В последние несколько лет число только зарегистрированных киберпреступлений растет примерно на 50% в год. Тем не менее большинство людей на планете считает это чем-то далеким и не угрожающим лично им. Практически такое же восприятие киберугроз и у бизнеса.
Вирус WannaCry в очередной раз заставил весь мир задуматься об информационной безопасности и нашей беспечности в отношении этой проблемы. Но многие ли сделали резервную копию документов или предприняли что-то для защиты своего бизнеса? Таких людей единицы, как и единицы безопасников среди десятков и даже сотен IТ-специалистов в современных корпорациях и госучреждениях.
Проблемы с информационной безопасностью во многом происходят из-за непонимания роли этой функции собственниками и высшим руководством. Зачастую, они расценивают ее как некую очень специфичную автономную область, в которую можно вообще не вникать, не отдавая себе отчет в том, что кибер-риски — это риски всей организации, реализация которых приведет к остановке самых разных бизнес-процессов. Например, если хакеры взломают систему бронирования авиабилетов, деятельность перевозчика будет парализована: самолеты будут готовы вылететь, но пассажиров в них не будет, как и прибыли от их перевозки. Однако если вы зададите вопрос топ-менеджеру: «Кого вы скорее наймете: еще одного безопасника или менеджера по поддержке сайта?» — с очень большой вероятностью это будет второй вариант.
Охваченные диджитализацией и автоматизацией, компании активно расширяют штат IТ-специалистов. Они создают программное обеспечение и поддерживают сервисы, которыми мы пользуемся каждый день. В кодах этих продуктов всегда есть уязвимости, ведь они созданы человеком. При этом специалистов, которые эти уязвимости ищут и устраняют, критически мало: на 100 человек в IT-отделе специалистов по информационной безопасности часто не более пяти.
Информационная безопасность — одна из функций, работа которой совсем незаметна в те промежутки времени, когда она работает хорошо. Это создает ложное впечатление у руководства, что ИБ не нуждается в ресурсах — все и так работает: зачем нужны люди или инвестиции? Так и получается, что цифровых продуктов становится все больше, но количество безопасников в компаниях пропорционально не увеличивается.
Вторая проблема, которая мешает бизнесу правильно выстроить функцию информационной безопасности, — это принятая система подчинения. У специалистов по информационной безопасности всегда будет роль предписывания правил и проверки их выполнения, поэтому они не могут подчинятся отделу IT, который эти правила должен соблюдать. При такой конфигурации риски информационной безопасности скорее всего никогда не выйдут выше уровня IТ-директора, предпочитающего умалчивать их.
Бизнесу необходимо понять, что информационная безопасность и адекватное количество профильных специалистов в условиях современной экономики – это необходимое условия нормальной жизнедеятельности организации. Да, это не зарабатывающая функция, но, при правильном подходе, она будет способствовать решению определенного пласта проблем, которые могут серьёзно помешать компании зарабатывать деньги. Если конечно информация для вас не является ценным активом, вы можете проигнорировать её защиту, но при этом решение не должно быть основано на абстрактных категориях и суждениях типа «в принципе, ничего страшного не будет, если у нас что-то утечет». Во-первых, нужно инвентаризировать все обрабатываемые категории информации, во-вторых, нужно учитывать не только ценность информации для бизнеса, но и возможные претензии партнеров (в случае утечки их информации по вашей вине), сотрудников/клиентов (утечки персональных данных), а также регуляторов (репутационный ущерб и регуляторные риски).