В современном мире утечка данных стала рутинным событием для бизнеса. Как утверждает статистика, с каждым годом количество информационных инцидентов увеличивается, а их итоговая «стоимость» — растет.
Например, согласно отчету Cybersecurity Ventures в 2021 году деятельность киберпреступников обойдется компаниям по всему миру в сумму порядка 6 триллионов долларов США.
Не менее ужасающе выглядит и рост урона в динамике: ежегодно глобальный ущерб от информационных инцидентов возрастает на 15% и к 2025 году достигнет 10,5 триллионов долларов. Для сравнения: в 2015 общая сумма глобальных убытков составляла всего 3 триллиона долларов.
Стоит отметить, что речь, в первую очередь, идет о потерях, которые можно легко посчитать, таких как: недополученная прибыль, простой производства, штрафы от госрегуляторов. Однако существует целая плеяда расходов, редко попадающая в статью урона. Пролонгированный ущерб от информационного инцидента может преследовать компанию годами. Например, по данным исследования Infosys, 65% потребителей теряют доверие к бизнесу в случае утечки данных, причем 85% из них заявили, что не хотят снова иметь дело с этими компаниями. Клиенты – это живые деньги, которые уходят от пострадавшего бизнеса навсегда.
Несмотря на рост рисков, многие фирмы до сих пор не провели ревизию систем безопасности и недостаточно защищены от современных цифровых угроз. По данным опроса ISACA, который был проведен в 2021 году, только 32% компаний считают себя подготовленными к всевозможным информационным инцидентам.
Хотя модернизация периметра безопасности – процесс долгий и трудоемкий, есть несколько простых советов, разработанных специалистами, которые помогут выявить проблемные зоны и укрепить наиболее важные участки в кратчайшие сроки.
Структура внутренних систем
Использование разнообразного ПО и современных технических средств значительно расширяет возможности бизнеса. Особенно в условиях «посткарантинного» мира, ведь череда локдаунов заставила многие компании, традиционно работающие в офлайн-среде, перебраться на просторы онлайн-мира. Облачные сервисы, системы приема платежей, программы склада и учета позволили бизнесу стать мобильнее и выжить в условиях кризиса, однако они же и породили дополнительные риски. Ведь чем сложнее общая структура – тем больше у нее уязвимых мест.
Наиболее яркая иллюстрация – недавний инцидент с Colonial Pipeline, которая была вынуждена остановить производство. Как утверждает CNN, опираясь на данные из нескольких источников, основной вектор атаки был направлен не на производственные системы, как считалось ранее, а на программу биллинга. То есть в теории компания могла не останавливать производственные мощности, а на практике – оказалась полностью отрезана от возможности проводить взаиморасчеты, что и привело к вынужденной пузе в жизнедеятельности фирмы.
Любой бизнес – это сложный комплекс, деятельность которого опирается на различные системы. Приоритетная задача руководителя – выявить блэкаут каких структур приведет к полному параличу, и обеспечить их защиту в первую очередь.
Генераторы прибыли
Любой бизнес – это не только технологии, но и люди. Именно синергия этих компонентов позволяет компании развиваться и двигаться вперед. После того, как руководитель определил пул наиболее уязвимых технологических систем, стоит переходить на следующую ступень – выявить, какие люди в организации обеспечивают поступление денежных средств.
Например, если компания специализируется на рекламе или полиграфии, паралич работы отдела дизайна неминуемо приведет к остановке жизнедеятельности бизнеса. В розничной и оптовой торговле самые уязвимые – менеджеры по продажам, при этом без дизайнера компания точно сможет обойтись. Большинство организаций легко переживут сценарий, при котором менеджеры по персоналу на некоторое время выпадут из общих процессов, при этом для рекрутингового агентства такое развитие событий – потерянная прибыль.
Защищать «генераторов прибыли» как и любые другие цифровые и человеческие системы нужно не только от внешней угрозы, но и от самих себя. Именно «человеческий фактор» становится первопричиной подавляющего большинства информационных инцидентов. И речь идет не только о целенаправленном вредительстве – продаже информации конкурентам или предоставлении кодов доступа третьим лицам. Банальная ошибка, такая как отправка данных не в то окно или переход по ссылке из подозрительного письма, может стать отправной точкой для атаки из вне.
Единственное эффективное решение проблемы – внедрение систем мониторинга и контроля персонала.
