Европейский страховой сектор поддерживает сближение требований к киберотчетности и повторное использование существующих стандартов для обеспечения большей согласованности и определенности на рынке, заявила ассоциация Insurance Europe на консультации Совета по финансовым услугам Великобритании (FSB) «Достижение большего сближения в киберинцидентах».
Однако Insurance Europe заявила, что любые новые инициативы FSB в партнерстве с другими надзорными органами по отчетности о киберинцидентах должны быть направлены на поощрение передового опыта и «воздерживаться от установления новых требований, таких как дополнительные информационные каналы или несколько уровней отчетности».
«Insurance Europe придерживается своей позиции, согласно которой единообразие терминологии, используемой в различных законодательных актах и текстах, будет способствовать большей конвергенции в отчетности о киберинцидентах», — добавила ассоциация.
Единственной другой европейской страховой группой, ответившей на консультацию FSB, была Швейцарская страховая ассоциация (SIA), которая также является членом Insurance Europe.
Она подчеркнула, что явно необходимо сокращение раздробленных требований к киберотчетности. «Это повысит эффективность и снизит риск ошибок/недоразумений. Это особенно актуально в напряженные дни сразу после обнаружения кибер- или оперативного инцидента», — заявили в SIA.
SIA также предложила финансовым органам обеспечить условия «безопасной гавани», чтобы гарантировать, что корпорации не будут наказаны за сообщение об инцидентах, особенно когда они сталкиваются с противоречивыми требованиями к отчетности в разных юрисдикциях или между органами.
SIA добавила, что предлагаемый FSB лексикон киберотчетности должен быть более четким, чтобы отделить инциденты безопасности от не злонамеренных оперативных киберинцидентов.
Консультация FSB проводилась по запросу G20. В сентябре 2022 года G20 опубликовала аналитическую записку «Императив повышения осведомленности, возможностей и приверженности кибербезопасности», в которой подчеркивалась значительно возросшая киберугроза, вызванная Covid-19.
G20 рекомендовал политическим лидерам изменить политику «в нынешних условиях повышенных рисков кибербезопасности из-за этой «новой нормы» и экспоненциального роста Интернета вещей».
«Предлагаемый подход заключается в создании официальной политики кибербезопасности, ориентированной на людей и поддерживаемой технологиями. Рекомендации заключаются в том, чтобы внедрить методологию, основанную на оценке рисков, и внедрить процессы для минимизации рисков кибербезопасности и проблем с конфиденциальностью данных среди людей и активов критически важной инфраструктуры», — пояснили в G20.
Обязательная отчетность о киберинцидентах будет важным элементом этого упреждающего подхода, говорится в брифинге G20.
«Одно из действий, которое необходимо предпринять, — сделать отчетность о киберинцидентах обязательной. Отчетность об инцидентах поощряет культуру кибербезопасности. Отчетность оптимизирует процесс, чтобы инциденты не превратились в серьезную атаку, обеспечивает соблюдение политик безопасности, предотвращает или минимизирует денежные потери, а также помогает поддерживать соответствие нормативным требованиям, таким как ISO27001/2, GDPR и другим», — говорится в сообщении.
«Кроме того, это создаст массив исследованных данных, которые затем смогут дать представление об угрозах для нации и проинформировать правительство о стратегиях, которые необходимо предпринять для укрепления позиции страны в отношении киберинцидентов», — продолжила G20.
Консультации FSB призваны продвинуть эту концепцию и помочь создать более согласованную среду отчетности о киберинцидентах в европейском и глобальном сообществе финансового надзора.
«Киберинциденты быстро растут по частоте и сложности, что подчеркивает важность надежных мер защиты от киберрисков. В то же время ландшафт киберугроз расширяется на фоне цифровой трансформации, увеличения зависимости от сторонних поставщиков услуг и геополитической напряженности. Растущая взаимосвязь финансовой системы увеличивает вероятность киберинцидентов в одном финансовом учреждении или инцидента в одном из его сторонних поставщиков услуг, что будет иметь эффект распространения через границы и секторы», — заявили в FSB, когда начинали консультации.
«Своевременная и точная информация о киберинцидентах имеет решающее значение для эффективного реагирования на инциденты и восстановления, а также для обеспечения финансовой стабильности. Признавая это, G20 попросила FSB представить отчет о достижении большей конвергенции в отчетности о киберинцидентах», — говорится в сообщении.
Компания Insurance Europe приветствовала усилия надзорных органов по изучению большей конвергенции систем отчетности о киберинцидентах. Но федерация подчеркнула необходимость избегать создания новой бюрократии и важность обеспечения того, чтобы сообщения оставались анонимными.
«Как общее замечание, любая такая инициатива должна быть направлена на поощрение передового опыта и воздержание от установления новых требований, таких как дополнительные информационные каналы или несколько уровней или отчетность. Insurance Europe признает рекомендацию 12 (способствовать взаимному пониманию преимуществ отчетности) и предположение о том, что обмен результатами в агрегированном и анонимном виде может обеспечить полезную обратную связь с финансовыми учреждениями. Следует также подчеркнуть, что крайне важно, чтобы об инцидентах сообщалось анонимно, чтобы гарантировать, что репутация вовлеченных финансовых организаций не пострадала», — говорится в заявлении.
G20 предполагает, что борьба с киберрисками со стороны правительств должна основываться в основном на повышении осведомленности, обучении и гораздо более активном подходе.
G20 отмечает, что «распространение» Индустрии 4.0, включающей миллиарды устройств IoT, только повысило угрозу кибербезопасности, заставив правительства, бизнес-сообщества и конечных пользователей проявлять особую осторожность в отношении рисков и уязвимостей в цифровом мире.
G20 рекомендует принять следующие государственные меры:
Обязательный мониторинг киберугроз, чтобы компании были в курсе своих внешних угроз и всегда понимали свое состояние цифровых рисков в режиме реального или близкого к реальному времени.
Обязательное обучение и сертификация для всех государственных служащих, ежегодно обновляемые, чтобы оставаться в курсе последних технологий и соответствующих угроз.
Все предприятия, которым требуется обработка данных потребителей/клиентов, должны иметь квалифицированных сотрудников службы безопасности, знакомых со всеми угрозами кибербезопасности, связанными с соответствующим доменом.
Независимо от ранга или иерархии пользователя в конкретной организации, все пользователи должны получить обязательное базовое образование в области кибербезопасности у экспертов.
Регуляторный контроль для зарегистрированных на бирже компаний должен включать обязательную кибергигиену. Это означает обеспечение того, чтобы зарегистрированные на бирже компании, которые подотчетны акционерам и широкой общественности, следовали набору рекомендаций о том, как они должны обращаться с данными, защищать свои корпоративные цифровые активы, управлять сторонними киберрисками и повышать осведомленность своих сотрудников о кибербезопасности.
G20 также рекомендует следующие политики для предприятий и организаций, которые помогут развивать возможности управления киберрисками:
Будьте проактивны. Перейдите от обычного подхода к кибербезопасности, основанного на событиях и реактивного реагирования, к прогнозирующему подходу, основанному на аналитике, направленному на усиление управления состоянием кибербезопасности.
Проводите регулярное обучение. Обучение сотрудников тому, как следует опасаться нежелательных электронных писем или сообщений в социальных сетях, содержащих вложения, может иметь большое значение. Но это необходимо сделать путем регулярного обучения и проведения тестов, которые будут оценивать и улучшать их понимание кибербезопасности.
Интеграция кибербезопасности в бизнес-цели и процессы. Это означает, что с момента выхода бизнеса или организации на рынок внедрение новых технологий и инноваций должно сопровождаться оценкой кибербезопасности. Это приводит к принятию осведомленности о кибербезопасности внутри организации и среди сотрудников.
Планируйте и проводите периодические учения «красной команды». Одной из наименее реализованных, но очень эффективных возможностей, которые может иметь любая организация, является «красная команда», которая может проводить периодические наступательные тесты и помогать измерять эффективность людей, процессов и технологий безопасности, используемых для определения всей экологии этой организации.
Получите правильные базовые элементы управления и возможности. Обеспечьте видимость, мониторинг, синхронизацию защиты по периметру и наличие динамичного и гибкого способа управления кибербезопасностью для противодействия быстро меняющемуся ландшафту угроз.
Используйте AI/ML — автоматизируйте и координируйте рабочие процессы и сценарии, чтобы помочь с быстрым обнаружением и реагированием.
Подготовлено порталом Allinsurance.kz