Секрети кібербезпеки: чи дійсно компанії потребують CISO?
Важливість інформаційної безпеки для компаній
У сучасних економічних реаліях, особливо у період пандемії коронавірусу, рівень інтеграції інформаційних технологій у діяльність компаній є дуже високим. Ключовим активом компаній на даний момент слугує інформація, яка, водночас, є основною ціллю для кіберзлочинців, які полюють на неї з метою подальшого перепродажу на чорному ринку. Неспроможність компаній протидіяти цифровим загрозам може призвести до втрати довіри їх клієнтів, що потягне за собою погіршення фінансового становища даних компаній та ризик втрати їх конкурентоспроможності на ринку, а регуляторні органи, у свою чергу, можуть накласти санкції на даних суб’єктів бізнесу за нехтування інформаційною безпекою.
Жертвами кібератак стають не лише великі компанії та багатонаціональні підприємства, але й стартапи та малі інноваційні компанії. Як правило, ті суб’єкти бізнесу, які нехтують важливістю інформаційної безпеки, у першу чергу стають жертвами кіберзлочинців. Незалежно від сфери своєї діяльності, малі та великі компанії акумулюють значні обсяги конфіденційної інформації не лише про свої товари, послуги і працівників, але й про клієнтів. Наприклад, особливо привабливою для хакерів є інформація про дані банківських карток клієнтів. Компанії можуть навіть не усвідомлювати масштаб існуючих загроз для їх інформаційної безпеки. Лише компанії, які розуміють важливість інвестування ресурсів у свою інформаційну безпеку, можуть розраховувати на довгостроковий успіх на ринку.
Хто відповідає за захист компаній від кіберзагроз?
Кожна компанія, залежно від її розмірів, сфери діяльності та методів ведення бізнесу, може покладати відповідальність за інформаційну безпеку на працівників, які представляють різні посади. Як правило, відповідальність за забезпечення інформаційної безпеки компанії несе директор з інформаційної безпеки (CISO). Однією із ключових функцій CISO є комунікація із керівництвом компанії з метою інформування останнього про кіберзагрози. CISO відповідає за розробку стратегій інформаційної безпеки, а ефективність його роботи визначається рівнем захищеності інформаційних активів компанії.
Однією із ключових функцій CISO є захист інформаційних активів компанії від атак хакерів та кібершпигунів. CISO здійснює координацію роботи бізнес-менеджерів та ІТ-фахівців компанії щодо контролю за стійкістю застосунків, баз даних, комп’ютерів та веб-ресурсів компанії до зовнішніх ризиків. Фактично, для ефективного виконання своїх обов’язків CISO потребує команди спеціалістів, оскільки, окрім функції контролю, він відповідає за розробку планів протидії викраденню даних, а також контроль над фінансовими витратами, пов’язаними із кібербезпекою.
Одним із функціональних обов’зків CISO є проведення регулярних аудитів інформаційної безпеки компанії. У випадку неспроможності компанії запобігти ризику втрати даних або активів користувачів, директор з інформаційної безпеки розробляє стратегії подолання наслідків кібератак та відновлення пошкоджених серверів. Окрім цього, CISO відповідає за ведення документації та складання звітів щодо інформаційної безпеки компанії. Зважаючи на комплексний характер завдань та рівень відповідальності, лише фахівці із належним рівнем кваліфікації та значним досвідом роботи можуть займати дану позицію у компаніях. Середня зарплата директора з інформаційної безпеки у США становить близько $15000-$20000 / місяць , а компанії із списку Fortune 500 можуть пропонувати таким фахівцям у 2-3 рази вищу зарплату. Додавши до цієї суму зарплату підлеглих CISO, можна зробити висновок, що забезпечення інформаційної безпеки потребує від компанії вкладення значних фінансових ресурсів.
Важливу роль у забезпечення інформаційної безпеки компаній відіграє директор з питань технологій (CTO). Даний фахівець входить до менеджменту компанії. Основними обов’язками CTO є підбір та оцінка технологій, які застосовуються для забезпечення інформаційної безпеки компанії. Директор з питань технологій відповідає за призначення та навчання спеціалістів, на яких буде покладено обов’язок забезпечення інформаційної безпеки. CTO відповідає за дотримання встановлених технологічних стандартів, а також оцінює ризики, пов’язані із застосування нових технологічних рішень для забезпечення інформаційної безпеки мереж компаній. Рівень середньої заробітної плати CTO в США становить близько $18000-$20000 / місяць. Загалом, функції CISO та CTO значною мірою переплітаються. Саме тому малі та середні підприємства з метою економії фінансових ресурсів об’єднують позиції CISO та CTO. Водночас, великі підприємства і надалі опираються на модель забезпечення інформаційною безпеки, що передбачає наявність у штаті як CISO, так і CTO.
Чи існують альтернативи CISO?
Компанії із достатньою фінансовою подушкою для протидії загрозам їх інформаційній безпеці, як правило, мають у своєму штаті як CISO, так і CTO. Проте, навіть відомі бренди і надалі стають жертвами кіберзлочинців. Наприкінці 2020 р. компанія FireEye, яка вважається одним із провідних спеціалістів у сфері кібербезпеки, стала жертвою кібератаки, в результаті якої хакери отримали доступ до інструментів оцінки Red Team, які компанія використовувала для визначення рівня кіберзахищеності клієнтів. В результаті цього, інформаційна безпека клієнтів компанії, зокрема урядових організацій, опинилась під загрозою. Для подолання наслідків атаки компанією було розроблено близько 300 заходів. FireEye стала жертвою кібератаки, незважаючи на те, що у серпні 2020 р. вона запросила CISO компанії PepsiCo приєднатись до ради директорів.
У грудні 2020 р. американська компанія Accellion, яка спеціалізується на розробці хмарних рішень для безпечного пересилання файлів і надає свої послуги організаціям з усього світу, зазнала кібератаки, в результаті якої 100 гігабайт конфіденційної інформації клієнтів опинились у руках хакерів. Хакерам вдалося використати вразливості нульового дня у попередніх версіях програмного забезпечення компанії, в результаті чого постраждали 50 її клієнтів. Acellion також зазнала серії кібератак у січні 2021 р. Незважаючи на наявність CISO та ряду програм протидії цифровим загрозам, компанії не вдалось захистити дані своїх користувачів. Як правило, компанії навіть не можуть припустити наявність у своїх системах вразливостей, вважаючи існуючі методи запобігання кіберзагрозам досконалими. Саме тому перевірка захищеності їх мереж компаніями, які здатні імітувати поведінку хакерів, є особливо актуальною. Наприклад, компанія Hacken пропонує своїм клієнтами послуги перевірки безпеки корпоративних мереж.
Можна дійти висновку, що наявність значного штату спеціалістів з інформаційної безпеки, які підпорядковуються CISO, не є запорукою захищеності компаній від цифрових загроз. Хакери намагаються завжди бути на крок попереду компаній у питанні кібербезпеки, і суб’єкти бізнесу часто стикаються із ситуацією, коли щойно випущені рішення для посилення їх інформаційної безпеки уже містять вразливості, які можуть бути використані хакерами.
CISO у своїй роботі, як правило, дотримуються усталених правил, які не змінюються протягом років або ж зазнають лише косметичних змін. Особливо це стосується фахівців, які перебувають в одній компанії протягом тривалого періоду часу. Гнучкість таких спеціалістів у реагуванні на сучасні загрози інформаційній безпеці компаній є низькою. Саме тому оптимальним рішенням для бізнесу є залучення компаній, які спеціалізуються на кібербезпеці, для перевірки їх інформаційної захищеності за допомогою тестів на проникнення (пентестів). Такі компанії співпрацюють із клієнтами, які представляють різні сфери діяльності і, відповідно, стикаються із численними видами загроз інформаційній безпеці. Як наслідок, профільні компанії здатні запобігти значній кількості загроз для інформаційної безпеки клієнтів шляхом виявлення вразливостей, більшість із яких залишились би поза полем зору CISO та інших спеціалістів із інформаційної безпеки.
На сьогоднішній день жодна компанія, незалежно від кількості відповідальних менеджерів з питань інформаційної безпеки, власними ресурсами не в змозі гарантувати повну захищеність своєї інформації від зовнішніх загроз. А тому компаніям слід замислитись над делегуванням функцій директора з інформаційної безпеки (CISO) директору з питань технологій (CTO). Останній, у свою чергу, здійснюватиме ефективне їх виконання, замовляючи у профільних компаній пентести. Такі компанії здійснюють перевірку захищеності як веб- , так і Android– та iOS-застосунків клієнтів. Вартість пентесту може коливатись від $10000 до $20000 і навіть за умови проведення щоквартальних перевірок безпеки даним методом, витрати компаній будуть значно меншими у порівнянні із витратами, пов’язаними із виплатою зарплати та компенсацій CISO та його команді. Причому, за допомогою пентестів компанії зможуть не лише запобігти кібератакам, спрямованим на викрадення даних, але й кібератакам, спрямованим на перенавантаження їх серверів (DDoS-атаки). Компанія Hacken надає послуги із протидії такому типу загроз.
Як наслідок, компанії зможуть забезпечити максимальний рівень інформаційної безпеки, суттєво зменшуючи витрати на персонал.
Загалом, рівень інформаційної захищеності компаній залежить не від розміру штату працівників, а від ефективності їх роботи. В епоху активізації діяльності злочинних груп у віртуальному середовищі компанії повинні надавати пріоритет посиленню власної стійкості до цифрових загроз. Розширення штату працівників, відповідальних за інформаційну безпеки, є застарілим рішенням. Набагато ефективнішим методом використання фінансових ресурсів компаніями є делегування частини функцій щодо забезпечення інформаційної безпеки визнаним спеціалістам у даному питанні. Фактично, замовлення регулярних перевірок рівня інформаційної безпеки слугує можливістю для компаній оптимізувати витрати на персонал, водночас, підвищуючи рівень захищеності від зовнішніх загроз.
