Написах тази статия, защото смятам, че натрупаният от мен през последните 15 години опит може и трябва да бъде споделен. Разгледаните примери и изводи имат за цел да изострят вниманието на хората, взимащи важните решения за бизнеса към темата за киберсигурността.
1. Недостатъчна възвръщаемост на инвестициите
Повечето мениджъри, които съм срещал, са рационални и разумни. Имам предвид, че логично те вземат повечето от решенията си под неумолимия натиск на процентите, числата, диаграмите, счетоводните анализи и т.н.. Същите тези разумни бизнесмени влизат в конфликт със собствения си стил на работа, когато става дума за разходи за киберсигурност.
Често чувам коментари като: „Нямаме повишени приходи, нито повече клиенти, нито постигаме резултатите с по-малко работа, за какво тогава отчитаме толкова разходи за някаква невидима заплаха?“ Отговорът е може би болезнен, но безспорно еднозначен – за да може компанията ви изобщо да се развива и да остане в бизнеса.
Разбира се, бих могъл да, използвам сложни математически формули и анализи, които в крайна сметка да обосноват смисъла на вложените средства. Но предпочитам да дам конкретни примери с компании, които по презумпция се считат за „недосегаеми“ в сегмента си. Британската фирма Comparitech, специализирана в пазарни проучвания, направи прави много интересно изследване с 24 компании, сред които Equifax, Experian, Sony, Under Armor, Vodafone, T-Mobile, JP Morgan Chase, Dun & Bradstree. Общото е, че всяка от тях е претърпяла инцидент с киберсигурността. Резултатите показват, че две в продължение на 2 години след кибератаките тези компаниите отчитат спад с над 11% в индекса NASDAQ. Ако добавим към това и скорошния инцидент с Colonial Pipeline — най-голямата тръбопроводна система на САЩ, която прекъсна доставките на газ и петрол за източното крайбрежие след агресивна кибератака, щетите от която все още не са ясни. Но за размера им говори фактът, че компанията осигурява 45% от горивото за тази част на САЩ.
Общото между всички тези компании е, че те са получавали препоръки за подобряване на киберсигурността, но по-различни причини те не са реализирани или просто не са разглеждани като приоритет.
2. Моята компания е взела всички необходими мерки
Ако един мениджър наистина разсъждава така, то бизнесът, който управлява, вече има много сериозен проблем. Няма компания, която да е взела всички мерки, защото няма компания, която да е наясно с всички възможни заплахи. Още по-малко да е подготвена да им се противопостави.
Ето ви още един отрезвяващ пример: казино в Атлантик сити губи огромно количество конфиденциални данни, въпреки че на практика комуникацията на системите им с външния свят е невъзможна, а всяко действие на персонала е разглеждано под лупа. Сигурността е обезпечена с достатъчно бюджет и квалифициран персонал, но въпреки това казиното губи 10Gb данни - които се равняват на 175 000 слайда в PowerPoint или 650 000 в Microsoft Word – преди да открие пробива в системата са сигурност. Уязвимото място се оказва... термометър в аквариум с екзотични рибки, който постоянно праща данни за температурата и солеността на водата до компютрите на компанията, която поддържаща аквариума. Хакери успяват да пробият компютърната мрежа на поддържащата компания, откъдето се сдобиват и с достъп до данните на казиното.
Това е доказателство, че оценката на рисковете за киберсигурността е процес, който никога не трябва да се приема за завършен. За предпочитане е този процес да се управлява и контролира от мениджмънта и не бива неговото участие да се свежда само до получаване на формални доклади от отговорните служители. Защото киберсигурността е част от бъдещите бизнес планове на компанията и тя трябва да бъде адекватна на нейните амбиции за развитие и разширяване.
3. Бизнесът ни не е интересен за киберпрестъпниците/Компанията ни е твърде малка, за да бъде интересна за атакуване.
Ефектът от този начин на мислене е еднозначен: на всеки 11 секунди някъде по света компания преустановява дейност, заради криптиране на данни. Някои от тях, в отчаян опит да се върнат в оперативен режим, дори плащат откупи в криптовалута, вариращи от няколко хиляди до няколко милиона.
Статия в българския портал за киберсигурност freedomonline.bg от май 2021 цитира изследване, че едва 8% от платилите откупа фирми получават обратно всичките похитени данни. За киберпрестъпниците не е важно какво мисли мениджърът на дадена компания – атакуват се възможно най-много цели с идеята да получат откуп. Ако не се доберат до парите, хакерите не губят нищо: вие оставате с криптирани данни, а те вече преговарят със следващата жертва.
Това е само един от възможните сценарии, а арсеналът от варианти за изнудване не се ограничава само до заключване на файловете. Краде се информация, която се предлага на конкуренти, заплашват ви, че ще я предадат на регулаторни органи, ще я направят публично достояние и т.н. За малките компании обикновено има „специална“ цена, а с големите се преговаря, като при нормална търговска сделка.
Съветът ми е никога да не се подвеждате по размера компанията и бизнес сегмента в който оперира тя. За киберпрестъпниците сте просто IP адрес и серия от уникални идентификатори, с които да ви различат от всички останали жертви, ако решите да си платите. Те не се интересуват от размера на бизнеса ви, а само дали и колко могат да получат от вас.
4.Съответствието с GDPR и ISO27001 не дава добавена стойност и само затруднява работата
Звучи странно, но голяма част от мениджърите смятат, че мерките за кибербезопасност нямат никаква добавена стойност. От гледна точка на моя опит и след като съм се запознавал с някои от реализираните в техните компании проекти, съм склонен да приема тяхната логика. Защото те имат право. Но само при лошо реализирани проекти за кибербезопасност. За мен основен критерии за провал е участието на миниджмънта в разработката на системата за киберсигурност. Широко разпространена практика е ръководството на фирмите да участва епизодично или пък изобщо да не се включва в работните групи. Разбирането, че консултантите или вътрешните екипи ще свършат необходимото е меко казано погрешно. Причината е, че при внедряваре на подобни системи за управление абсолютно винаги и без изключения са нужни промени в един или повече бизнес процеси, необходима е съществена еволюция в работните навици на персонала, нужни са нови технически средства и т.н. Когато мениджърите не са пряко въвлечени в процеса по имплементация, отговорните служители откровено вървят по пътя на най-малкото съпротивление, избягвайки конфликти с колегите си и трудни разговори с ръководството за нужните промени. Така, вместо добавена стойност, дори с помощта на най-добрия консултант, крайният резултат е твърде далеч от необходимото ниво.
Разбира се безбройните самопровъзгласили се „консултанти“, които буквално се упражняват върху клиентите си, също носят част от вината, но тук пак се връщаме към отговорността на мениджмънта – той в крайна сметка е избрал да работи с неправилните хора.
И накрая нека да подчертая още нещо - съответствието със закони и стандарти е за да съществува доверие от клиенти и партньори на бизнеса, без да е необходимо да доказвате пред всеки от тях, че сте отговорна компания. За мениджърите на стотици хиляди фирми, които смятат, че GDPR не се отнася за тях бих искал да припамня, че през май 2021 година общата стойност на глобите достигна малко над €43 млрд. На кибервойна като на война!
5. Излишно е да провеждаме обучения по киберсигурност за всичко служители
За съжаление никоя инвестиция в технология не може да компенсира дефицитът на познания у служителите и бизнес партньорите ви – поне не в близко бъдеще. Ако не се инвестира в постоянно поддържане и надграждане знанията на персонала, то рискувате всички вече предприети мерки, направени инвестиции и усилия да са напразни или най-малкото слабо ефективни. Човешката грешка е причина за над половината от всички успешни кибератаки. Данни, публикувани от IBM, показват, че 19 от 20 успешни кибератаки са в следствие на човешка грешка – иначе казано, това са 95%. Доказано е, че най-високо ефикасния подход е постоянното обучение на хората в организациите. Повишаване на знанията им с конкретни примери от ежедневната им работа допълнително мотивира бдителността им и готовността да изпълняват вътрешните правила. От личен опит мога да кажа, че организациите, които започнаха да провеждат обучения два или повече пъти годишно увеличиха броя на докладваните инциденти значително, защото хората са стимулирани да го правят. За сметка на това, сериозните проблеми с киберсигурността при равни други условия почти напълно изчезнаха, година след стартиране на програмата обучения..
Уважаеми мениджъри, тази статия няма претенции за изчерпателност по темата киберсигурност. Заедно с моите чудесни колеги наблюдаваме и управляваме процеса, наречен киберсигурност на десетки български и международни компании, които вече го разглеждат като неразделна част от съществуването на бизнеса им. Горе написаното за мен е лично преживяване, макар съвсем умишлено да давам за пример големи международни компании. Мениджърите призовавам - помислете още веднъж, когато прекроявате бюджетите за киберсигурност, говорете с хората си, не се притеснявайте да потърсите помощ от външни специалисти – с гарантирането на вашата кибер сигурност си осигурявате, че оставате в играта, наречена свободен пазар.