В современных условиях кибер-угрозы превратились для бизнеса в обыденное явление. Но при наличии необходимых знаний и инструментов можно защитить компанию, её сотрудников и клиентов от потенциальных кибер-атак. Роберт Маннелли описывает алгоритм действий, который поможет достичь максимального уровня кибер-безопасности в долгосрочной перспективе (Статья «5 Ways to Bolster Cyber Safety and Minimize Risk» для сайта Corporate Compliance Insights, июль 2019 года).

1.  Учет и планирование угроз кибер-безопасности

Жертвами кибер-взломщиков могут стать, как частные лица, так и компания в целом, поэтому устранение потенциальных рисков необходимо планировать заранее. Случаи нарушения безопасности наносят ущерб предприятиям любого масштаба во всех отраслевых сегментах. Не следует ожидать наступления угрозы для перехода к составлению планов и осуществлению усилий. Речь идет о нарушениях, связанных с мошенническими операциями, денежных переводах на офшорный счет, сроках продажи компании, играющих на понижение, поскольку покупатель, проявив должную осмотрительность, раскрыл историю нарушений, либо отсутствии разумной защиты. Всех этих ситуаций можно избежать при соответствующих планировании и координации.

2.  Письменный план информационной безопасности (WISP)

WISP отражает специфическую для компании оценку рисков для юридически защищенных данных и связанных с ними потерь. В минимальных масштабах WISP должен обращаться к следующим моментам:

  • диапазон плана (географическая область, с включением либо исключением филиалов компании)
  • лица, ответственные за выполнение и обновление положений WISP
  • пароли пользователей и контроль доступа
  • программное обеспечение и оборудование для защиты от угроз и вторжений
  • шифрование ноутбуков, содержащих конфиденциальные данные, сведения, передаваемые по широкополосной сети, и данные, хранящиеся во внутренних сетях компании
  • физическая безопасность (например, безопасность входных дверей либо кабинетов)
  • периодическое тестирование на безопасность
  • договорные меры защиты относительно поставщиков, имеющих дело с защищенными данными компании
  • ежегодное обучение сотрудников правилам безопасности
  • проведение обязательной проверки после обнаружения нарушений
  • ежегодное обновление WISP.

Если Ваш план информационной безопасности не охватывает выше указанных элементов, следует принять меры для его качественного обновления.

3.  Реализация дополнительных планов и политик, связанных с данными

WISP не является панацеей Вашей компании относительно кибер-безопасности. Иные важные процедуры включают в себя:

  • План реагирования на инциденты (IRP). Наличие письменного плана реагирования на нарушения позволяет принимать решительные меры и минимизировать потенциальные издержки. Надежный IRP охватывает:

—  членов внутренней команды реагирования (включая лиц, ответственных за WISP, представителей высшего руководства, штатных юристов, руководителей IT-департаментов и отдела кадров)

—   внешних членов команды (в том числе юрисконсульта по нарушениям, привлеченных специалистов по связям с общественностью, компьютерных экспертов и страховых брокеров)

—   ключевой алгоритм действий по реагированию на нарушения в составе следующих процедур:

—   документирование инцидента и времени его наступления

—  изоляцию «зараженного» оборудования

—  привлечение криминалистов и адвоката для проведения опроса лиц, имеющих отношение к нарушению

—  информирование сотрудников о важности избегания необоснованных предположений относительно причин инцидента

—  выявление страховых полисов, связанных с утечкой данных, а также выполнение законодательных норм о нарушении данных.

—  сценарии игровых (обучающих) ситуаций, особенно актуальные для крупных корпораций.

  • План экстренного реагирования/восстановления данных. Компании обязаны разработать продуманный алгоритм реагирования на потерю или отсутствие доступа к данным в случае стихийных бедствий, серьезных нарушений или атак с использованием вирусных программ, а также обеспечить скорейшее восстановление сети. Необходимо располагать контрактами о резервном копировании данных за пределами внутренней платформы компании в соответствии с масштабом и важностью данных для минимизации ущерба бизнесу в случае простоев.
  • Условия использования веб-сайта/Политики конфиденциальности. Компаниям следует ориентироваться на условия пользования, которые четко определяют способы неправомерного использования веб-сайта и оговаривают возможные основания для привлечения компании к ответственности перед пользователями. Условия использования разрабатываются либо имеют тесную связь с политикой конфиденциальности, раскрывающей действия компании относительно пользовательских данных. Такая политика приобретает все большее значение в свете нового Общего европейского регламента о защите данных (GDPR). Согласно положениям документа, контроллеры данных должны получить четкое письменное согласие на обработку компанией личной информации клиента. Компании уже не могут полагаться на согласие по умолчанию, поскольку обязаны демонстрировать регуляторным инстанциям прогресс фирмы относительно адаптации к пунктам GDPR.
  • Альтернативные политики, связанные с данными. Предприятия должны разработать ряд политик в отношении данных, требуемых действующем законодательством либо отдельными правилами, такие как соглашения деловых партнеров HIPAA/HITECH, стандартные условия контрактов в соответствии с GDPR, кодифицирующие минимально необходимые гарантии обеспечения безопасности информации, условия распространения мобильных приложений и пр.

4.  Компании с интенсивным использованием данных должны рассмотреть необходимость кибер-страхования

Предприятиям с розничными бизнес-направлениями или высоким потенциальным риском потери данных необходимо сфокусировать внимание на кибер-специфических страховых полисах в качестве дополнения к другим видам страхования. Компании обязаны тщательно исследовать сферы охвата, подходящие для бизнеса. Например, покрывает ли установленная политика только собственные расходы компании или защищает от претензий со стороны пострадавших потребителей и других лиц. Следует также акцентировать внимание на характере покрываемых расходов, имеющих отношение к проведению экспертизы нарушений, судебным издержкам, рассылке клиентам, колл-центрам, сборам за уведомления о нарушениях и предложениям по замораживанию кредитов для пользователей.

5.  План ежегодных проверок и улучшений безопасности данных

Поскольку кибер-угрозы стремительно расширяются, WISP Вашей компании, политика в области данных, методы обучения сотрудников, аппаратное и программное обеспечение для защиты от угроз и страхование также должны развиваться в геометрической прогрессии. Ежегодные обзоры WISP, как и регулярные инвестиции в аудит безопасности, могут выявить критические моменты, требующие исправлений. В частности, аудит безопасности предоставляет первоочередные рекомендации для немедленных, среднесрочных и долгосрочных действий, которые могут помочь в управлении бюджетами компании.

Таким образом, кибер-угрозы являются одной из многих реалий современного бизнеса. Знание рисков и составление планов облегчат компаниям разработку стратегии для устранения кибер-атак или, в случае инцидента, подготовят к надлежащему реагированию и минимизируют ущерб для Ваших клиентов, сотрудников и предприятия в целом.

Читайте также: