Готовы ли банки к кибератакам?
Биа Бедри из KPMG в Великобритании анализирует мнения высших руководителей банков о роли кибербезопасности в современном мире, а также делится своими мыслями и идеями о том, как превратить кибербезопасность в конкурентное преимущество.
В последние годы руководители банков достигли заметных успехов в решении проблем кибербезопасности. Большинство банков вкладывает значительные средства в обеспечение кибербезопасности, а их высшее руководство считает успешное решение этой задачи частью своей личной ответственности. В подавляющем большинстве случаев банкам удавалось предотвращать масштабные инциденты, выполнять требования регулирующих органов и повышать свою осведомленность о рисках.
На этом фоне заявления руководителей о росте уверенности в способности руководимых ими банков успешно противостоять киберугрозам представляются вполне закономерными. Так, в ходе последнего глобального опроса, проведенного KPMG International в прошлом году, в котором приняли участие 120 высших руководителей банков, 42% опрошенных заявили, что на сегодняшний день они «полностью готовы» отреагировать на любой киберинцидент (нельзя не отметить существенный рост этого показателя по сравнению с прошлым годом (19%)), и как минимум 6 из 10 опрошенных руководителей ответили, что полностью готовы предотвратить утечку клиентских данных или противостоять программным атакам.
Руководители банков демонстрируют настолько высокую уверенность в этом, что создается впечатление, что они искренне считают умение сдерживать киберугрозы фактором улучшения репутации и укрепления доверия клиентов. В ходе опроса 2/3 респондентов ответили, что рассматривают инвестиции в проекты кибербезопасности как возможность обеспечения новых потоков поступлений дохода и развития инноваций: так, о своих планах по увеличению инвестиций в проекты кибербезопасности в следующие три года заявили 78% респондентов.
Как поразить движущуюся цель?
Несмотря на то что у руководителей банков есть масса поводов быть уверенными в эффективности проделанной работы, мой опыт работы с ведущими банками на протяжении последних 20 лет говорит о том, что некоторые из руководителей могут попросту недооценивать всю серьезность задачи.
Реальность такова, что быть «полностью» готовым к киберинциденту очень и очень сложно. Отчасти потому, что характер угроз и векторы риска постоянно меняются, а кибервзломщики постоянно приспосабливаются к вырабатываемым против них средствам защиты. В то же время причинами возникновения новых и порой непредвиденных киберрисков становятся разработка, внедрение и переход на новые технологии и бизнес-модели. Трудно быть «полностью» готовым к чему-то, что меняется, причем меняется стремительно.
Ответ о «полной готовности» также может означать, что несмотря на несомненный рост осведомленности о киберрисках на уровне совета директоров, сама идея не транслируется на нижестоящие уровни в структуре управления так, чтобы была возможность составить полное представление о риске или оценить реальный характер риска, которым пытаются управлять. Чаще всего к кибербезопасности относятся как к дисциплине чисто технического характера и набору средств контроля, нежели как к инструменту, который помогает вникнуть в истинную суть киберрисков и осознать их влияние на бизнес. Гораздо легче просто знать, работает то или иное средство контроля или нет, и куда сложнее понимать операционный риск от начала до конца.
Данные опроса также указывают на возможный разрыв между осведомленностью руководства и фактически принимаемыми им мерами. Руководители банков могут знать о проблеме, делать серьезные денежные вливания и заниматься разработкой уместных с точки зрения ситуации концепций и контролей, но если рядовые сотрудники не понимают природу риска и не берут на себя ответственность за управление им, результатом всех этих усилий может стать лишь ложное чувство защищенности.
Чтобы спокойнее спать по ночам
У высших руководителей банков есть множество поводов гордиться успехами в сфере обеспечения кибербезопасности, но ни в коем случае нельзя останавливаться на достигнутом. Не переставайте повышать уровень осведомленности о рисках и среде с высоким уровнем угроз. Продолжайте стремиться к укреплению способности организации противостоять угрозам кибербезопасности. Продолжайте делать все, чтобы совершенствовать организацию, всегда быть в курсе дел и повышать уровень ответственности. И не жалейте средств на развитие технических возможностей в сфере кибербезопасности (критически важно для обеспечения безопасности постоянно совершенствующейся технологической инфраструктуры бизнеса).
И все же мой опыт подсказывает, что есть еще ряд областей, на которые руководителям банков следует обратить особое внимание, если они хотят превратить кибербезопасность в реальное конкурентное преимущество.
Повышение качества обсуждения вопросов, входящих в компетенцию совета директоров. Отчасти речь идет об упрощении отчетности, чтобы лица, ответственные за принятие решений, могли сосредоточить внимание на наиболее серьезных рисках. Но речь также идет и об изменении направления дискуссий – с чисто технического на бóльшей частью стратегическое, ориентированное на бизнес. Также советам директоров стóит включить кибербезопасность в реестр бизнес- и операционных рисков, что фактически будет означать признание кибербезопасности в качестве объекта постоянных и неотъемлемых бизнес-рисков, а не просто дополнительного компонента. Это усилит восприятие бизнеса как единого целого и поможет в выявлении непредвиденных, но сопутствующих бизнесу рисков.
Повышение актуальности для бизнеса. Для того чтобы взять ответственность за управление риском, компании вначале необходимо вникнуть в его суть. Под этим подразумевается объяснение риска на языке бизнеса, подкрепленное доступными для понимания данными и примерами, подтверждающими реальное влияние этого риска. Некоторые банки начинают работу в этом направлении с переложения абстрактной информации о киберугрозах на более понятный язык бизнес-процессов и показателей, таких как сумма предотвращенного мошенничества и риска ответственности перед третьими лицами или защита важнейших бизнес-данных.
Интеграция кибербезопасности в корпоративную культуру. Если произошел сбой в том или ином средстве контроля, его можно легко устранить. Гораздо труднее изменить модели поведения. Руководителям банков придется постараться сформировать культуру кибербезопасности, в рамках которой осведомленность и индивидуальная ответственность должны быть сбалансированы с растущей потребностью в бизнес-инновациях и обладать достаточной гибкостью. Правильная общая позиция руководства безусловно важна, но в данном случае речь идет о том, чтобы сформировать правильное отношение к вопросу кибербезопасности у работников, которым они будут руководствоваться в своей ежедневной работе.
Мониторинг рисков и вложений в обеспечение кибербезопасности. Всем известно, что банки вкладывают огромные средства в обеспечение кибербезопасности, однако лишь немногие из них способны четко объяснить, как именно эти вложения меняют профиль рисков или как предпринимаемые усилия помогают смягчать риски. Для того чтобы отдача от этих вложений была более весомой, руководителям банков необходимо начать с усовершенствования процедуры мониторинга рисков и производимых вложений.
Оценка модели реагирования на риски кибербезопасности. Взгляните на экосистему безопасности своей организации в целом и постарайтесь выявить возможности, при помощи которых можно было бы повысить эффективность и обеспечить более высокую согласованность технических возможностей по реагированию на угрозы кибербезопасности в рамках всей организации. Найдите области, в которых автоматизация и искусственный интеллект могли бы повысить результативность и обеспечить более качественные результаты. Если потребуется, привлеките сторонних провайдеров услуг и консультантов, которые обладают уникальными знаниями, навыками и опытом и которые смогут помочь вашим специалистам в успешном решении поставленной задачи.
Подбор высококлассных специалистов. Поиск и удержание высококвалифицированных специалистов в области кибербезопасности станут более проблематичными, поскольку организации практически всех секторов озаботились вопросом улучшения качества реагирования на киберугрозы. Однако помимо подбора классных специалистов в этой области банкам потребуется найти (или обучить своими силами) профессионалов, которые будут способны не только действовать на опережение, но и сделают так, чтобы бизнес начал воспринимать кибербезопасность как исключительно серьезный аспект.
Не опускайте руки!
В этой нескончаемой кибербитве легко впасть в уныние и потерять боевой дух, но руководителям банков не стóит опускать руки – пока они делают все правильно и перевес на их стороне. Им нужно просто продолжать делать то, что они делают сейчас. Но если они хотят сделать кибербезопасность своим конкурентным преимуществом, им придется предпринять дополнительные усилия по всем ключевым направлениям.