ИБ должна стремиться к бизнесу
"Вообще любые риски в информационной безопасности должны быть исключены. Но все-таки, например, для руководителя крупной компании должно быть драматически важно, что он гарантировано исключит наиболее значимые риски. Такие события называются недопустимыми. Разработана методика определения таких событий. И сейчас мы занимаемся пилотной апробацией применения этой методики и учета ее результатов при построении систем информационной безопасности", - заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов в интервью "РИА Новости". Минцифры также, как сообщил заместитель руководителя ведомства, работает как над общим перечнем недопустимых событий, так и относящимся к отдельным отраслям.
Руководитель направления автоматизации информационной безопасности ПАО "Группа Позитив" (Positvie Technologies) Михаил Стюгин, выступая на конференции "Информационная безопасность: от процесса к результату", свел результативную кибербезопасность к вычленению ключевых рисков и недопустимых событий из действительно сложной и необъятной общей карты. Он привел данные, полученные в ходе опроса участников конференции ЦИПР 2023, согласно которым 71% респондентов заявили, что могут определить такие недопустимые события для компаний, которые представляют, тогда как годом раньше их количество не превышало половины.
Основным препятствием для внедрения такого подхода, как отметил директор по консалтингу ООО "РТК-Солар" Роман Чаплыгин, является то, что ИБ-специалисты в компаниях очень редко воспринимают себя как бизнес-функцию. Также он поделился таким личным наблюдением: "Из более чем 3000 российских руководителей ИБ-подразделений бизнес-образование, например MBA, есть не более чем у 10 человек. Однако и бизнес, как отметил Роман Чаплыгин, тоже склонен видеть картину в черно-белых тонах, но она намного сложнее".
По оценке Романа Чаплыгина, для практически полного исключения неприемлемых для бизнеса инцидентов в российских условиях необходимо инвестировать в развитие корпоративной ИБ 1-1,5% от общего оборота компании в течение трех лет. Эти расчеты, как он особо отметил, относятся к крупным компаниям и не слишком зависят от отраслевой специфики. Однако, как подчеркнул эксперт, реальный уровень таких инвестиций заметно ниже.
Руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов дал прогноз, что ИТ- и ИБ-службы в российских компаниях будут подчиняться дирекциям по цифровой трансформации. По его оценке, главным препятствием для построения киберустойчивых информационных систем в последнее время стало непонимание интересов бизнеса со стороны руководителей ИБ-подразделений, тогда как раньше основным препятствием была недооценка ИБ-рисков со стороны бизнеса, и подчинение ИТ- и ИБ-дирекциям по цифровой трансформации данный дисбаланс устраняет.
Управляющий директор Газпромбанка Артем Калашников обратил внимание, что бизнес может самостоятельно определить неприемлемые риски, но уже вычислить безопасный их порог, как правило, вызывает сложности, часто непреодолимые, особенно если речь идет о рисках, связанных с ИБ. Роман Чаплыгин, однако, заявил, что это не всегда нужно и не является препятствием для работы. Прежде всего, по его мнению, ИБ должна участвовать в обеспечении непрерывности бизнеса, что руководству компании хорошо понятно.
Алексей Петухов согласился, что уровень бизнес-образования у российских ИБ-специалистов и руководителей низок и бизнесу необходимо его повышать. Артем Калашников посоветовал для начала изучить основы финансового менеджмента или хотя бы учета. Ключевым навыком ИБ-руководителя, как он подчеркнул, должно стать умение рассчитать затраты и соотносить их с возможностями компании.
Также, по оценке Алексея Петухова, мешает диалогу ИТ, ИБ и бизнеса недостаточный уровень цифровой зрелости компаний. Поэтому, по его мнению, необходимо добиваться простых и понятных, при этом легко измеряемых результатов, в том числе побочных, - например, оптимизации использования оборудования после внедрения той или иной системы. "Надо показывать, что ИБ позволяет приносить деньги, а не только соответствовать нормам регуляторов", - призвал Алексей Петухов. Также, по его оценке, со временем стоит ожидать, что и ИТ-, и ИБ-подразделения будут организационно подчиняться дирекции цифровой трансформации, что позволит устранить целый комплекс проблем взаимодействия функциональных служб с бизнесом.
Михаил Стюгин возлагает большие надежды на широкое внедрение программ страхования киберрисков. Тем более что уже появляются инициативы ввести аналог ОСАГО в сфере страхования ущерба от кибератак и утечек данных. "Создание рынка страхования от киберугроз в России - важная инициатива, которая может существенно улучшить кибербезопасность в стране. Подобно тому, как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных", - считает заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин.
https://www.comnews.ru/content/227139/2023-06-30/2023-w26/sovfede-predl…
"Давно назревшая история. На рынке достаточно продуктов для страхования киберрисков. Все крупные игроки рынка страхования так или иначе предлагают подобные продукты. Стоимость страховки зависит от многих факторов: сумма страхового возмещения, набор рисков ИБ, которые страхуются, размеры ИТ-инфраструктуры, исходные коды, другие активы и параметры. Например, утечки персональных данных тоже могут страховаться, - считает генеральный директор ITGLOBAL.COM Security Александр Зубриков. - Тем не менее существуют подводные камни или даже булыжники. Например, без привлечения специализированной форензики, расследования инцидента ИБ и определения нанесенного ущерба сказать, какая именно будет страховая выплата, не представляется возможным. И на этой почве может появиться первое непонимание между страховой компанией и ее клиентом.
Много вопросов с тем, как страховая компания убедится, что инфраструктура в безопасности. И наконец не всегда понятно, что именно считать страховым случаем. А что если заражение вирусным ПО клиент сделал себе самостоятельно, просто по ошибке или по недосмотру. А был ли вообще факт утечки? Как правило, мы узнаем о таких случаях из СМИ, а те в свою очередь мониторят дарквеб на предмет продажи очередной базы данных. Но ведь злоумышленник может и не кричать направо и налево, что слил персданные или коммерческую тайну. И информация об этом может всплыть по прошествии времени".
Алексей Петухов обратил внимание и на то обстоятельство, что страхование может покрыть далеко не все риски. Он привел аналогию с автопроизводителями, от которых не стоит ожидать возмещение ущерба в том случае, если водитель из-за неисправности автомобиля опоздал на важную встречу и в итоге понес финансовые потери, многократно превосходящие стоимость авто.