Где я?
ББ-Home > Новости > 1/52 > Новое слово: киберустойчивость

Новое слово: киберустойчивость

Люди любят, когда в воздухе витает «апокалипсис». Так уже было накануне 2000 года, когда ИКТ-вендоры «развели» полмира на море денег, чтобы обновить ПО и частично железо, иначе «мы за последствия не отвечаем». Ничего, как вы помните, не случилось.

Теперь весь мир заставляют дрожать от всепроникающей киберпреступности. В отличие от Страшного суда, где хоть немногие спасутся, здесь гарантий вообще никто никому не дает. Достанется всем!

Естественно, на фоне этих разговоров возникает масса новых идей, терминов (тоже часть прогресса в своем роде), которые далеко не всем знакомы и понятны. В прошлый раз мы опубликовали перевод статьи Даниэля Добрыговски о киберустойчивости, где ни слова не говорилось о том, что же это такое. Сейчас мы исправляем недоработку и предлагаем вам его же статью, где автор предпринимает попытку раскрыть суть термина.

Киберустойчивость: все, что вам (в самом деле) необходимо знать

Cyber resilience: everything you (really) need to know

Даниэль Добрыговски (Daniel Dobrygowski)

Global Leadership Fellow
Project Lead, IT Industry, World Economic Forum

8 июля 2016 года

Более быстрые и дешевые цифровые технологии предоставляют беспрецедентный набор общественных и экономических выгод. И процесс цифровизации и установления связей не замедляется, преподнося полный спектр новых рисков из множества известных и неизвестных источников. В таком случае неудивительно, что руководители компаний и правительств отводят кибербезопасности в своих повестках дня высокий приоритет.

Но дело не просто в безопасности: чтобы увеличить выгоды и минимизировать урон в складывающихся условиях, лидеры должны рассматривать киберустойчивость как стратегическую цель.

Что такое киберустойчивость?

Как вы можете видеть из диаграммы, которая показывает, на сколько выросли затраты на кибербезопасность в США (и, вероятно, продолжат расти), организации отдают себе отчет, насколько значительны существующие угрозы для связанных друг с другом в сеть систем, на которые опирается экономика. Но организации могут выработать политики и инструменты, чтобы избежать, выдержать и ослабить их.

Идея устойчивости в своей наиболее примитивной форме заключается в оценке того, что происходило перед, в процессе и после того, как компьютерная сеть столкнулась с угрозой. Устойчивость не следует воспринимать как синоним слову «восстановление». Она не зависит от конкретного случая: она накапливается со временем и должны быть включена в общую организационную стратегию.

Диапазон устойчивости, описанный в докладе WEF в 2012 году, объясняется как способность систем и организаций противостоять кибератакам. В данном контексте устойчивость подразумевает подготовку, которую организация осуществляет с учетом угроз и уязвимостей, разработанные защитные меры и ресурсы, доступные для смягчения ошибок системы безопасности после их обнаружения.

Существует множество областей, в которых организация или общество могут рассматриваться как устойчивые, но общим знаменателем служит включение глубоко понимания рисков в процесс стратегического планирования. Применительно к киберрискам это означает выход за рамки планирования использования информационных технологий и включение оценки рисков в качестве естественной составляющей стратегии.

Важнейшим элементом является стандартизация. Киберриски должны рассматриваться как любые другие риски, которым организация должна противостоять, чтобы добиваться своих целей.

Почему киберустойчивость важна?

Руководители компаний и правительств должны думать об устойчивости по двум причинам: во-первых, так они избегают катастрофических последствий, которыми угрожает подход «все-или-ничего» к киберрискам (т. е. воспрепятствование сетевому доступу в качестве единственного плана), и, во-вторых, это служит гарантией того, что обсуждение выйдет за рамки информационных технологий и информационной безопасности.

Первый аргумент, что долгосрочный подход и долговечность являются ключевыми факторами в обеспечении киберустойчивости, не требует дальнейших разъяснений. План, который охватывает меры и последствия до, в ходе и после выявления угрозы, как правило, будет предпочтительнее плана, который рассматривает только один вариант действий.

Второй аргумент подразумевает, что лидеры должны расширить рамки обсуждения, привлечь больше внимания. Для нашей экономической и общественной устойчивости жизненно важно, чтобы мы думали масштабами всей сетевой устойчивости в целом, что бы служило гарантией, что мы сможем справиться с существующими рисками и подготовиться к новым, которые придут вместе с такими явлениями, как искусственный интеллект, интернет вещей и квантовые вычисления. Для того, чтобы обеспечить киберустойчивость в долгосрочной перспективе, организации должны включить в свои стратегические планы возможность их пересмотра на основе изменяющихся угроз, проистекающих от быстро эволюционирующих подрывных технологий.

В настоящее время существуют четкие и проверенный стратегии, обеспечивающие безопасность данных. Также есть практики, которые организации могут перенимать. Риск принятия подхода, нацеленного исключительно на сохранность данных, заключается в том, что по мере того, как технология, например, интернет вещей, будет полностью внедрена, положение компании относительно рисков должно будет пересмотрено заново и с большой вероятностью такой пересмотр будет осуществлен в угоду конкретному случаю. Такой подход может оказаться неэффективным.

В случае целостного подхода к киберустойчивости долгосрочная стратегия (включая планы относительно технологий, которые бизнес будет внедрять в ближайшие 5, 10 или даже больше лет) – это непрекращающийся диалог, в который вовлечены как те, кто занимается в организации технологиями, так и те, кто занимается стратегией. Подход с точки зрения обеспечения киберустойчивости гарантирует более высокую готовность и меньше пересмотров, обеспечивая, в конечном итоге, более высокую эффективность и результативность.

Почему устойчивость, а не безопасность?

Безопасность, в противоположность устойчивости, бинарна. Или что-то находится в безопасности, или нет. Она часто сводится к единственной, ограниченной технической функции, удерживающих неавторизованных пользователей от входа в систему.

В то время, как существует много определений кибербезопасности, существует различие между контролированием доступа в кибербезопасности и более стратегическим, долгосрочным видением, которое призвана вызвать киберустойчивость. Кроме того, поскольку уязвимость в одной области может скомпрометировать всю сеть целиком, устойчивость требует обсуждения, нацеленного в большей степени на системы, чем на индивидуальные организации.

Как организация становится киберустойчивой?

Применительно к сетевым технологиям уязвимость в одном узле может нарушить безопасность и устойчивость всей системы. Поэтому устойчивость лучше всего рассматривать в контексте публичного блага. Именно поэтому партнерства являются основой. Они могут создаваться между коммерческими компаниями и в равной степени с регуляторами, с правоохранительными органами и политическими организациями.

Поскольку киберустойчивость является заботой риск менеджмента, не существует одной единственной точки, с которой она начинается и которой заканчивается. Наоборот, она начинается от выстраивания стратегии и работы по обеспечению условий, в которых механизмы по контролю за рисками, которые работают в части более традиционных угроз, были бы также распространены и на процесс управления новыми киберугрозами.

Чья ответственность?

Это действительно вопрос, скорее, стратегический, чем тактический. Состояние устойчивости требует от руководителей высших эшелонов в компании, организации или правительстве понимания важности устранения и смягчения рисков. Хотя взаимодействие по обеспечению большей киберустойчивости является задачей каждого, руководители, которые определяют стратегию организации, несут двойную ответственность, в т.ч. во все большей степени за то, чтобы сделать киберустойчивость частью организационной стратегии.

Источник: сайт WEF


Рефлексия от «Безопасности бизнеса»:

Мы не будем заводить здесь и сейчас долгие разговоры на пока еще едва-едва приподнятую тему. Стал ли вам ближе и понятнее термин «киберустойчивость», судить только вам.

На наш взгляд, объяснение автору не очень удалось. Статья выдержана в духе «a la Mr Porter», своего рода продолжение плача 90-ых о недостатке стратегического планирования в организациях.

Сейчас, когда составлением стратегий занимается еще меньше организаций, автор, перенося идею необходимости принятия концепции киберустойчивости (в чем же она все-таки заключается?), как бы подразумевает, что процессы стратегического планирования налажены в организациях de facto. А на деле оказывается, что для многих это уже прошлый век.

О каких планах внедрения технологий «в ближайшие 5, 10 или даже больше лет» может идти речь, если никто толком не скажет, как будет выглядеть этот ландшафт уже в ближайшие 2-3 года?

Другими словам, в статье много «святой простоты», которая допустима для одних, но совершенно недопустима для тех, кто действительно принимает решения, так как в случае чего, акционеры вам этого не простят.

Еще короче: читайте сами, думайте сами, решайте сами – устойчиво вам или не очень.

Top