Эта опция сбросит домашнюю страницу этого сайта. Восстановление любых закрытых виджетов или категорий.

Сбросить

Главная  »  Як застрахувати компанію від кібератак

Як застрахувати компанію від кібератак


Опубликованно 02.11.2017 03:19

Як застрахувати компанію від кібератак

Кібератака 27 червня 2017 року разом з Petya.A показали українському бізнесу, що жарти кончены. В цей день компанії втратили $8 млрд, 75% інцидентів припало на Україну, постраждали 12 500 комп'ютерів. І це тільки офіційні дані.

Нас поставили перед вибором: або ми починаємо серйозно підходити до питання кібербезпеки в своїй компанії, не залежно від того, в якій сфері ми працюємо, або разом з аудиторами будемо рахувати збитки та відправляти працівників у безстрокову відпустку. І тут перед нами постає завдання. Якщо ми голосуємо на користь кібербезпеки, то як правильно підійти до її побудови, з чого вона складається, і з чого починати?

У загальноприйнятій практиці скелет інформаційної безпеки в компанії складається з чотирьох основних факторів — корпоративні політики на випадок кібератаки, навчання співробітників, технологічні рішення та киберстрахование. Корпоративні політики на випадок кібератаки

Перший — виписаний і відпрацьований план безперервної бізнес активності на випадок кібератаки, а також ряд корпоративних політик кібербезпеки. Простіше кажучи, це інструкції і вимоги щодо доступу до комп'ютерних систем і керівництва на випадок кібер-інциденту, тобто хто буде займатися відновленням систем, куди на цей час переміститься офіс, на чиїх комп'ютерах будуть працювати співробітники, хто буде відповідати на дзвінки та інше.

Дуже важливо тут не перетворити складання та відпрацювання такого документа в профанацію, адже його наявність і реалізація може істотно полегшити життя у разі чергового Petya.A або його брата. Навчання співробітників

Другий — навчання працівників основам кібербезпеки і грамотної поведінки в мережі. За статистикою, 55% збитків, пов'язаних з порушеннями інформаційної безпеки, відбуваються з вини працівників.

Змоделюємо ситуацію. В офісі на підлозі лежить безіменна USB-флешка. Яка її подальша доля? Швидше за все, її підбере хтось з персоналу (і будемо сподіватися, що це не буде бухгалтер) і вирішить перевірити, що на ній записано, вставивши в комп'ютер. Всі. І це один з найпростіших прикладів. Саме тому навчання персоналу є важливою складовою стратегії кібербезпеки.

Технологічні рішення

Третій — впровадження технологій захисту комп'ютерних систем. В залежності від розмірів підприємства та сфери діяльності. Для e-commerce важливо захистити себе від DDoS-атак, для банків критичною буде захист персональних даних і операцій в інтернет-банкінгу для аудиторів — захист корпоративних конфіденційних даних своїх клієнтів.

Це останній і, як правило, самий міцний бар'єр на шляху зловмисників до несанкціонованого доступу до комп'ютерної системи. І саме серйозність підходу керівництва компанії до цього інструменту в чому визначає стійкість бізнесу. Киберстрахование

Але на жаль, і цього не завжди достатньо, для того щоб, запобігти кібератаку на підприємстві. Залишаються такі ризики, як інсайдери, системні уразливості, наприклад, в оновленнях, як це сталося з Petya.A, ну або хто-то все-таки вставить USB-флешку. Саме тому четвертої складової загальної стратегії кібербезпеки стає страхування кібер-ризиків, яке, по суті, не створює фізичний бар'єр, але включається тоді, коли всі інші бар'єри прорвано. А це, як показує практика, рано чи пізно відбувається.

Основне завдання киберстрахования — втримати бізнес на плаву і надати фінансову підтримку при найгіршому сценарії розвитку подій після кібератаки.

Ставши жертвою киберинцидента, компанії несуть безліч різних збитків та непередбачених витрат: Перерва у виробництві. Простоювання бізнесу, наприклад, для інтернет-магазину може дуже дорого обійтися його власникам. Реагування на кібер-інцидент. Як і при пожежі, при кібератаці не можна все залишити як є, її треба ліквідувати. З цією метою залучаються фахівці у сфері кібербезпеки для оперативного втручання і припинення атаки. Загублені електронні дані. Наприклад, для бізнесу, який працює з роздробом, втрата клієнтської бази є досить суттєвим ударом. Крім того, її відновлення (якщо таке взагалі можливо) вимагає певних витрат, як грошових, так і часових. Претензії третіх осіб. Якщо компанія-аудитор піддалася кібератаці і в мережу витекли конфіденційні дані її клієнта, то цілком ймовірно, що аудитора буде очікувати судовий позов з усіма можливими витратами: адвокати, юристи, судові витрати, штрафи та інше. Репутаційний збиток. Коли в мережу просочується інформація про те, що на банк була організована успішна кібератака, серед його клієнтів часто настає замішання та неспокій про збереження своїх грошей і рахунків, і після таких новин банк втрачає не тільки існуючих клієнтів, але і майбутніх. А щоб відновити свою репутацію банку доведеться залучити серйозні бюджети і кращих PR-фахівців.

Це далеко не повний перелік того, з чим може зіткнутися компанія, яка постраждала від киберинцидента. Чим глибше в бізнес-процеси проникають технології, то хитрішими стають кібератаки і тим непередбачуваність обсяги збитків і витрат на боротьбу з ними.

Киберстрахование як вид ризику менеджменту стає в деякому сенсі суперзіркою на світовому фінансовому ринку і показує щорічний приріст близький до приросту стартапів Силіконової Долини. І не тому, що це "хайп", а тому що це по-справжньому дієвий механізм мінімізації ризиків компаній в кіберпросторі.



Категория: Экономика