Тогда в нашей стране принимались очередные поправки в закон «О персональных данных», устанавливающие среди прочего и требования по локализации мест хранения личной информации россиян, среди которых были и сотрудники, и клиенты корпорации со штаб-квартирой в США. И меня, как человека, немного отвечающего за вопросы внутренней ИБ и комплаенса, позвали на совет по глобальным рискам, который собирался в компании два раза в год, чтобы оценить новые риски, которые могут мешать развивать бизнес в странах присутствия компании. А я на тот момент очень активно был вовлечен в разработку нормативных документов по персональным данным, а еще, насмотревшись голивудских фильмов и начитавшись умных книжек, я был уверен, что международная корпорация является ярой сторонницей соблюдения законодательства. Я подготовил презентацию на три слайда

Спустя день я узнал, что мои предложения «не прошли»: соблюдать российское законодательство по персональным данным было признано нецелесообразным. Спустя полгода, когда появился первый кейс с запретом LinkedIn в России и активными разговорами о новых блокировках, меня вновь позвали на совет по рискам, к которому я готовился уже совсем иначе. Я упирал не на то, что мы законопослушная компания, а на то, что мы потеряем, если будет заблокирован доступ к ресурсам, которые, по мнению регулятора, незаконно обрабатывают персональные данные россиян. С цифрами на руках и реальным кейсом правоприменения мне удалось поменять решение совета. Это было начало 2010-х годов.

Человек инстинктивно боится змей. Он боится молний, прикасаться к огню, совать руку в клетку с тигром. Мы знаем, что не надо ездить по встречке, что заниматься паркуром опасно, а уходя из дома, надо запирать дверь на ключ. Мы на автомате умеем оценивать риски реального мира, потому что это заложено в нас либо на уровне инстинктов, либо на уровне полученного опыта, (личного или в результате, многочисленных наблюдений). Мы ощущаем окружающий нас физический мир, имеющий свои законы и правила, которые мы научились распознавать и соблюдать.

С миром цифровым ситуация пока иная. У нас нет полученных «с молоком матери» знаний о киберугрозах. Опыт в отношении киберугроз большинства не погруженных в тему ИБ людей (и топ-менеджеры не исключение) крутится, как правило, вокруг «звонков от службы безопасности Сбербанка». Наблюдений у топ-менеджеров в этой сфере тоже еще нет: в конце концов, это не навык распознавать недобросовестных партнеров или не делать рискованные инвестиции.

Что же может и должно поменяться в сознании топ-менеджмента, чтобы они стали относиться к нашей с вами сфере деятельности иначе?

Могли ли думать руководители американской UnitedHealth Group, что «обычная кибератака» на систему распределения лекарств, к которой было подключено 900 тысяч врачей, 118 тысяч дантистов, 33 тысяч аптек, 5,5 тысяч больниц и 600 лабораторий, повлечет за собой первичные потери в 1,94 миллиарда долларов, а вторичные — в «смешные» 130 миллионов?

Основная доля этих потерь, примерно 5/8, приходится на прерывание бизнеса, а также на компенсации за смерть людей и ущерб здоровью пациентов во время простоя, еще 2/8 — на нарушение приватности утекших данных (оплата кол-центра, оплата бесплатного кредитного мониторинга, штрафы и компенсации претензий за утечки персональных данных и т. п.). Репутационный ущерб, затраты на сетевую безопасность и выплата вымогателям — это «всего-то» 80 миллионов долларов. Эти почти 2 миллиарда — это существенно больше, чем бюджет на ИБ корпорации UHG.

А руководители парфюмерного гиганта Estée Lauder, бизнес которого завязан на электронной коммерции? Думали ли они, что атака обычного шифровальщика на их инфраструктуру обойдется в 3% от полугодового оборота компании? Скорее всего, тоже нет. И таких примеров становится все больше: колоссальные финансовые потери, снижение кредитных рейтингов (кейс Equifax), снижение стоимости компании в сделках по слиянию и поглощению (кейс Yahoo, «похудевшей» из-за взлома на 350 миллионов долларов), отказ от выплат дивидендов (кейс Medibank), отказ от бонусов (кейс Medibank), падение курса акций, увольнение генерального директора (кейс Sony Pictures), уголовное преследование топ-менеджеров (кейс «Сирена-Трэвел») и т. п.

Но и заниматься цифровой трансформацией надо осмотрительно, не забывая про обеспечение ее безопасности. Тогда можно будет учиться на чужих неудачных примерах, а не быть таким примером для других.

С одной стороны, в России с началом 2022 года немного сместились приоритеты, и многие компании переориентировали проекты по цифровизации, сосредоточившись на импортозамещении продуктов ушедших из России компаний. С другой, федеральные проекты, например «Экономика данных», подталкивают к внедрению прорывных технологий в бизнес и госуправление. Искусственный интеллект, квантовые технологии, беспилотный транспорт, цифровые финансовые активы, биометрия, «облака», большие данные…

Вот только небольшая часть того, что позволит российской экономике расти, опираясь не только на нефтяные и газовые доходы. Само государство подталкивает российские предприятия к внедрению инноваций, а значит, роль кибербезопасности в них будет только расти. И дело не только и не столько в появлении и новой нормативки, сколько в том, что несоблюдение правил ИБ может повлечь за собой существенный ущерб для компании и ее руководства.

Чего опасается финансовый директор? Потери денег! Где и как может произойти эта потеря в IT-инфраструктуре и может ли ИБ предотвратить ее или существенно снизить сумму потери?

Чего опасается операционный директор? Остановки непрерывного бизнес-процесса или ухудшения его характеристик! Где и как может произойти такая остановка в IT-инфраструктуре или АСУ ТП и может ли ИБ предотвратить его или существенно снизить время простоя? Может ли ИБ предотвратить… нет, не утечку персональных данных, а утечку информации о поставке грузов в зону СВО для логистической компании?

Может ли ИБ положительно повлиять на доступность цифровой подстанции, обеспечивающей электроэнергией целый город или область? Может ли ИБ помочь не сорвать гособоронзаказ? Если руководители ИБ-предприятия смогут связать свою деятельность с «болями» своего руководства, то отношение последних и к ИБ, и к CISO сразу поменяется в лучшую сторону. Бизнес поймет, что ИБ понимает его нужды и готова разделить ответственность за его результаты, а не перекладывать их на чужие плечи, при этом постоянно требуя увеличения бюджета на свои «хотелки».

Цифровая трансформация сметает все на своем пути, развиваясь так быстро, что мы просто не успеваем следить за этой скоростью. Поэтому многим руководителям бизнеса сложно принимать все эти «новомодные штучки», включая и кибербезопасность. Более молодым топ-менеджерам все это знакомо лучше, и им нужно всего лишь объяснить, зачем ИБ именно им, а не регуляторам.

Совсем молодые руководители таких вопросов даже не задают: они проводят в цифровом мире времени больше, чем в реальном, и поэтому им не надо объяснять, что такое кибербезопасность (в отличие от вопросов «почему так дорого?» или «а есть ли альтернатива?»). И те руководители ИБ, которые не понимают новых реалий и пытаются по старинке давить на «так сказала ФСТЭК» или «так написано в законе», будут просто выброшены на свалку истории!