Алексей Лукацкий
Бизнес-консультант по информационной безопасности Positive Technologies
Изменение отношения
к ИБ со стороны топ-менеджмента
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Начну с истории, которая произошла со мной более 10 лет назад, когда я работал в одной международной компании с оборотами в десятки миллиардов долларов по миру и сотнями миллионов долларов по России.
Тогда в нашей стране принимались очередные поправки в закон «О персональных данных», устанавливающие среди прочего и требования по локализации мест хранения личной информации россиян, среди которых были и сотрудники, и клиенты корпорации со штаб-квартирой в США. И меня, как человека, немного отвечающего за вопросы внутренней ИБ и комплаенса, позвали на совет по глобальным рискам, который собирался в компании два раза в год, чтобы оценить новые риски, которые могут мешать развивать бизнес в странах присутствия компании. А я на тот момент очень активно был вовлечен в разработку нормативных документов по персональным данным, а еще, насмотревшись голивудских фильмов и начитавшись умных книжек, я был уверен, что международная корпорация является ярой сторонницей соблюдения законодательства. Я подготовил презентацию на три слайда
Спустя день я узнал, что мои предложения «не прошли»: соблюдать российское законодательство по персональным данным было признано нецелесообразным. Спустя полгода, когда появился первый кейс с запретом LinkedIn в России и активными разговорами о новых блокировках, меня вновь позвали на совет по рискам, к которому я готовился уже совсем иначе. Я упирал не на то, что мы законопослушная компания, а на то, что мы потеряем, если будет заблокирован доступ к ресурсам, которые, по мнению регулятора, незаконно обрабатывают персональные данные россиян. С цифрами на руках и реальным кейсом правоприменения мне удалось поменять решение совета. Это было начало 2010-х годов.
Специалисты по безопасности часто жалуются на то, что их не понимают руководители компании, не выделяют ресурсы, не дают нормально реализовывать стратегию ИБ
Доходит до того, что специалисты по ИБ утверждают, что топ-менеджеры не умеют оценивать угрозы ИБ для своей организации и именно поэтому недооценивают всю опасность хакеров и совершаемых ими действий. А вы никогда не задумывались почему?
Человек инстинктивно боится змей. Он боится молний, прикасаться к огню, совать руку в клетку с тигром. Мы знаем, что не надо ездить по встречке, что заниматься паркуром опасно, а уходя из дома, надо запирать дверь на ключ. Мы на автомате умеем оценивать риски реального мира, потому что это заложено в нас либо на уровне инстинктов, либо на уровне полученного опыта, (личного или в результате, многочисленных наблюдений). Мы ощущаем окружающий нас физический мир, имеющий свои законы и правила, которые мы научились распознавать и соблюдать.
С миром цифровым ситуация пока иная. У нас нет полученных «с молоком матери» знаний о киберугрозах. Опыт в отношении киберугроз большинства не погруженных в тему ИБ людей (и топ-менеджеры не исключение) крутится, как правило, вокруг «звонков от службы безопасности Сбербанка». Наблюдений у топ-менеджеров в этой сфере тоже еще нет: в конце концов, это не навык распознавать недобросовестных партнеров или не делать рискованные инвестиции.
“
Иными словами, большинство людей, имеющих право сказать не только «нет», но и «да» проекту по кибербезопасности, пока не обладают врожденными или полученными знаниями о том, чем опасен виртуальный мир. А, как известно из психологии, все, что мы не понимаем, мы отторгаем
Что же может и должно поменяться в сознании топ-менеджмента, чтобы они стали относиться к нашей с вами сфере деятельности иначе?
Три пути изменения сознания топ-менеджмента:
- Первый путь — эволюционный. Долгий и плохо управляемый. Через несколько поколений, когда компьютеры будут окружать нас с рождения, люди сами начнут понимать их слабые стороны и опасности, от них исходящие. Этот путь от нас никуда не денется, но пожинать его результаты нам, скорее всего, не удастся, если только медицина не сделает гигантский скачок в поиске секрета долголетия.
- Второй путь связан с цифровой трансформацией. Чем больше проектов будет оцифровываться, чем больше бизнесов будет зависеть от информационных технологий, тем больше внимания топ-менеджмент будет уделять вопросам кибербезопасности.
Могли ли думать руководители американской UnitedHealth Group, что «обычная кибератака» на систему распределения лекарств, к которой было подключено 900 тысяч врачей, 118 тысяч дантистов, 33 тысяч аптек, 5,5 тысяч больниц и 600 лабораторий, повлечет за собой первичные потери в 1,94 миллиарда долларов, а вторичные — в «смешные» 130 миллионов?
Основная доля этих потерь, примерно 5/8, приходится на прерывание бизнеса, а также на компенсации за смерть людей и ущерб здоровью пациентов во время простоя, еще 2/8 — на нарушение приватности утекших данных (оплата кол-центра, оплата бесплатного кредитного мониторинга, штрафы и компенсации претензий за утечки персональных данных и т. п.). Репутационный ущерб, затраты на сетевую безопасность и выплата вымогателям — это «всего-то» 80 миллионов долларов. Эти почти 2 миллиарда — это существенно больше, чем бюджет на ИБ корпорации UHG.
А руководители парфюмерного гиганта Estée Lauder, бизнес которого завязан на электронной коммерции? Думали ли они, что атака обычного шифровальщика на их инфраструктуру обойдется в 3% от полугодового оборота компании? Скорее всего, тоже нет. И таких примеров становится все больше: колоссальные финансовые потери, снижение кредитных рейтингов (кейс Equifax), снижение стоимости компании в сделках по слиянию и поглощению (кейс Yahoo, «похудевшей» из-за взлома на 350 миллионов долларов), отказ от выплат дивидендов (кейс Medibank), отказ от бонусов (кейс Medibank), падение курса акций, увольнение генерального директора (кейс Sony Pictures), уголовное преследование топ-менеджеров (кейс «Сирена-Трэвел») и т. п.
“
Без цифровой трансформации сегодня бизнесу не выжить — он просто будет проигрывать в конкурентной борьбе тем, кто лучше умеет работать с данными, анализировать их, принимать на их основе управленческие решения
Но и заниматься цифровой трансформацией надо осмотрительно, не забывая про обеспечение ее безопасности. Тогда можно будет учиться на чужих неудачных примерах, а не быть таким примером для других.
С одной стороны, в России с началом 2022 года немного сместились приоритеты, и многие компании переориентировали проекты по цифровизации, сосредоточившись на импортозамещении продуктов ушедших из России компаний. С другой, федеральные проекты, например «Экономика данных», подталкивают к внедрению прорывных технологий в бизнес и госуправление. Искусственный интеллект, квантовые технологии, беспилотный транспорт, цифровые финансовые активы, биометрия, «облака», большие данные…
Вот только небольшая часть того, что позволит российской экономике расти, опираясь не только на нефтяные и газовые доходы. Само государство подталкивает российские предприятия к внедрению инноваций, а значит, роль кибербезопасности в них будет только расти. И дело не только и не столько в появлении и новой нормативки, сколько в том, что несоблюдение правил ИБ может повлечь за собой существенный ущерб для компании и ее руководства.
- Третий путь — образовательно-экспериментальный. Надо показывать топ-менеджерам своей компании, какую роль играет кибербезопасность в их жизни, а не в жизни руководителя ИБ, который приходит со своими, часто непонятными руководству обоснованиями.
Чего опасается финансовый директор? Потери денег! Где и как может произойти эта потеря в IT-инфраструктуре и может ли ИБ предотвратить ее или существенно снизить сумму потери?
Чего опасается операционный директор? Останова непрерывного бизнес-процесса или ухудшения его характеристик! Где и как может произойти такой останов в IT-инфраструктуре или АСУ ТП и может ли ИБ предотвратить его или существенно снизить время простоя? Может ли ИБ предотвратить… нет, не утечку персональных данных, а утечку информации о поставке грузов в зону СВО для логистической компании?
Может ли ИБ положительно повлиять на доступность цифровой подстанции, обеспечивающей электроэнергией целый город или область? Может ли ИБ помочь не сорвать гособоронзаказ? Если руководители ИБ-предприятия смогут связать свою деятельность с «болями» своего руководства, то отношение последних и к ИБ, и к CISO сразу поменяется в лучшую сторону. Бизнес поймет, что ИБ понимает его нужды и готова разделить ответственность за его результаты, а не перекладывать их на чужие плечи, при этом постоянно требуя увеличения бюджета на свои «хотелки».
Мир развивается. Технологии развиваются еще быстрее
Я помню времена, когда компьютер дома был не просто мерилом достатка, а казался недосягаемой мечтой (даже видеомагнитофоны в квартирах были меньшей редкостью, чем компьютеры). Я помню, что мобильный телефон можно было носить только при наличии соответствующего разрешения, оформленного в виде закатанной в пластик карточки по типу прав на вождение автомобиля. Я застал времена пятидюймовых и трехдюймовых дискет. И где оно все?
Цифровая трансформация сметает все на своем пути, развиваясь так быстро, что мы просто не успеваем следить за этой скоростью. Поэтому многим руководителям бизнеса сложно принимать все эти «новомодные штучки», включая и кибербезопасность. Более молодым топ-менеджерам все это знакомо лучше, и им нужно всего лишь объяснить, зачем ИБ именно им, а не регуляторам.
Совсем молодые руководители таких вопросов даже не задают: они проводят в цифровом мире времени больше, чем в реальном, и поэтому им не надо объяснять, что такое кибербезопасность (в отличие от вопросов «почему так дорого?» или «а есть ли альтернатива?»). И те руководители ИБ, которые не понимают новых реалий и пытаются по старинке давить на «так сказала ФСТЭК» или «так написано в законе», будут просто выброшены на свалку истории!