Почему многим организациям трудно идти в ногу с меняющимся ландшафтом угроз и эффективно управлять своими киберрисками?
Компании, предоставляющие финансовые услуги, долгое время были популярной мишенью для киберпреступников. Не без веской причины, поскольку помимо работы с деньгами, финансовые компании обрабатывают множество конфиденциальных данных клиентов, которые преступники используют в различных схемах мошенничества или продают на рынках дарквеба. Согласно отчету Verizon о расследовании утечки данных за 2020 год, только за последний год в финансовой отрасли произошло более 1500 инцидентов, при этом было подтверждено 448 случаев раскрытия данных.
Помимо давних угроз, большинству компаний пришлось столкнуться с быстрым переходом на удаленную работу. Изменение произошло в очень короткие сроки, и у компаний осталось мало времени для развертывания адекватных мер кибербезопасности или для подготовки сотрудников к надвигающимся киберугрозам. И хотя пандемия в конечном итоге утихнет, удаленная работа никуда не денется, добавляясь к списку проблем, с которыми компании должны справиться при подготовке своих планов и политик кибербезопасности. Это то, с чем они часто сталкиваются уже из-за различных факторов — мы собрали пять из них:
Нехватка талантов
Хотя многие компании ищут опытных или подающих надежды профессионалов в области кибербезопасности, чтобы они пополнили свои ряды и помогли им создать защитный периметр от различных угроз, их просто недостаточно. Фактически, хотя разрыв в кадрах, связанных с кибербезопасностью, сократился впервые за многие годы, глобальная нехватка сотрудников по-прежнему составляет 3,12 миллиона человек. Фактически, чтобы восполнить глобальную нехватку талантов, уровень занятости должен вырасти на 41% в США и на 89% во всем мире. Таким образом, чтобы привлечь лучшие и самые яркие умы в области кибербезопасности, компаниям придется предлагать конкурентоспособные зарплаты и возможности для работы.
Недостаточный бюджет
Ключевой областью, которая не позволяет компаниям напрямую бороться с киберугрозами, является недостаточный бюджет, выделенный на кибербезопасность. Согласно опросу, проведенному консалтинговой фирмой Ernst and Young, 87% опрошенных организаций заявили, что у них нет достаточного бюджета для достижения желаемых уровней кибербезопасности и устойчивости. Нехватка ресурсов означает, что компании не могут нанять достаточно специалистов в области кибербезопасности или внедрить технические меры, необходимые для обеспечения устойчивости при противодействии различным киберугрозам.
Переоценка собственной кибербезопасности
Одна из распространенных ошибок компаний заключается в том, что они переоценивают эффективность своих мер кибербезопасности. Хотя они могут полагать, что они на высоте, у компаний может не быть лучших политик управления исправлениями уязвимостей. Хорошим, но в то же время неудачным примером является уязвимость BlueKeep, присутствующая в Windows. Патч был выпущен в мае 2019 года, и Microsoft призвала всех немедленно установить патч; месяц спустя Агентство национальной безопасности выпустило собственное предупреждение, однако в июле более 805 000 машин все еще были уязвимы, и это привело к первым атакам BlueKeep в ноябре. Само собой разумеется, что исправление такой серьезной уязвимости ни при каких обстоятельствах не должно занимать шесть месяцев.
Отсутствие обучения осведомленности
Еще одним распространенным явлением, которое подрывает кибербезопасность компании, является то, что сотрудники не проходят достаточного обучения осведомленности о кибербезопасности. Вероятно, риски того, что сотрудники будут обманывать загрузку вредоносного ПО или отказаться от учетных данных своей компании, увеличились из-за перехода на удаленную работу из-за COVID-19. Согласно исследованию, проведенному Ponemon Institute, хотя компании зарегистрировали всплеск кибератак во время пандемии (включая фишинговые атаки и атаки социальной инженерии), 24% респондентов считают, что их организации не обеспечили достаточного обучения рискам, связанным с удаленной работой. К сожалению, исследование также показало, что более половины компаний вообще не имеют политики безопасности, покрывающей требования к удаленным сотрудникам.
Недооценка ценности кибербезопасности
Некоторые организации недооценивают значение кибербезопасности для своего бизнеса и вместо этого предпочитают вкладывать средства в другие аспекты, которые они считают более целесообразными, например расширение финансирования или разработку новых продуктов. Они могут утверждать, что затраты перевешивают выгоды, такие как затраты на меры кибербезопасности, перевешивающие потенциальные потери от утечки данных. Однако, хотя потенциальные штрафы и убытки могут быть ниже в краткосрочной перспективе, репутационный ущерб может привести к более серьезным последствиям, включая потерю доверия клиентов, что отрицательно скажется на потоках доходов. Кроме того, в случае успеха киберпреступники могут получить доступ к интеллектуальной собственности, которую они могут продавать вместе с данными клиентов в дарквебе. Таким образом, о кибербезопасности нельзя забывать, поскольку она служит для защиты как компании, так и ее клиентов.
Вывод
Любая комбинация вышеупомянутых факторов может стать идеальным штормом для большинства организаций, столкнувшихся с кибератакой. С другой стороны, компании, предоставляющие финансовые услуги, начали серьезно относиться к проблемам кибербезопасности на самом высоком уровне. Глобальная консалтинговая компания McKinsey обнаружила, что 95% опрошенных ими комитетов совета директоров говорят, что обсуждают киберриски и технологические риски не менее четырех раз в год. Однако стоит отметить, что повышение осведомленности высшего руководства должно идти рука об руку с инвестированием адекватных сумм в решения по кибербезопасности и обучением персонала в соответствии с наилучшими возможными стандартами.
(1).png)