CEO, CIO и CISO, удержитесь ли в кресле, если вашу компанию взломали?

Как директору вам нужно знать о том, как развивать компанию, но также вы должны знать, как защитить важные данные и оставить их внутри компании.

Быть директором в современной компании является задачей более требовательной, чем когда-либо прежде.

Руководители должны знать о практически всех аспектах компании, а не только о корпоративной стратегии или продажах.

Как директору вам нужно знать о том, как развивать компанию, но также вы должны знать, как защитить важные данные и оставить их внутри компании.

Если мы вернемся в 2000-е, то обеспечение защиты данных было бы относительно простым делом. Большая часть важной информации состояла из прав на интеллектуальную собственность, бумаг и знаний людей. Теперь вы должны защищать все выше описанное и данные ваших клиентов, ваш веб-сайт и вашу бизнес-инфраструктуру. Кроме того, если у вас бизнес связан с массовыми рынками, то у вас, скорее всего, есть много данных, которые квалифицируются как BIG DATA, особенно если ваш бизнес в первую очередь находится в Интернете. 

Сейчас вам необходимо знать не только о том, как защитить данные, вы также должны знать ее стоимость и ценность для бизнеса, потому что вы можете быть уверены, что другие уже ее оценили и ищут пути, чтобы ею завладеть.

Есть ИТ-угрозы и как они влияют на мою карьеру? 

Окей, скорее всего вы думаете: "Ну, конечно, наши конкуренты наблюдают за нами, оценивают стоимость наших данных и пробуют их украсть". Но я не говорю сейчас о ваших конкурентах. Они, безусловно хотели бы иметь доступ к вашим данным, но кроме них есть еще другие, кто готов совершить преступление, чтобы получить вашу базу данных. Я имею ввиду определенную группу людей, которые специализируются на краже данных, и они не беспокоятся о законах, они современные ИТ-преступники - хакеры, которым может быть и 17 лет (Средний возраст современного киберпреступника снизился до 17 лет). Они могут ради удовольствия и проверки личных способностей положить ваш веб-сайт или получить доступ в вашу компьютерную сеть. Возможно, выдаже об этом не узнаете, пока ваши продажи не пойдут вниз, и вы решете искать причину, а уже будет поздно… А плохие парни уже сделали свою работу.

“55% процентов всех атак совершаются инсайдерами или непреднамеренно. Другими словами, они были спровоцированы людьми, которым вы скорее всего доверяете.”

Источник IBM

Если у вас есть Большие Данные, то вы скорее всего в Большой Проблеме.

Давайте рассмотрим к чему могут привести действия хакеров на примере компаний Target и Sony

Ниже схематически указаны шаги хакеров, которые позволили им украсть у американского ритейлера ( Target ) 40 млн номеров кредитных карт.

 Источник Bloomberg

Это была сложная и хорошо спланированная атака на компанию, которая прошла PCI аудит и штат специалистов по ИТ-безопасности составлял около 300 человек. Возможно, атака прошла успешно благодаря человеческому фактору, так как человек является самым слабым звеном в ИТ-безопасности, который сам открывает доступ к данным, например, нажимая на вложение в письме. Как результат, все деньги, потраченные на ИТ-безопасность, идут на ветер, а данные утекают к хакерам\конкурентам. И все вспоминают, что хорошо бы повысить осведомленность сотрудников по ИТ безопасности, только после утечки данных и так у нас всегда в бизнесе, все делается опосля, когда стоимость восстановления информации и жизнедеятельности бизнеса дороже, чем до происшествия. А потом думают, а зачем нам обучать пользователей или вообще что-то делать, ведь с нами такого во 2-й раз не случиться, а нет случиться просто вопрос в том: “Когда это случиться?”

Кто ответственен за безопасность компании? ИТ-директор? CISO ? Генеральный директор?

Вы как Генеральный директор думаете, что это ответственность Вашего ИТ-директора или CISO решать такие вопросы, и Вы правы. Тем не менее, оценка рисков и Вас касается. Вы должны принимать участие в вопросе безопасности ИТ и убедиться, что Ваша компания имеет достаточный фокус в этом направлении. Так все-таки это должно больше волновать ИТ-директора и CISO , а? Да, именно их.Уважаемый Генеральный директор, что я хочу до Вас донести: держите в Вашем фокусе ситуацию по ИТ-безопасности, чтобы хакеры\конкуренты не держали в руках Ваши базы данных. 

Так почему же я поднял данную тему? 

Я не говорю: срочно увеличьте свои расходы на ИТ-безопасность в 100 раз. Я просто хочу подчеркнуть, что вам нужно убедиться, что вы можете правильно понимать риски ИТ-безопасности, стоимость утечки данных и предпринять шаги для защиты бизнеса, потому что от этого зависит ваша карьера.

Несмотря на то, что сейчас происходят более целенаправленные атаки, и рисков каждый день становиться все больше, в большинстве компаний существует все еще проблема взаимопонимания и слаженной работы между генеральным директором и ИТ-директором над улучшением уровня ИТ-безопасности до момента возникновения проблемы. И такая проблема может стоит потери работы как это произошло с руководящим составом в компании Target.

Ок, кейс Target разобрали. 

А что же произошло в Sony? 

После того, как ваши данные ушли или вашу компьютерную сеть взломали - это очень сильно повлияет на стоимость компании, инвесторы могут полагать, что произошла утечка важной информации, хотя это может фактически быть не основной целью хакеров. Если вы посмотрите   на кейс с Sony, их акции торговались в апреле 2011 года около 35$ за день до утечки данных. После инцидента стоимость акций опустилась в течении нескольких месяцев до 25$. При 1 млн акций в обращении - это 10$ млрд потерь для Sony. В добавок им необходимо было восстанавливать долго и дорого репутацию, снова завоёвыватьmarket share , тратить сотни миллионов долларов на восстановление и расследование инцидента.

Для Вас как Генерального директора или CIO не должно быть сюрпризом, что утечка данных представляет реальную опасность. Хакеры проникают в крупные, средние и малые компании ежедневно, и тенденция такова, что они становятся умнее. Хакеры знают, что Большие Данные равно Большие Деньги.

А что происходит в Украине с ИТ-безопасностью в бизнесе? 

У нас тоже не все гуд. Думаю, что большинство слышали про атаки на украинскую электроэнергетику (Хакеры опять атаковали украинскую энергетику вирусом BlackEnergy). Интересно, кого-то уволили? Что было сделано для предотвращения подобных атак?

К сожалению, у нас не принято делать публичные заявления о том произошла утечка данных или компьютерная сесть была взломана, а пытаются все “закрыть” и по-тихому залатать пластырем. Поэтому новостей по Украине особо и не найти. Но если пообщаться с бизнесом тет-а-тет, то узнаются любопытные данные =)

В отличии от американских и европейских компаний, которые понимают, что инвестирование в ИТ-безопасность – это жизненно важно для бизнеса , в Украине с этим всегда было очень напряженно. Что говорить, если антивирус не всегда обновленный и резервные копии хранятся там же где и основные данные, а про более серьезные решения и страшно писать. 

Что нам делать? 

Уважаемый читатель и особенно руководители, надеюсь сейчас, Вы подумаете: что я должен делать? Это не статья про построение архитектуры ИТ-безопасности в вакууме, это повод и хорошее начало для CEO, CIO и CISO сесть за круглый стол и трезво оценить стоимость ваших Данных. Здесь вам в помощь показатели: EBIT, EBITDA, TCO, ROI, CAPEX и OPEX.

Оцените ваши усилия в материальной и нематериальной защите важной информации по сравнению с ее фактическим значением для компании, а затем посмотрите, сколько денег вы тратите сейчас.

Посчитали, проанализировали и сделали выводы. Отлично! А теперь пора защищать информацию!

Что вы делаете для защиты информации?