Эксперт дал определение понятию здравого смысла в кибербезопасности

В настоящее время компании больше сосредоточены на борьбе с последствиями успешных кибератак на свои системы, нежели на их предотвращении. ИБ-эксперт Илья Колошенко из High-Tech Bridge с таким подходом не согласен. По его мнению , предотвратить хакерские атаки на предприятия можно с помощью целостной оценки рисков и здравого смысла.

Людям непосвященным рынок кибербезопасности кажется золотым дном, отмечает эксперт. По оценкам Wall Street Journal, в 2015 году годовой объем вложенного в индустрию информационной безопасности венчурного капитала увеличился на 76% и достиг $3,34 млрд. Если верить аналитикам Gartner, к 2020 году эта сумма возрастет до $170 млрд.

Несмотря на столь впечатляющие цифры, стоит взглянуть на обратную сторону медали. Как показали результаты исследования экспертов Ponemon Institute и HP, в 2015 году 99% кибератак на предприятия были успешными – на 46% больше, чем четырьмя годами ранее. Как минимум 80% крупных мировых компаний так или иначе столкнулись с утечкой данных. Авторитетные британские банки скрывают от общественности реальные суммы нанесенного хакерами ущерба, а американские полицейские бессильны перед вымогательским ПО и продолжают платить мошенникам выкуп.

Всему виной не недостатки в применяемых компаниями технологиях, а человеческий фактор. По мнению Колошенко, проблема рынка кибербезопасности заключается в том, что производители решений безопасности руководствуются принципом «вопрос не в том, станет ли вообще компания жертвой кибератаки, а когда именно она ею станет».

Подобное противоречит здравому смыслу, уверен эксперт. Подход к кибербезопасности должен базироваться на двух основных принципах – целесообразности и эффективности. Целесообразность заключается в том, что соотношение цена/качество любого решения безопасности должно быть оптимальным.

Эффективность достигается, когда решение безопасности соответствует приоритетам по снижению рисков для каждой отдельной компании. Довольно часто предприятия сосредотачиваются на защите от самых популярных и распространенных угроз, не задумываясь о том, нужно ли им это на самом деле, и не обращая внимание на реальные риски для своего бизнеса.

Для достижения эффективности, прежде чем выложить круглую сумму за продукт или сервис по обеспечению кибербезопасности, компании должны провести комплексную, целостную оценку рисков. Необходимо точно определить потенциальные угрозы для каждого отдельно взятого предприятия, оценить возможный ущерб, выявить уязвимости и вероятные векторы атак, и на основе этого разработать соответствующий план по снижению рисков. Не стоит целиком и полностью полагаться на общепринятые стандарты наподобие PCI DSS, поскольку ни один стандарт не способен заменить здравый смысл.