Открыв газету в любой точке мира, вы наверняка найдете историю о какой-нибудь сокрушительной кибератаке. Например, в 2016 году, в результате киберограбления, Центробанк в Бангладеш лишился $81 млн – значительной части валютных резервов страны. В 2017 году группировка The Shadow Brokers (или кто-то от ее имени) похитила несколько важных разработок Агентства национальной безопасности США. Среди украденного был инструмент EternalBlue, который хакеры затем использовали, чтобы запустить вирус WannaCry. Этот червь заразил более 230 000 компьютерных систем в 150 странах, а убытки, по оценкам, составили около $4 млрд. В 2018 году гостиничная империя Marriott объявила о взломе своей системы бронирования Starwood и об утечке личной и финансовой информации 500 млн гостей. А взлом индийской национальной идентификационной базы Aadhaar позволил хакерам украсть личные, финансовые и биометрические данные практически всего населения страны – 1,1 млрд граждан.

Очевидно, с этим нужно что-то делать.

Наш опыт консультирования клиентов по всему миру показал: ключевая причина, по которой миллиардные инвестиции в кибербезопасность до сих пор не окупились, – все упорно зацикливаются на технологической стороне проблемы. В центре внимания – главным образом компьютеры и компьютерные системы, а также их уязвимости, а не бизнес-риски для компаний и стратегическое управление в целом.

Конечно, у такого подхода есть причины – как исторические, так и логические. IT-специалисты первыми столкнулись с вопросами кибербезопасности. Они сосредоточились на особенностях атак и механизмах защиты, а также на том, как сделать операционную систему менее уязвимой. Да и в принципе без компьютеров не было бы киберрисков, так что технологические аспекты, несомненно, важны. Излишний фокус на устранении уязвимостей соблазнительно опасен именно потому, что в этом есть резон. Но по ряду причин акцент на технологиях в конечном счете не помогает повысить кибербезопасность, а скорее наоборот – подрывает надежную защиту, как бы парадоксально это ни звучало.

Ни у одной компании нет ресурсов, чтобы решить все технологические проблемы в этой области, да и не все исправления одинаково ценны. Только определив ключевые процессы вашего бизнеса и проанализировав, как киберугрозы могут им навредить, вы расставите приоритеты грамотно и сумеете принять меры. Кроме того, когда специалисты по кибербезопасности вникнут, как именно функционирует ваш бизнес, они тоже смогут действовать правильнее. В частности, им удастся избежать решений и действий, которые, какими бы благими намерениями ни диктовались, не снижают рисков, а порой, наоборот, увеличивают их и ломают отлаженные бизнес-процессы.

Специфика технологий кибербезопасности и язык, которым о них говорят, – зачастую понятный только профессионалам – тоже играют свою роль. Технически не подготовленным стейкхолдерам, например руководству компании, нередко трудно вставить свое веское слово при обсуждении киберугроз. Но если дискуссии будут начинаться с защиты как операционной, так и стратегической деятельности, наиболее ценной для вашего бизнеса, ситуация изменится. Это позволит вам и вашим коллегам по совету директоров контролировать управление киберрисками.

Только начав с оценки критически важной бизнес-деятельности, а не с технологий, ваша компания поймет, как выстроить адекватную систему кибербезопасности: какие программы купить и какие действия предпринять. Излишний фокус на технологиях также отвлекает внимание от других факторов, влияющих на эффективность продуктов кибербезопасности в значительно большей степени, чем сложность их функционала. Сюда относятся мотивация, стимулы и приоритеты людей, которые пользуются этими продуктами или играют иную роль в защите компании.

Мы не раз сталкивались с ситуациями, когда, например, сотрудники сознательно обходили меры безопасности, мешающие им работать. Иногда мы также наблюдали, как специалисты ослабляли киберзащиту, чтобы избежать дополнительной нагрузки и давления коллег: высокий уровень кибербезопасности вызывал ложные тревоги или нарушал бизнес-процессы. То, насколько эффективно работает команда кибербезопасности, зависит от ее места в структуре компании. Если у руководства другие приоритеты, сотрудники, отвечающие за борьбу с киберугрозами, могут не получить необходимого финансирования и полномочий.

Если компания собирается совершенствовать киберзащиту, необходим правильный катализатор – участие руководства, ваше участие в том числе. Мы считаем, что в основе многих проблем кибербезопасности лежат слабые стороны корпоративного управления, а значит, повысить его эффективность – лучший способ нивелировать риски.

Управление кибербезопасностью начинается «сверху», с совета директоров и топ-менеджмента. Отсюда оно распространяется на всю организацию, что влечет за собой как смещение ответственности (от технических специалистов к высшему руководству), так и смену угла зрения (с технологий на бизнес, его процессы, стратегию и крупные ставки, а также риски, вызванные кибератаками).

Вы представляете ключевые интересы компании в долгосрочной перспективе. Вы отвечаете за ее состояние, развитие и рост. У вас есть полномочия, чтобы инициировать перемены в общей стратегии кибербезопасности. Вы можете вмешаться там, где не справляются рыночные механизмы и не помогают правительственные постановления.

Многие директора говорили нам, что кибербезопасность – сфера сложная, если не непостижимая. Они признавались, что принимают инвестиционные решения, не опираясь на надежные данные и не до конца понимая суть тех или иных технологий. Многие считают, что кривая обучаемости в этой области слишком крута; другие рассказывают, что не знают, какие вопросы задавать и как оценивать ответы. Часто руководству приходится полагаться на пространные заявления IT-отдела или команды кибербезопасности в духе «здесь все в порядке, но нужно поработать там». Подкованные в технологиях руководители, возможно, и занимаются проблемой грамотнее, но далеко не всегда.