5 заблуждений о кибербезопасности, в которые банкам нужно перестать верить

В 2019 году в своем письме к акционерам Джейми Даймон, генеральный директор «JPMorgan Chase», написал следующее: «Угроза кибербезопасности может стать главной угрозой для финансовой системы США».

Банкирам это уже давно известно. В ежегодном исследовании компании Cornerstone Advisors «Что происходит в банковском деле» (What’s Going On in Banking) говорится, что за последние несколько лет кибербезопасность оставалась главной причиной обеспокоенности высшего руководства финансовых организаций. Они вкладывают деньги в то, что важно для них. Согласно данным Лаборатории Касперского, фирмы, которые оказывают финансовые услуги, тратят на безопасность 1436 долларов на одного сотрудника. Это в два раза больше того, сколько тратят компании розничной торговли.

Однако это не значит, что их взгляды на кибербезопасность должны совпадать. Существует пять общепринятых мифов о ней, от которых необходимо избавиться.

Миф №1: «Кибербезопасность – задача ИТ-специалистов»

В мире бизнеса существует одна общая проблема. Среди высшего руководства компаний бытует мнение, что можно преодолеть любую сложность, если назначить руководителя для работы с ней. Подумайте, у скольких компаний сейчас работает главный аналитик, есть технологии искусственного интеллекта, клиенты, свой бренд, цифровые данные, опыт и знания.

Нет ничего плохого в назначении директора по защите информации, но многие компании считают, что один человек сможет контролировать кибербезопасность в одиночку. Это так не работает. Он отвечает за информационную безопасность, но именно исполнительная команда и функциональное руководство должны обеспечить эффективное управление ежедневными операционными рисками и снижать их. Нарушения хранения данных и кибератаки затрагивают все предприятие целиком, а не отдельные подразделения и отделы. Не стоит передавать ИТ-специалистам задачи по снижению киберугроз.

Кроме того, для совершения преступлений злоумышленникам необходимо входить в контакт с клиентами, сотрудниками, партнерами и СМИ. В свою очередь, исполнительная команда и руководство компании обязаны фиксировать их общение.

Миф №2: «Кибератаки грозят только крупным банкам»

Бытует мнение, что кибератакам подвержены только крупные финансовые организации. Однако согласно исследованию Nationwide, с 2012 по 2017 год банки с активами менее 1 миллиарда долларов стали жертвами почти половины (47%) всех кибератак на банковские учреждения.

Исследование также показало, что в 2016 году 81% взломов и внедрений вредоносных программ пришелся на финансовые учреждения с доходом менее 35 миллионов долларов. Год назад их было всего 54%.

Главный директор по защите информации одного из атакованных банков с активами в 750 миллионов долларов сообщил: «Мы обнаружили взлом наших систем. Его целью было подорвать Федеральную резервную систему и другие банковские платежные системы».

Миф №3: «Если обеспечим себе кибербезопасность, получим конкурентные преимущества»

Многие организации считают, что кибербезопасность улучшит их конкурентоспособность.

Такие заявления страшно слышать от банковских работников по двум причинам:

1. Кибербезопасность – это необходимость, а не исключительность. Без сомнений, она важна для клиентов. Но это то, что они воспринимают как само собой разумеющееся. «Супер» безопасность не привлечет новых клиентов.

2. Банки не смогут достичь «супер» безопасности. Только у крупнейших организаций есть возможности обеспечить себе нужный уровень защиты. И даже они скажут, что ее недостаточно.

Миф №4: «Государственная система цифровой идентификации повысит уровень кибербезопасности»

Многие компании уповают на государственные системы кибербезопасности.

И действительно, правительства ряда стран выступили с инициативами в области идентификации. Однако в ближайшем будущем перспективы развития системы цифровой идентификации как в США, так и в других странах, кажутся размытыми.

Тем временем сами банки приходят к мысли, что они могут стать поставщиками подобных систем. Но многие американские компании выступают против.

Доверие – главный пункт в решении использовать системы цифровой идентификации. На сегодняшний день неясно, доверяют ли клиенты финансовым организациям. Но даже, если это и так, важнее знать, доверяют ли финансовые организации друг другу.

На одной из недавних банковских конференций в Штатах в панельной дискуссии модератор спросил 60 банковских сотрудников, согласились бы они на услугу цифровой идентификации в своей организации, будь они клиентами. Четыре человека подняли руки.

На сегодняшний день политическая ситуация в США показывает, что клиенты не доверяют правительству в его поиске возможностей для внедрения системы цифровой идентификации. Кроме того, сами финансовые организации недостаточно доверяют друг другу для партнерских отношений. Разовые попытки правительства применить подобную систему могут удовлетворить потребности финансовых учреждений, однако их нельзя считать действенными в масштабе страны. Вряд ли что-то изменится в отношении правительства и общества к цифровой идентификации без повышения уровня доверия. А до тех пор финансовые организации должны заботиться о себе сами.

Миф №5: «У нас нет проблем, пока мы проходим ежегодную аттестацию»

И последнее, но не менее важное заблуждение: «Все хорошо, пока мы проходим ежегодную аттестацию».

Дело в том, что законодательные органы сильно отстают от технологического прогресса. Достаточно просто посмотреть на некоторые из этих заголовков:

«Законодательство и нравственные принципы не могут идти в ногу с технологиями» – TIM Technology Review.

«Есть угроза отставания закона о защите данных от технологического прогресса» – The Guardian.

«Законодательство не угонится за новейшими технологиями» – World Economic Forum.

В статье «Может ли законодательство идти в ногу с новейшими технологиями?» автор утверждал, что может. Но вся статья – это интервью с представителем законодательного органа без привлечения технического специалиста.

Финансовое учреждение делает то, что считает нужным орган законодательной власти. В том числе проходит ежегодную аттестацию. Но не факт, что этот орган разбирается во всем.

Кибербезопасность сейчас находится в топе обсуждаемых вопросов у представителей финансовых организаций. Согласно опросу Cisco, более 500 американских банков получают более 1000 уведомлений о нарушениях от своих систем безопасности. Но только 43% из них можно решить. В то же время не у всех банков есть политика информационной безопасности. Они составляют 52% всех финансовых организаций США.

Развенчание всех пяти мифов объединяет одна тема: недостаточно только образования, чтобы с успехом поддерживать должный уровень кибербезопасности. Необходимы еще навыки управления и контроля. Нужно также информировать сотрудников и членов совета директоров о проблемах безопасности. Но это стратегический минимум того, что должны делать финансовые организации.

Узнать больше о ключевых тенденциях в области внедрения системы цифровой идентификации вы сможете на Деловом завтраке «ИТ-безопасность бизнеса», который пройдет 28 июня 2019 года в Москве.

Материал подготовлен на основе статьи 5 Cybersecurity Myths Banks Should StopBelieving Рона Шевлина, управляющего директора центра исследований финтеха Cornerstone Advisors.

Елизавета Гета

Комментарии