Самое распространенное заблуждение, что кибератаки исходят из мира злодеев, возможности которых в разы больше кампаний подвергающихся атакам. Именно так большинство предпринимателей представляет киберриски, связанные с их деятельностью.
Американский журнал CSO посвященный кибербезопасности провел опрос среди владельцев бизнеса: Кто или что является наибольшей угрозой для информационной безопасности их фирмы?
Больше половины опрошенных указали на внешние угрозы исходящие от хакеров. Всего лишь 13% указали на своих сотрудников. Это более разумный ответ, потому что в любой совершенной системе безопасности самым слабым звеном всегда будет человеческий фактор.
Достаточно вспомнить недавний скандал с крупнейшей международной кредитной организации. У них была система защиты, но персонал пренебрег правилами, используя простейший пароль. Так личные данные 143 миллионов американцев оказались похищены хакерами.
Напряженная политическая обстановка в мире заставляет правительства тратить огромные деньги на совершенствование систем информационной безопасности.
Они считают, что кибератака неизбежна и готовиться к ним нужно уже сейчас. Когда это произойдет будет уже очень поздно. Здесь тоже преобладает явное предвзятое отношение к внешней угрозе.
Возьмем хотя бы апрельский доклад о нарушениях кибербезопасности правительства Великобритании. В 72% случаев это были электронные письма, которые мошенники отправляли сотрудникам различных фирм. Если у сотрудника компании хватит ума, чтобы не скачивать никакие файлы из «фишинговых письм», то уровень кибербезопасности данной организации будет гораздо выше.
В сентябре Институт Понэмона опросил владельцев малого и среднего бизнеса, подвергшихся кибератакам. Оказалось, что около 54% указали причиной взлома на ошибки сотрудников. Для сравнения этот показатель в прошлом году составлял 48%.
Из этого следует, что в Вашей системе безопасности сотрудники играют решающую роль. Именно они могут предотвратить или поспособствовать кибератакам ведущихся против Вас.
Британцы считают, что киберриски можно снизить на 80% путем профилактики IT-инфраструктуры и обучением сотрудников.
Им в этом плане несколько проще, так как в Великобритании есть схема сертификации поддерживаемая на правительственном уровне. Называется она Cyber Essentials Plus. Сертификаты получают только те, кто выполнит все необходимые рекомендации. Все сертифицированные компании проходят обязательную проверку на выявлении уязвимостей в безопасности.
Такой подход очень распространен в финансовых организациях.
Пожалуй самые сложные правила по кибербезопасности в мире были написаны в США, штат Нью-Йорк, которые вступили в силу с 1 января 2017 года. В других штатах подобные инструкции по кибезопасности находятся на стадии разработки.
Тем не менее Комиссия по ценным бумагам и биржам США опубликовала в конце сентября заявление, в котором говорилось о прогрессе в сфере кибезопасности по сравнению с прошлым месяцем.
Из оценок киберриска отдельных компаний складывается общая картина рисков мировой экономики. Повысив безопасность в каждой отдельно взятой фирме, понизятся риски мировой экономики.
Различные финансовые организации постоянно улучшают свой подход к кибезопасности в следующих направлениях:
- Разработка правил информационной безопасности
- Соблюдение правил информационной безопасности
- Тестирование информационной безопасности
- Аудит информационной безопасности
Каждая компания должна проводить оценку своей программы кибербезопасности не реже, чем раз в год. В эту процедуру входит проведение оценки риска кибербизнеса и анализ их возможностей, их пробелов и их общую компетентность в отношении контроля и их эффективности используемых инструментов безопасности.
Особое внимание уделяется тестированию. Только на практике можно проверить эффективность защиты Вашего бизнеса. Например, отправить своим сотрудникам фишинговое письмо и проверить их реакцию. Чтобы избежать убытков такие тренировки просто необходимы.
Все, кто работает в сфере информационных технологий, знают, что различная информация быстро устаревает. Поэтому нужно обеспечить своевременное обучение своих сотрудников. Все навыки должны быть обкатаны на примерах из реальной жизни, иначе это так и останется теорией. Желаю удачи Вам удачи! Пусть Ваши данные находятся под хорошей защитой.
