Останні кілька років ознаменувалися помітними змінами у відношенні того, як компанії захищають свої мережі. Фахівці з комерційних організацій стали більше дивитися вглиб проблеми. Вони відстежують як вхідний, так і вихідний мережевий трафік за допомогою систем виявлення зломщиків.
Відповідно до припущень ринкових дослідників, витрати на кібербезпека за останній час щорічно збільшувалися, приблизно, на 10%. Очікується, що ця тенденція продовжиться і протягом наступних кількох років. Так, після злому системи кредитних карт Target, представники компанії в десятикратному обсязі збільшили витрати на захист електронних даних, створили спеціальний центр безпеки і розмістили сучасні системи захисту. Деякі аналітики висловлюють думку, що використання іншій конфігурації систем охорони Target могло запобігти нападу — але це всього лише припущення.
Однак, як би там не було, хакери змогли відшукати лазівку; і, ймовірно, до тих пір, поки зломи комп’ютерних мереж будуть приносити великі суми, їм це завжди буде вдаватися. Тим часом зростає вартість збитків від хакерських атак — згідно з недавнім дослідженням, з минулого року цей показник збільшився на 15%. І це без урахування репутаційних втрат, які несуть бізнес-організації, а такі втрати часом досить відчутні.
Інтернет створювався без належної уваги до питання про безпеку, тому кіберзлочинці — на крок попереду у цифровій гонці озброєнь. І нові технології не завжди панацея, оскільки якщо уразливості програмного забезпечення назавжди підуть у минуле, людський фактор нікуди не зникне. Підвищення якості систем безпеки, що спостерігалося останнім часом, супроводжувалося активністю так званих соціальних інженерів — вони вдаються до тактики точкового фішингу, сподіваючись приспати пильність користувачів.
І хоча зломи мереж неминучі, це не означає, що організації безсилі перед хакерами і нічого не можуть їм протиставити.
У першу чергу необхідно перевірити наявність базових заходів захисту — заходів, покликаних зменшити потенційний збиток.
Управління радіотехнічної оборони Австралії склало список з 35 стратегій зменшення ризиків, які можуть бути використані організаціями. Співробітники SANS Institute склали аналогічний перелік тактик, те саме зробили люди з Національного Інституту стандартів і технологій США та Міжнародної організації зі стандартизації. Ці ініціативи включають так звані білі списки програм (використання яких допускається в комп’ютерних системах), регулярне усунення вразливостей ПЗ, відділення конфіденційної інформації від іншої і обмеження до неї доступу. Такі вельми нехитрі рішення здатні ускладнити хакерам завдання доступу до мережі і знизити до мінімуму потенційний збиток.
У ході дослідження, що проводилося в 2013 році, виявилося, що наявність плану реагування на події — суттєвий фактор зменшення ціни злому. Виявилося, що організації, у яких був такий план, несли на 22% менше збитку від кібернападів. Для порівняння, наявність грунтовного підходу знижує втрати на 18%, присутність спеціаліста з питань інформаційної безпеки — на 12%, стороння підтримка — на 7%.
Одного лише плану для IT-департаменту не вистачить. Для ліквідації серйозних проломів необхідно застосовувати відповідні стратегії і тактики. Для цього план безпеки повинен поширюватися і на інші відділи організації. Надійний план повинен описувати процес, якому необхідно слідувати фахівцям з команд екстреного реагування. Однак він може виявитися недостатньо ефективним, якщо буде малозрозумілий для команди співробітників з відділу безпеки, або ж якщо не будуть враховуватися інші, не менш важливі аспекти. Підготовка і навчання — найкращий і єдиний дієвий спосіб протистояти можливим атакам хакерів.
З усього перерахованого випливає логічне запитання: хто відповідальний за питання, пов’язані з безпекою, і, що більш важливо, хто за це повинен платити? Як правило, за фінансування відповідає генеральний директор і рада директорів компанії.
Більшість організацій переживає серйозні кризи кожні 3-5 років, і те, як керуючі реагують на кризові ситуації, впливає на їх репутацію. Інформаційні витоку не єдина проблема, з якою стикаються компанії, адже слід думати про те, що робити, наприклад, на випадок виникнення стихійних лих, стежити за стабільністю розмірів оброблених виробів та інше, та інше, та інше … Заходи, спрямовані на зниження зазначених ризиків, по своїй суті дуже схожі з заходами проти хакерських атак. Гендиректорам і топ-менеджерам звичніше боротися з традиційними різновидами загроз, ризики ж, що відносяться до кібербезпеки, відносно нові. Змусити менеджмент задуматися над усіма цими питаннями — лише один з викликів, пошук відповідей у зрозумілій для них формі — ще один. Діалог з питань інформаційної безпеки не завжди представляється можливим. Але найчастіше це ключ до отримання потрібного фінансування та організаційної підтримки, настільки необхідної для подолання наслідків інформаційних витоків і зломів.