COVID-19 став тестом на кібербезпеку COVID-19 став тестом на кібербезпеку

Джерело: журнал "Бізнес"

На щастя, ми не зіткнулися в цей період з вірусом на зразок NotPetya. Але більшість компаній все ж відчули справжній шок, коли треба було організувати віддалену роботу офісу та онлайн комунікацію з клієнтами, що неможливо зробити без якісно вибудуваної та захищеної ІТ-інфраструктури.

У так званій новій реальності компанії почали поспішно впроваджувати ІТ-рішення, які б могли забезпечити віддалену роботу співробітників. Але як часто буває в таких ситуаціях, коли мова йде про необхідність забезпечити безперебійну роботу бізнесу, питання кібербезпеки відходять на другий план.Саме це сталося в період карантину. З іншого боку, карантин оголив проблему цифрової грамотності співробітників. Досить мало компаній до кризи тримали цей напрям в пріоритеті.

І тим, і іншим не погребували скористатися кіберзлочинці, які масово експлуатували тематику COVID-19 для фішингових кампаній. За даними офіційної статистики, в лютому-березні було зареєстровано аномально велику кількість шкідливих доменів, так чи інакше пов'язаних з COVID-19.

Листи традиційно містили шкідливі вкладення або посилання на шкідливі ресурси, відкриваючи які співробітники, самі того не підозрюючи, ставили під загрозу корпоративні ресурси компанії. Глобальної кіберкризи не сталося. Але де гарантія, що у випадку другої хвилі пандемії або в момент появи на ринку вакцини, цей сценарій, але в більш жорсткому варіанті не повториться? І що саме у вашій компанії не станеться витік даних або крадіжка грошей з рахунків?

На щастя, методи зловмисників не зазнали істотних змін з настанням карантину. Так само не змінилися і "граблі", на які компанії продовжують наступати в побудові своєї кібербезпеки. Що ми рекомендуємо робити в зв'язку з цим?

По-перше, оцінити масштаби лиха — іншими словами, провести IT-аудит, зробити діагностику систем та існуючих процесів кібербезпеки. Аудит повинен бути незалежний. Коли компанія оцінює сама себе, це не завжди відповідає реаліям, може виникнути конфлікт інтересів.

Більшість представників ІТ-функцій розведуть руками і скажуть, що звичайно ж у них все добре, і вони використовують ресурси, які виділяє компанія, найбільш ефективно. З іншого боку, люди, які займаються побудовою кібербезпеки в компанії, часто мають вже необ'єктивну картину того, що відбувається, і не дивляться на ситуацію досить критично. Незалежний аудит дозволить виявити вузькі місця, створити дорожню карту змін і стратегію.

По-друге, для побудови ефективної системи кібербезпеки існує безліч стандартів, кращих практик і фреймворків. Це документи, які компанія може брати за основу і починати впроваджувати або самостійно за наявності необхідних компетенцій, або із залученням сторонніх консультантів. Прикладами загальноприйнятих стандартів є ISO 27-ої серії і NIST. Можна спиратися і на галузеві стандарти. Зокрема, NERC CIP — розроблений галузевий стандарт з кібербезпеки для енергетичного сектора, HIPAA — стандарт щодо забезпечення захисту електронних медичних даних у сфері охорони здоров'я, Ofcom — для телекомунікацій.

Найбільш успішні компанії працюють над оптимізацією ресурсів та скороченням витрат. Своїм клієнтам ми радимо використовувати рішення RoboticProcessAutomation (RPA), які доступні навіть підприємствам малого і середнього бізнесу.

Криза — чудовий час для перевірки та перегляду старих підходів та інструментарію. Варто переосмислити моделі управління та ІТ-рішення, які підтримують бізнес.Створення дорожньої карти розвитку інфраструктури, а також цільових карт даних дозволяють масштабувати процеси, розвивати сервісні екосистеми та підключати зовнішні ресурси, в тому числі, хмарні.

Зрозуміло, все це не має сенсу без продуманої стратегії кібербезпеки. Вона повинна охоплювати не тільки добре відомі загрози, але і передбачати ефективні рішення та контролі на всіх рівнях. У тому числі враховувати ризик інсайдерських загроз, автоматизовані атаки з використанням штучного інтелекту.