отчете британской консалтинговой группы Savanti по кибербезопасности
Отчеты

Отчет исследует борьбу британских компаний с растущими угрозами кибербезопасности

Одна из самых надежных констант в мире кибербезопасности заключается в том, что угрозы постоянно возрастают по мере того, как киберпреступники совершенствуют свою тактику и разрабатывают новые. Для организаций может оказаться непростой задачей постоянно быть в курсе этих угроз, защищать свои собственные данные и активы и отслеживать ситуацию с угрозами на предмет изменений. В недавнем отчете британской консалтинговой группы Savanti по кибербезопасности подробно описываются проблемы, с которыми сталкиваются британские компании в этой области — растущие угрозы и трудности, с которыми сталкиваются советы директоров при понимании и внедрении политики кибербезопасности, — а также план из пяти пунктов, призванный помочь в эффективном управлении советом директоров по кибербезопасности.

Новые и развивающиеся угрозы

Нет сомнений в том, что риски кибербезопасности для компаний растут, особенно в последние годы. В 2021 году почти две трети (61%) предприятий подверглись кибератакам, что значительно больше, чем 51% в 2020 году. Более того, каждая шестая компания, подвергшаяся атаке в прошлом году, заявила, что атака едва не привела к банкротству организации. С 2019 по 2021 год количество атак программ-вымогателей увеличилось на 200%, включая несколько заметных выкупов на многомиллионные суммы, которые выплатили организации. Хотя выплата выкупа, требуемого киберпреступниками, может обойтись компании в немалую сумму, другие расходы, связанные с локализацией и устранением последствий кибератак, также являются астрономическими.

Затраты на то, чтобы стать жертвой кибератаки, огромны — в качестве примеров в отчете приводятся “более высокие страховые взносы, сбои в бизнесе, снижение производства, задержки, ущерб репутации, кража интеллектуальной собственности, судебные разбирательства и действия регулирующих органов”. Кибератаки могут исходить изнутри компании или извне, быть нацелены на программное обеспечение или аппаратное обеспечение и иметь широкий спектр целей и последствий; учитывая это, имеет смысл, чтобы кибербезопасность была главным приоритетом в зале заседаний. Компании прекрасно осознают тот факт, что кибератаки могут быть разрушительными и кибербезопасность имеет первостепенное значение, но само по себе это знание не означает, что они готовы решать эти проблемы.

Компании изо всех сил стараются не отставать

По словам Саванти, в последнее время существует пять основных тенденций, определяющих приоритетность кибербезопасности в совете директоров. Во-первых, советы директоров не могут избежать участившихся киберсобытий или рисков стать мишенью. Во-вторых, участились сообщения СМИ о киберинцидентах, что оказывает давление на тех, кто окажется в центре внимания в случае кибератаки. В-третьих, пандемия привела к усилению внимания к операционной устойчивости и безопасности данных. В-четвертых, инвесторы оказывают давление на организации, требуя усилить их позицию в области кибербезопасности, связывая эффективную кибернетическую готовность с общим успехом компании. Наконец, в последние годы были ужесточены нормативные акты, касающиеся кибербезопасности, что вынуждает организации придерживаться новых требований.

Один опрос показал, что 83% членов совета директоров назвали кибербезопасность главным приоритетом, в то время как менее половины респондентов предприняли какие-либо действия по укреплению кибербезопасности. Советам директоров трудно понять свою роль в компании в отношении кибербезопасности, при этом почти четверть (23%) директоров ссылаются на то, что их роль заключается в том, чтобы “быть готовыми отреагировать, если понадобится совет директоров”. Совет директоров также испытывает трудности с осведомленностью в области кибербезопасности — часто им не хватает понимания киберрисков, решений и передовых практик, отчасти из-за того, что лишь немногие директора обладают знаниями или опытом в области технологий и кибербезопасности. Набор членов совета директоров может помочь устранить этот пробел, но текучесть кадров в совете директоров низкая из-за отсутствия ограничений по срокам полномочий и высокого возраста обязательного выхода на пенсию.

Рекомендации по улучшению

План из пяти пунктов, изложенный в этом отчете, является прочной основой для улучшения управления советом по кибербезопасности. Первая рекомендация заключается в понимании уникальной роли правления в сфере кибербезопасности, то есть в определении склонности компании к риску, поддержании удовлетворительного понимания устойчивости и восстановления компании, получении информации о кибербезопасности в объеме, достаточном для того, чтобы “подвергать сомнению то, что им говорят” и “задавать правильные вопросы”, и обеспечении готовности к потенциальным инцидентам в области кибербезопасности. Во-вторых, советам директоров рекомендуется иметь по крайней мере одного неисполнительного директора, обладающего опытом в области технологий, цифровых технологий, данных или кибербезопасности. Это жизненно важно для обеспечения того, чтобы правление в целом могло выполнять свою роль в защите компании от кибератак.

Следующий пункт плана – включить кибербезопасность в повестку дня правления. Это означает, что кибербезопасность следует регулярно обсуждать на заседаниях совета директоров, учитывая изменения в ландшафте угроз и уделяя повышенное внимание критическим ситуациям в области кибербезопасности. В-четвертых, организациям рекомендуется предоставлять совету директоров и исполнительной власти доступ к независимым консультантам по кибербезопасности, внося вклад в различные аспекты управления кибербезопасностью путем консультирования генеральных директоров, неисполнительных директоров и CISO. Наконец, план Savanti определяет обязанности регулирующих органов, инвесторов и государственных органов и роль, которую каждый из них играет в обеспечении эффективного управления советом по кибербезопасности. Регулирующим органам рекомендуется ввести “разумное и целенаправленное регулирование” в области кибербезопасности, инвесторам задавать вопросы, чтобы подтолкнуть компании к более эффективному управлению, а государственным органам – сотрудничать с частными организациями для распространения знаний, решений и передовой практики в области управления кибербезопасностью.

Заключение

Кибербезопасность важна не только для защиты организаций от кибератак, но и для обеспечения уверенности потенциальных клиентов, партнеров и потребителей в надежности и эффективности компании. Без эффективного управления советом директоров и расстановки приоритетов кибербезопасности в зале заседаний организация подвержена большему риску кибератак и других инцидентов безопасности. В отчете Savanti рассматривается продолжающийся рост киберугроз против организаций, проблемы, стоящие на пути эффективного управления советом директоров, и ряд шагов, которые советы директоров могут предпринять для повышения эффективности своего управления кибербезопасностью.

admin
Author: admin