ИБ должна стремиться к бизнесу
<p>"Вообще любые риски в информационной безопасности должны быть исключены. Но все-таки, например, для руководителя крупной компании должно быть драматически важно, что он гарантировано исключит наиболее значимые риски. Такие события называются недопустимыми. Разработана методика определения таких событий. И сейчас мы занимаемся пилотной апробацией применения этой методики и учета ее результатов при построении систем информационной безопасности", - заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов в интервью "РИА Новости". Минцифры также, как сообщил заместитель руководителя ведомства, работает как над общим перечнем недопустимых событий, так и относящимся к отдельным отраслям.</p> <p>Руководитель направления автоматизации информационной безопасности ПАО "Группа Позитив" (Positvie Technologies) Михаил Стюгин, выступая на конференции "Информационная безопасность: от процесса к результату", свел результативную кибербезопасность к вычленению ключевых рисков и недопустимых событий из действительно сложной и необъятной общей карты. Он привел данные, полученные в ходе опроса участников конференции ЦИПР 2023, согласно которым 71% респондентов заявили, что могут определить такие недопустимые события для компаний, которые представляют, тогда как годом раньше их количество не превышало половины.</p> <p>Основным препятствием для внедрения такого подхода, как отметил директор по консалтингу ООО "РТК-Солар" Роман Чаплыгин, является то, что ИБ-специалисты в компаниях очень редко воспринимают себя как бизнес-функцию. Также он поделился таким личным наблюдением: "Из более чем 3000 российских руководителей ИБ-подразделений бизнес-образование, например MBA, есть не более чем у 10 человек. Однако и бизнес, как отметил Роман Чаплыгин, тоже склонен видеть картину в черно-белых тонах, но она намного сложнее".</p> <p>По оценке Романа Чаплыгина, для практически полного исключения неприемлемых для бизнеса инцидентов в российских условиях необходимо инвестировать в развитие корпоративной ИБ 1-1,5% от общего оборота компании в течение трех лет. Эти расчеты, как он особо отметил, относятся к крупным компаниям и не слишком зависят от отраслевой специфики. Однако, как подчеркнул эксперт, реальный уровень таких инвестиций заметно ниже.</p> <p>Руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов дал прогноз, что ИТ- и ИБ-службы в российских компаниях будут подчиняться дирекциям по цифровой трансформации. По его оценке, главным препятствием для построения киберустойчивых информационных систем в последнее время стало непонимание интересов бизнеса со стороны руководителей ИБ-подразделений, тогда как раньше основным препятствием была недооценка ИБ-рисков со стороны бизнеса, и подчинение ИТ- и ИБ-дирекциям по цифровой трансформации данный дисбаланс устраняет.</p> <p>Управляющий директор Газпромбанка Артем Калашников обратил внимание, что бизнес может самостоятельно определить неприемлемые риски, но уже вычислить безопасный их порог, как правило, вызывает сложности, часто непреодолимые, особенно если речь идет о рисках, связанных с ИБ. Роман Чаплыгин, однако, заявил, что это не всегда нужно и не является препятствием для работы. Прежде всего, по его мнению, ИБ должна участвовать в обеспечении непрерывности бизнеса, что руководству компании хорошо понятно.</p> <p>Алексей Петухов согласился, что уровень бизнес-образования у российских ИБ-специалистов и руководителей низок и бизнесу необходимо его повышать. Артем Калашников посоветовал для начала изучить основы финансового менеджмента или хотя бы учета. Ключевым навыком ИБ-руководителя, как он подчеркнул, должно стать умение рассчитать затраты и соотносить их с возможностями компании.</p> <p>Также, по оценке Алексея Петухова, мешает диалогу ИТ, ИБ и бизнеса недостаточный уровень цифровой зрелости компаний. Поэтому, по его мнению, необходимо добиваться простых и понятных, при этом легко измеряемых результатов, в том числе побочных, - например, оптимизации использования оборудования после внедрения той или иной системы. "Надо показывать, что ИБ позволяет приносить деньги, а не только соответствовать нормам регуляторов", - призвал Алексей Петухов. Также, по его оценке, со временем стоит ожидать, что и ИТ-, и ИБ-подразделения будут организационно подчиняться дирекции цифровой трансформации, что позволит устранить целый комплекс проблем взаимодействия функциональных служб с бизнесом.</p> <p>Михаил Стюгин возлагает большие надежды на широкое внедрение программ страхования киберрисков. Тем более что уже появляются инициативы ввести аналог ОСАГО в сфере страхования ущерба от кибератак и утечек данных. "Создание рынка страхования от киберугроз в России - важная инициатива, которая может существенно улучшить кибербезопасность в стране. Подобно тому, как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных", - считает заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/227139/2023-06-30/2023-w26/sovfede-predlozhili-sozdat-osago-dlya-it</p> </blockquote> <p>"Давно назревшая история. На рынке достаточно продуктов для страхования киберрисков. Все крупные игроки рынка страхования так или иначе предлагают подобные продукты. Стоимость страховки зависит от многих факторов: сумма страхового возмещения, набор рисков ИБ, которые страхуются, размеры ИТ-инфраструктуры, исходные коды, другие активы и параметры. Например, утечки персональных данных тоже могут страховаться, - считает генеральный директор ITGLOBAL.COM Security Александр Зубриков. - Тем не менее существуют подводные камни или даже булыжники. Например, без привлечения специализированной форензики, расследования инцидента ИБ и определения нанесенного ущерба сказать, какая именно будет страховая выплата, не представляется возможным. И на этой почве может появиться первое непонимание между страховой компанией и ее клиентом.</p> <p>Много вопросов с тем, как страховая компания убедится, что инфраструктура в безопасности. И наконец не всегда понятно, что именно считать страховым случаем. А что если заражение вирусным ПО клиент сделал себе самостоятельно, просто по ошибке или по недосмотру. А был ли вообще факт утечки? Как правило, мы узнаем о таких случаях из СМИ, а те в свою очередь мониторят дарквеб на предмет продажи очередной базы данных. Но ведь злоумышленник может и не кричать направо и налево, что слил персданные или коммерческую тайну. И информация об этом может всплыть по прошествии времени".</p> <p>Алексей Петухов обратил внимание и на то обстоятельство, что страхование может покрыть далеко не все риски. Он привел аналогию с автопроизводителями, от которых не стоит ожидать возмещение ущерба в том случае, если водитель из-за неисправности автомобиля опоздал на важную встречу и в итоге понес финансовые потери, многократно превосходящие стоимость авто.</p>