Опубликовано ежегодное исследование «Перспективы глобальной кибербезопасности» на 2023 год, приуроченное к Всемирному экономическому форуму.
Этот год станет важным годом для кибербезопасности, считают эксперты, собравшиеся в Давосе. Экономическая и геополитическая нестабильность в мире приведет к расширению ландшафта угроз и все более изощренным кибератакам.
«Надвигается кибершторм, — считает Сэди Криз, профессор кибербезопасности Оксфордского университета. — Назревает буря и трудно предвидеть, насколько все будет плохо».
Геополитическая нестабильность, усиление регуляторной политики, быстрое развитие новых технологий, нехватка кадров, растущие ожидания акционеров — это лишь некоторые проблемы, с которыми сталкиваются руководители компаний и специалисты по информационной безопасности (CISO). Если итоги «Перспектив глобальной кибербезопасности 2022» затрагивали такие проблемы как последствия пандемии и вызванной COVID-19 быстрой цифровизацией, то «Перспективы глобальной кибербезопасности» этого года отражают беспокойство по поводу все более фрагментированного и непредсказуемого мира.
Повышение киберустойчивости во всем мире было одной из ключевых задач Центра кибербезопасности Всемирного экономического форума с момента его создания. Неотъемлемой частью этой работы является развитие коммуникацией между государственным и частным секторами, а также между экспертами в области кибербезопасности и лидерами бизнеса.
В этом году Центр опросил руководителей компаний и CISO о грядущих киберугрозах. Исследователи оценили итоги своей прошлой работы и перспективы на будущее. Как показало исследование «Перспективы глобальной кибербезопасности» на 2023 год, руководители компаний все больше погружаются в вопросы кибербезопасности и рисков, а проблемы устойчивости выходят на первый план. Однако топ-менеджменту и департаментам кибербезопасности еще предстоит найти общий язык для согласования наилучших способов устранения киберрисков для организаций.
Результаты проведенного исследования показывают изменение взглядов топ-менеджеров на проблемы кибербезопасности и их восприятие киберугроз, что оказывает влияние на организации по всему миру.
Геополитика и изменение ландшафта угроз
Характер киберугроз изменился. Респонденты считают, что кибератаки будут направлены на разрушение бизнеса и нанесение ущерба репутации.
Глобальная геополитическая нестабильность помогла сократить разрыв в восприятии важности управления киберрисками бизнесменами и специалистами по ИБ: 91% респондентов считают, что имеющие отдаленные последствия катастрофические киберинциденты вероятны в ближайшие два года.
43% руководителей организаций считают вероятным, что кибератака повлияет на работу их компании в перспективе двух лет, поэтому вкладывают больше средств на текущие задачи, чем в долгосрочные инвестиции в ИБ.
Геополитика оказывает влияние на инвестиции, в т. ч. в ИБ компаний и организаций.
Руководство компании понимает, что кибербезопасность организации зависит от ИБ всех партнеров и клиентов, включая цепочку поставок.
Менеджмент намерен усилить контроль за третьими сторонами, имеющими доступ к среде и/или данным, и готов провести переоценку того, в каких странах компания ведет бизнес.
CISO, руководители и члены правления имеют почти одинаковое понимание киберрисков, связанных с геополитической нестабильностью, чем с любым другим источником киберрисков. Этому способствует широкое освещение последствий в новостях. Топ-менеджеры приспосабливают компании к новым политическим реалиям. Геополитический риск становится отправной точкой для разговора между руководством и CISO о смене вектора киберугроз и влияния киберрисков на планирование непрерывности бизнеса организации.
Большинство респондентов отметили, что геополитическая нестабильность повлияла на стратегию кибербезопасности их компаний. Принимаемые организационные меры реагирования на киберриски окажут положительное долгосрочное воздействие.
Однако изменчивость характера киберугроз, разнообразие типов вредоносных программ и кибератак, а также целей создает трудности при стратегическом планировании внутренней кибербезопасности организации. Некоторые компании перешли на краткосрочное (трехмесячное) планирование, не поскольку планирование на год становится неактуальным из-за быстроменяющегося ландшафта угроз.
Если топ-менеджеры уделяют внимание собственным решениям по управлению киберрисками, то CISO придают большее значение партнерским отношениям с другими организациями.
Многие организации реализуют крупные проекты цифровой трансформации, что создает угрозы киберустойчивости. Необходим баланс между новыми технологиями и потенциальным повышением киберрисков.
Нормативное регулирование
Исследование показывает значительный сдвиг в восприятии влияния нормативных актов на киберриски. «Правила кибербезопасности и конфиденциальности эффективны для снижения киберрисков в организаций», — с этим утверждением в 2023 г. согласны 73% респондентов, в то время как годом ранее поддержали утверждение менее половины опрошенных.
Несмотря на сохраняющиеся проблемы с соблюдением требований нормативно-правовых актов, в части смягчения последствий крупномасштабных событий требования регуляторов все чаще рассматриваются как эффективная мера в области кибербезопасности.
Значительное увеличение числа киберинцидентов, связанных с ними штрафов, расследований и взаимодействий частных компаний с правоохранительными органами усилило восприятие нормативных актов как критического фактора, влияющего на киберустойчивость организаций.
CISO рассматривают нормативно-правовые акты как эффективный инструмент снижения киберрисков во всем секторе, поскольку они регламентируют выполнение определенных действий в области ИБ.
Соблюдение нормативных требований поддерживают 76% менеджеров и 70% CISO. Они полагают, что должным образом применяемые правила повысят качество кибербезопасности по всем цепочкам поставок, что защитит бизнес.
Выбор терминологии
56% руководителей компаний и CISO сообщили, что стали встречаться ежемесячно, что приводит к росту понимания проблематики кибербезопасности.
Однако для полного взаимопонимания в вопросах ИБ топ-менеджерам компаний и CISO необходимо говорить на одном языке с однозначно трактуемыми терминами и понятиями.
Киберриски необходимо рассматривать в рамках всего бизнеса
Преступные группировки развиваются, растут и вкладывают средства в развитие хакерских технологий. В ряде случае им в этом помогают государства, что приводит к увеличению числа новых хакерских кампаний и целевых атак. Разнообразие атак все больше носит системный характер.
Серия крупных глобальных киберинцидентов 2021-2022 гг., таких как использование широко распространенной уязвимости Log4j5 вынудила многие организации сосредоточиться на мониторинге и оценке информации об угрозах.
Общая нестабильность приводит к увеличению затрат департаментов ИБ на тактическую защиту в ущерб стратегическому развитию.
Организациям, которые внедряют управление киберрисками во все сферы деятельности, легче организовать стратегическое планирование мер реагирования на изменения в среде угроз.
Киберстрахование
Киберстрахование — это еще один способ для организаций смягчить ущерб от кибератак.
Размер организации является определяющим фактором в том, будет ли у организации киберстрахование. Об отсутствии такового чаще сообщали небольшие организации (48%), реже — крупные (16%).
Это свидетельствует о критическом пробеле в киберустойчивости всей экосистемы. Киберстрахование часто сопровождается требованиями повышения киберустойчивости застрахованной стороны. При этом, если небольшая организация столкнется с киберинцидентом, оказавшим влияние на более крупных партнеров в цепочке поставщиков, у нее не будет ресурсов для реагирования и она не получит помощи в виде страховой выплаты на восстановлении собственных систем после кибератаки.
При отсутствии страховки организациям необходимо сосредоточиться на инициативах, поддерживающих устойчивость экосистем по всей цепочке поставщиков, таким образом повышая киберустойчивость своих собственных операций.
Кадровый голод
Кадровые вопросы должны стать ключевой задачей для управления киберустойчивостью. Для постоянного повышения квалификации всех сотрудников компании необходимы программы развития навыков и знаний в области информационной безопасности, время и инвестиции
10% руководителей и 13% CISO считают, что у них есть критическая нехватка квалифицированного персонала.
Более половины руководителей организаций в технологических отраслях сообщили, что у них есть все специалисты. При этом на кадровый голод жаловались руководители критически важных отраслей инфраструктуры, включая энергетические предприятия, и государственный сектор. Масштаб проблемы вызывают всеобщую озабоченность.
Многим компаниям будет трудно решить проблему нехватки кадров самостоятельно.
59% менеджеров и 64% CISO считают прием и удержание специалистов по ИБ ключевой задачей для управления киберустойчивостью предприятия. Менее половины респондентов сообщили, что сегодня у них есть специалисты, обладающие навыками, необходимыми для реагирования на кибератаки.
Высокая текучесть кадров, которых компании переманивают переманивают высокими зарплатами, — временная мера, которая не решит долгосрочную проблему нехватки кадров.
Повышение осведомленности всех сотрудников о кибератаках — один из факторов, влияющих на рост киберустойчивости организации. Кибернетические возможности организации растут по мере того, как ее сотрудники понимают киберриски, свою роль и ответственность в информационной безопасности организации.
Вопросы кибербезопасности — это не только вопросы, где требуются знания технических специалистов. Компаниям нужны профессионалы широкого профиля, владеющие знаниями из области экономики, юриспруденции, психологии, социологии, коммуникаций и медиа-исследований.
Привлечение в сферу кибербезопасности большего количества женщин, людей с непрофильным образованием, с ограниченными возможностями поможет начать решение вопроса нехватки специалистов по ИБ.
Демократизация доступа к карьере в области кибербезопасности потенциально может стать социальным благом, способствуя переподготовке отдельных категорий рабочей силы.
Выводы доклада
Исследование «Перспективы глобальной кибербезопасности 2023» показало, что разница в восприятии киберпространства и вопросов ИБ между менеджерами и CISO начала стираться. Для этого потребовались адаптация и изменение подходов к вопросу. За прошедший год топ-менеджеры повысили осведомленность о ландшафте угроз, а руководители отделов ИБ стали чаще общаться с начальством. Обе группы получили более четкое представление о сильных и слабых сторонах кибернетических возможностей своих организаций, вопросы ИБ в большей степени интегрированы в корпоративное управление рисками и получают поддержку на высшем уровне.
Тем не менее, исследование также показало, что сторонам еще предстоит проделать большую работу, чтобы по-настоящему понять друг друга и четко сформулировать все риски, воплотить решения по кибербезопасности в жизнь для смягчения последствий возможных кибератак.
Целью всех мероприятий по ИБ должна стать системная киберустойчивость компаний в долгосрочной перспективе.
.jpg)