Перейти к основному содержанию

Хто проти Пєті: Для багатьох компаній COVID-19 став тестом на кібербезпеку

пт, 07/17/2020 - 10:06

Олексій Янковський, партнер, керівник практики з надання консультаційних послуг у сфері інформаційних технологій і кібербезпеки KPMG в Україні

На щастя, ми не зіткнулися в цей період з вірусом на зразок NotPetya. Але більшість компаній все ж відчули справжній шок, коли треба було організувати віддалену роботу офісу та онлайн комунікацію з клієнтами, що неможливо зробити без якісно вибудуваної та захищеної ІТ-інфраструктури.

У так званій новій реальності компанії почали поспішно впроваджувати ІТ-рішення, які б могли забезпечити віддалену роботу співробітників. Але як часто буває в таких ситуаціях, коли мова йде про необхідність забезпечити безперебійну роботу бізнесу, питання кібербезпеки відходять на другий план.Саме це сталося в період карантину. З іншого боку, карантин оголив проблему цифрової грамотності співробітників. Досить мало компаній до кризи тримали цей напрям в пріоритеті.

І тим, і іншим не погребували скористатися кіберзлочинці, які масово експлуатували тематику COVID-19 для фішингових кампаній. За даними офіційної статистики, в лютому-березні було зареєстровано аномально велику кількість шкідливих доменів, так чи інакше пов'язаних з COVID-19.

Листи традиційно містили шкідливі вкладення або посилання на шкідливі ресурси, відкриваючи які співробітники, самі того не підозрюючи, ставили під загрозу корпоративні ресурси компанії. Глобальної кіберкризи не сталося. Але де гарантія, що у випадку другої хвилі пандемії або в момент появи на ринку вакцини, цей сценарій, але в більш жорсткому варіанті не повториться? І що саме у вашій компанії не станеться витік даних або крадіжка грошей з рахунків?

На щастя, методи зловмисників не зазнали істотних змін з настанням карантину. Так само не змінилися і "граблі", на які компанії продовжують наступати в побудові своєї кібербезпеки. Що ми рекомендуємо робити в зв'язку з цим?

По-перше, оцінити масштаби лиха — іншими словами, провести IT-аудит, зробити діагностику систем та існуючих процесів кібербезпеки. Аудит повинен бути незалежний. Коли компанія оцінює сама себе, це не завжди відповідає реаліям, може виникнути конфлікт інтересів.

Більшість представників ІТ-функцій розведуть руками і скажуть, що звичайно ж у них все добре, і вони використовують ресурси, які виділяє компанія, найбільш ефективно. З іншого боку, люди, які займаються побудовою кібербезпеки в компанії, часто мають вже необ'єктивну картину того, що відбувається, і не дивляться на ситуацію досить критично. Незалежний аудит дозволить виявити вузькі місця, створити дорожню карту змін і стратегію.

По-друге, для побудови ефективної системи кібербезпеки існує безліч стандартів, кращих практик і фреймворків. Це документи, які компанія може брати за основу і починати впроваджувати або самостійно за наявності необхідних компетенцій, або із залученням сторонніх консультантів. Прикладами загальноприйнятих стандартів є ISO 27-ої серії і NIST. Можна спиратися і на галузеві стандарти. Зокрема, NERC CIP — розроблений галузевий стандарт з кібербезпеки для енергетичного сектора, HIPAA — стандарт щодо забезпечення захисту електронних медичних даних у сфері охорони здоров'я, Ofcom — для телекомунікацій.

Найбільш успішні компанії працюють над оптимізацією ресурсів та скороченням витрат. Своїм клієнтам ми радимо використовувати рішення RoboticProcessAutomation (RPA), які доступні навіть підприємствам малого і середнього бізнесу.

Криза — чудовий час для перевірки та перегляду старих підходів та інструментарію. Варто переосмислити моделі управління та ІТ-рішення, які підтримують бізнес.Створення дорожньої карти розвитку інфраструктури, а також цільових карт даних дозволяють масштабувати процеси, розвивати сервісні екосистеми та підключати зовнішні ресурси, в тому числі, хмарні.

Зрозуміло, все це не має сенсу без продуманої стратегії кібербезпеки. Вона повинна охоплювати не тільки добре відомі загрози, але і передбачати ефективні рішення та контролі на всіх рівнях. У тому числі враховувати ризик інсайдерських загроз, автоматизовані атаки з використанням штучного інтелекту.

Автор: Олексій Янковський

Читайте також

Служу державі: Як бізнес може допомогти зростити унікальний сегмент справжньої української еліти

вт, 11/24/2020 - 08:00
Володимир Чеповий, шеф-редактор журналу БІЗНЕС, співзасновник платформи БІЗНЕС100

Втрата якості: нею обернеться податок на дорогу нерухомість

чт, 11/12/2020 - 14:15
Андрій Рижиков, СЕО і керуючий партнер девелоперської компанії DC Evolution Днями голова комітету податкової, митної та фінансової політики Верховної Ради Данило Гетманцев представив зміни до Податкового кодексу України, які нібито удосконалять систему оподаткування.

Чужий серед своїх: як боротися з шахрайством в компанії

чт, 11/05/2020 - 13:57
Катерина Сафроненко, менеджер відділу управління ризиками, форензик KPMG в Україні

Складна простота: що очікує бізнес від Ради реформ і Офісу простих рішень

пт, 10/30/2020 - 14:30
Станіслав Таршин, засновник групи компаній "ГрадОлія", член Української ради бізнесу, співінвестор БІЗНЕС100

"Єдина школа": приклад об’єднання влади, бізнесу та освіти

пт, 10/30/2020 - 11:30
Олексій Луганський, співзасновник TATL Technology, керівник  проекту "Єдина Школа"

Корпоративні інвестиційні фонди — шлях МСБ до фінансування

пн, 10/26/2020 - 14:10
Сергій Позняк, власник заставного сервісу Cronvest Проблематика існуючої банківської системи давно відома. І обумовлена вона чіткими факторами, що утворилися всередині як окремо банківської, так і фінансової системи взагалі. Зокрема, це низький ступінь довіри до банківських установ у зв’язку з втраченими громадянами, за різними даними, від $50 млрд до $80 млрд тільки на депозитах під час “банкопаду”. Не кажучи вже про кошти компаній, що навіки згинули на розрахункових та кореспондентських рахунках компаній.