнение необходимых действий — как если бы этот человек был «ответственным за кибербезопасность». Это усилит «человеческую» линию защиты и позволит еще быстрее предупреждать, обнаруживать и доводить до сведения начальства уязвимость в практиках и моделях действий, которыми могут воспользоваться злоумышленники.

Руководителям необходимо не только активно продвигать идею о создании такого рода корпоративной культуры, но и лично воспроизводить и воплощать в своей работе эти ценности и установки. То же самое касается и совета директоров. Даже просто задавая вопросы о кибербезопасности, члены совета подают сигнал о важности данной проблемы, что, в свою очередь, поможет скорректировать приоритеты руководства компании.

Вопросы, которые стоит рассмотреть вашему совету директоров

Ниже представлен список из семи вопросов, которые позволят вашему совету сформировать представление о том, как в вашей организации обстоят дела с обеспечением кибербезопасности. Сам факт постановки этих вопросов повысит уровень осведомленности о проблеме и укажет на первоочередную необходимость решительных действий.

1. Какие наши активы самые важные и как мы их защищаем?

Безусловно, нельзя везде обеспечить стопроцентную защиту. Нужно принимать нелегкие решения. Совету директоров надо приложить все усилия, чтобы наивысшая степень защиты была обеспечена для самых важных активов, будь то информация о клиентах, системные и операционные процессы, интеллектуальная собственность компании или что-то еще. Так что спросить, что должно быть защищено в первую очередь, — первый важный шаг. Если не достичь согласия в главном, все остальные действия станут бессмысленными.

2. Какие средства защиты используются на данный момент?

Защита может быть обеспечена многоуровневым подходом, различными правилами и процедурами и другими всевозможными методами управления рисками. Советам директоров не нужно принимать решения о конкретной реализации тех или иных мер, однако стоит осведомиться, какие уровни защиты уже задействованы и каким образом каждый из них повышает общую защищенность организации.

3. Как мы узнаем, что произошло нарушение безопасности, и выявляем это?

Совет директоров компании не выполнит своих базовых обязательств, если не установит, имеет ли организация достаточно возможностей для защиты и обнаружения киберугроз. Так как во многих случаях взлом невозможно установить моментально, советам стоит иметь четкое представление о методе обнаружения инцидентов в системе безопасности их компаний, чтобы затем оценить исходящие из этих методов уровни риска.

4. Каков наш план реагирования в случае киберугрозы?

Что мы будем делать, если злоумышленники потребуют выкуп? Хотя вряд ли совет директоров будет непосредственно вовлечен в создание плана реагирования в подобных сценариях, ему стоит убедиться, что у фирмы вообще имеется план как таковой. Какие должностные лица в нем задействованы и в какой роли? Как будет осуществляться коммуникация, если скомпрометированы или не работают каналы связи? Кто оповестит соответствующие компетентные органы и какие из них надо будет поставить в известность? Кто станет общаться с прессой, клиентами, поставщиками и проч.? Наличие плана — ключ к грамотному реагированию в подобной ситуации. И даже если следовать ему в точности не получится, это все равно лучше, чем дождаться кризиса и лишь затем начать планировать ответные действия.

5. В чем будет заключаться роль совета директоров, если проблема настигнет вашу компанию?

Важно также понять, в чем заключена непосредственная роль совета директоров в кризисной ситуации. Будет ли он, например, решать, стоит ли платить выкуп; говорить с крупнейшими клиентами о возникшей ситуации; координировать решения на экстренном совещании с руководителями компании? В другой вышедшей ранее статье мы подчеркивали важность проведения своеобразных «учений». Подобные меры могут казаться излишеством, но если кризисная ситуация действительно возникнет, куда лучше встретить ее, имея за плечами наработанные навыки реагирования.

6. Каков план восстановления в случае подобного инцидента?

Множество опрошенных нами управленцев не тестировали свои планы по восстановлению бизнеса. При этом в такого рода планах наблюдается существенная разница — к тому же отличаются и ситуации, когда злоумышленнику удалось посредством шифрования и манипуляции файлами уничтожить или повредить имеющиеся базы данных. Совету директоров важно понимать, кто отвечает за план восстановления, какие шаги включает в себя этот план, с учетом каких потенциальных рисков он был составлен и был ли опробован.

7. Достаточно ли мы инвестируем в кибербезопасность?

Безусловно, никакие инвестиции не помогут обеспечить стопроцентную защиту. Но если на кибербезопасность закладывается бюджет, надо удостовериться, что на выделенные деньги наняты первоклассные специалисты, которые обладают достаточными компетенциями для того, чтобы определить основные технические проблемы и выявить главные зоны уязвимости в ключевых процессах. Так можно направить ресурсы компании туда, где они нужнее всего. Необходимо оценить имеющийся уровень защиты и потенциально приемлемый уровень риска перед принятием решения о дополнительных инвестициях. Это можно сделать как через моделирование кибератаки, так и через тестирование систем на проникновение и уязвимость. Так можно выявить имеющиеся бреши, предпринять меры по минимизации ущерба в соответствии с расставленными приоритетами, рисками и бюджетами, а также, наконец, обеспечить необходимые инвестиции времени, финансов и других ресурсов.

От совета директоров любой компании зависит многое в вопросах кибербезопасности. Не будучи вовлеченными в управление каждодневными процессами, они имеют, однако, важные полномочия в области общего надзора и фидуциарной ответственности. Поэтому нельзя оставлять важные вопросы безопасности на завтра. Правильно поставленные вопросы о киберугрозах на заседании совета директоров помогут не допустить превращения небольшой «бреши» в настоящую катастрофу.

Благодарность: поддержка данного исследования частично осуществлялась из средств членов консорциума Cybersecurity at MIT Sloan (CAMS).