Киберустойчивость: стратегия выживания в цифровой экономике

Корпоративная кибербезопасность: риски, возможности и перспективы.

В рамках Петербургского международного экономического форума состоялась сессия «Киберустойчивость: стратегия выживания в цифровой экономике». Участники встречи обсудили, как сегодня обеспечить безопасность инфраструктуры в условиях постоянно меняющегося ландшафта киберугроз, почему страхование бизнеса от кибератак необходимая мера и когда ожидать создание рейтинга для оценки защищенности компаний.

В дискуссии приняли участие Михаил Бершадский, президент АО «АльфаСтрахование», Евгений Абакумов, директор по информационным и цифровым технологиям Госкорпорации «Росатом», Максим Зайков, заместитель генерального директора ПАО «ВымпелКом», Алексей Новиков, управляющий директор Positive Technologies, Алексей Баранов, генеральный директор Индид, Ксения Гаричкина, генеральный директор Resolute Dealing Terminal (RDT). Модерировал дискуссию ведущий телеканала РБК Аркадий Глушенков.

Евгений Абакумов обозначил основные риски, с которым сегодня сталкиваются компании при обеспечение киберустойчивости инфраструктуры. Он отметил, что для многих систем характерна гетерогенность:

«Технологическая независимость в оборудовании и ПО практически достигнута. Однако, есть еще большое количество систем разного уровня, которые мешают окончательно сказать, что процесс полностью завершен. Прежде всего это связано с финансовыми вопросами. Чтобы обеспечить устойчивость и монолитность архитектуры, необходимо вкладывать больше средств. Только тогда мы начнем понимать, как изменяется сегодня информационно-технологическая среда. Не стоит забывать, что устойчивость – это еще и надежность. Помимо того, чтобы быть защищенной, критическая информационная инфраструктура должна еще и работать, выполнять свои функции. Когда раньше мы взаимодействовали с большим количество иностранных платформ, в них были понятны риски и модели угроз. Сейчас системы стали гетерогеннее, и на них нужно тратить времени больше. Отсюда следует, что основной риск связан с тем, как мы изменяемся в сегодняшней среде.»

К дискуссии подключился Михаил Бершадский. Он рассказал о новом виде страхование в отрасли.

«Киберриски – новый вид услуги для страховых компаний. Мы столкнулись относительно недавно с таким видом проблемы. Могу сказать, что отрасль очень изменчивая и пока не до конца урегулирована. У нас есть огромный опыт в страховании имущества, ответственности, грузов. Все, что связано с киберрисками, это история последних пяти лет. Сегодня основной проблемой рынка могу назвать нехватку его мощности. Максимальная сумма покрытия страхового случая сейчас может составить выплату до 5 млрд рублей. Еще один вызов состоит в отсутствии опыта урегулирования убытков. Наша задача отработать технологию и показать клиенту, что в случае, если произойдет страховой случай, мы заплатим очень быстро.»

Модератор дискуссии Аркадий Глушенков уточнил у Михаила Бершадского, как компания действует в условиях развивающихся рисков и возможно ли выработать стратегию при постоянных изменениях ландшафта киберугроз. Спикер прокомментировал вопрос:

«Соглашусь, что самое новое, что сейчас есть на рынке, это постоянные изменения. Иногда нет возможности выяснить причину кибератаки быстро, а компании необходимо продолжать свою работу. Для этого мы используем предоплату: компенсируем 30%. Далее уже есть возможность разобраться, что стало причиной страхового случая: ИИ, мошенники, ошибка сотрудников. Еще одна проблема, с которой мы столкнулись, отсутствие судебной практики. Она пока не до конца устоялась. На это требуется время.»

Алексей Новиков присоединился к обсуждению вопроса того, как действовать в случае возникновения кибератаки, и согласился, что финансовый вопрос играет ключевую роль в последующем восстановлении инфраструктуры:

«Критическую роль во время инцидента имеет по большому счету первые 24 часа. Когда компания осознает, что у них произошла кибератака, необходимо моментально отвечать на множество вопросов и разрабатывать план дальнейших действий по восстановлению бизнеса. В 90-95% случаев необходимо привлечение внешних команд, потому что внутри компании часто отсутствует необходимая специализация по расследованию инцидентов и по реагированию на них. Самое главное, как правило, не хватает еще и ИТ-специалистов, тех, кто «работает руками». Далее необходимо бизнес обратно включить в работу. Если это компания B2C сегмента , провести еще и публичную коммуникацию. Все эти действия требуют больших затрат, поэтому, если у компании была страховка, то она действительно помогает при возникновении инцидента.»

Алексей Баранов затронул еще одну проблему в оценке киберустойчивости компании:

«На данный момент нет методологии, которая оценит киберустойчивость той или иной компании. Например, есть привычное понятие финансовой устойчивости. По ней можно оценить определенный рейтинг компании, а в вопросах готовности противостоять атаки никаких критериев пока нет. В этом направлении необходимо работать, вести диалог с регулятором и с активными участниками рынка. Думаю, что в скором времени обязательно этот вопрос будет решен.»

Спикер так же прокомментировал ситуацию на рынке информационной безопасности в стране сегодня:

«Могу отметить, что в отрасли было сделано многое. У нас огромное количество профессионалов, свои классные собственные продукты. Все это было создано в результате стратегии по импортозамещению. Безусловно, есть новые вызовы. Они связаны с ИИ. Здесь на полях форума об этом много говорили. Мы прекрасно понимает, что технология отлично пишет код и также хорошо ищет баги. Думаю, мы будем заниматься написанием легаси-кодов еще продолжительное количество времени.»

Алексей Новиков продолжил тему создания системы оценки компаний в устойчивости к киберугрозам:

«Необходимо создать определенный киберрейтинг. Подходить к этому вопросу надо системно. Со своей стороны, могу так же прокомментировать ситуацию на рынке. На мой взгляд, она парадоксальная. Мы как компания по кибербезопасности смотрим уязвимости компании. Для себя у нас сформулированы пять критериев киберминумума. Если один из них не выполняется, как, например, критическая уязвимость на периметре, мы даже можем страховым партнерам не рекомендовать сотрудничать с такой компанией. С большой долей вероятности она либо уже взломана и не знает об этом, либо сегодня-завтра это случится. Так можно охарактеризовать нижний уровень плохих компаний. С другой стороны, есть другая оценка. Это такие компании-спортсмены. Они много обучают свои команды и внедряют разработки. На рынке так же есть такой инструмент как кибериспытание. Когда компании приглашают белых хакеров взломать инфраструктуру. Можно сказать, что они находятся наверху рейтинга в неформальной оценке по киберустойчивости.»

Михаил Бершадский так же поддержал идею киберрейтинга. Он добавил, какие критерии необходимо учитывать при создании системы оценок.

«Необходимо появление базового стандарта. Очевидно, что расходы на кибербезопасность в ближайшие годы будут очень сильно расти. В условиях пока незрелого рынка многие компании не готовы закладывать в бюджеты увеличение затрат. Однако, когда появится рейтинг, многие поймут, что инвестиции необходимы. Ведь низкая строчка может влиять на уход клиентов или дорогую страховку. Со своей стороны, могу сказать, что мы как страховая компания заинтересованы в создании системы оценки.»

К дискуссии про формировании определенного рейтинга для оценки надежности компаний присоединился Евгений Абакумов:

«Создание рейтинга – правильная вещь. Мы работаем с огромным количеством поставщиков. У нас есть еще определенные ограничения, связанные с законами в части закупок. На мой взгляд, здесь важная нормативная работа с регулятором в части формирования системы оценок киберустойчивости компаний.»

О кибербезопасности в телекоммуникационной отрасли рассказал Максим Зайков. Он добавил, что вызовы меняются регулярно, и необходимо постоянно тестировать инфраструктурыу для сохранения устойчивости.

«Мне понравилось сравнение с киберспортсменами. Могу точно сказать, что наша компания – киберспортсмен. Причем подготовка не обходится нам дешево. Со своей стороны, могу добавить, что недостаточно выполнить базовый уровень для обеспечения кибербезопасности, необходимо постоянно развиваться и защищаться на всех уровнях. Здесь важна и регулярность: тестировать надо как новые, так и старые системы. Чем больше ты проверяешь систему на устойчивость, тем менее больно при возникновении какого-либо инцидента. На мой взгляд, стоит воспринимать постоянную проверку безопасности вашей компании как базовую вещь.»

Своим мнением о важности кибербезопасности во внешнеэкономической деятельности поделилась Ксения Гаричкина.

«В силу того, что мы работаем с ВЭД, у нас возникает дополнительный комплаенс-риск. Сегодня мы говорим не только о проверке контрагента, но в повестке законопроекта о цифровой валюте, цифровых правах, активной практике применения цифровых валют как инструмента расчета в рамках стран BRICS, у нас возникает новая форма комплаенс, которая называется KYT – «знай свою транзакцию». Мы, безусловно, обязаны смотреть и на свои внутренние риски, и на внешние риски, и на риски, связанные тем более с так называемыми финтех-процедурами. Если мы говорим про внешнеэкономический контур, то мы прекрасно понимаем, что важно учитывать регулирование разных стран. Здесь мы считаем, что необходимо сегментировать ответственность за риски, в рамках каждой юрисдикции, то есть развертывать мощности на государственных аккредитованных ресурсах внутри каждой юрисдикции.»