Готова ли ваша компания к атаке хакеров?

Ежедневно системы информационной безопасности в крупных компаниях, таких как Sony, Google и Visa, отражают сотни кибератак. Но даже у таких гигантов есть слабые места, которыми могут воспользоваться злоумышленники, что уж говорить о среднем бизнесе. В 2012 году хакеры поработали очень «хорошо» — со счетов украинцев пропало 11,4 млн. грн¹. Так что, не стоит недооценивать угрозу со стороны киберпреступников — опасность гораздо ближе, чем кажется на первый взгляд. Что вы можете сделать, чтобы защитить данные своей компании от похищения третьими лицами?

Учимся на ошибках других

Несколько лет назад было совершено одно из самых масштабных киберпреступлений в истории США. Трое хакеров украли номера 130 млн. банковских карт, в результате чего пострадали несколько компаний, среди которых сеть магазинов 7-Eleven, супермаркеты Hannaford Brothers, информационная компания Heartland Payment Systems и др². Спустя некоторое время председатель и главный исполнительный директор Heartland Роберт Карр заявил, что они смогли извлечь несколько важных уроков из сложившейся ситуации:

во-первых, никому не стоит недооценивать потенциальную инсайдерскую угрозу;
во-вторых, руководство компании должно быть всегда уверено в том, что масштаб проведения аудита определен надлежащим образом, а значит, все возможные ошибки будут выявлены;
в-третьих, экспертные оценки безопасности в компании должны контролироваться старшим исполнительным директором, ведь только тогда можно будет с уверенностью говорить об их качестве.

Такую точку зрения поддерживают как жертвы киберпреступности, так и профессионалы в области кибербезопасности и, по их мнению, именно правление компании должно быть заинтересовано в сохранности доверенной им информации. По словам Марка Хьюза из BT Group, это значит, что работать над кибербезопасностью должны все, начиная от генерального директора и директора по информационным технологиям, заканчивая рядовыми сотрудниками, так как их участие не менее важно, ведь угрозой для корпоративной системы являются не только хакеры, но и более прозаические вещи. Например, одна из крупнейших российских компаний понесла убытки из-за вируса I Love You, который в своё время нанёс ущерб мировой экономике в размере $10-15 млрд. Один из менеджеров компании получил письмо, зараженное вирусом. В течение суток вирус не смогли обнаружить, и этого времени ему хватило, чтобы заразить все компьютеры не только в главном, но и в региональных офисах компании, а также полностью остановить документооборот.

Вопросы, которые стоит решить с советом директоров

Шон Генри из CrowdStrike Services также считает, что понимание серьёзности киберугрозы имеет исключительную важность для руководства компании, так как каждый член совета директоров несет ответственность не только за саму компанию, но и за принадлежащие ей данные. Это значит, что какой бы из директоров или комитетов не отвечал за координацию кибербезопасности, есть вопросы, которые должны быть рассмотрены именно в рамках совета директоров:

Как быстро члены совета директоров смогут публично отреагировать на кибератаку, совершенную на компанию? Многим для этого требуется несколько дней, но такая длительная пауза может повлечь за собой негативные последствия для бизнеса. Иногда именно честность и быстрота реакции имеют решающее значение для поддержания корпоративной репутации.
Есть ли в страховке компании отдельный пункт, посвященный киберпреступлениям? На данный момент многие стратегии развития бизнеса включают в себя страхование киберответственности.
Есть ли в компании план по восстановлению, если вдруг конфиденциальные данные компании будут раскрыты из-за кибератаки? И есть ли вообще в компании директор по безопасности информационных технологий? Если нет, то почему?
Существует ли в компании комитет по предупреждению киберпреступности и кто из IT-специалистов в него входит?
Обсуждаются ли при составлении договоров с поставщиками пункты, связанные с киберпреступностью? Например, ВВС США вынуждает своих поставщиков устанавливать специальные системы для защиты от кибератак.

Сегодня ЕС активно усиливает борьбу с киберпреступностью и строит для этого специализированные центры. Помните, что своевременная и качественная защита позволит уберечь деньги компании.

Также читайте «Киберпреступность: что должен знать каждый из нас?«, «Как повысить окупаемость инвестиций в IT: руководство для IT-директора«

__________________

[1] http://forbes.ua/news/1348166-hakery-razorili-scheta-ukraincev-na-114-milliona

[2] http://www.cnews.ru/news/top/index.shtml?2009/08/18/358105