Специалисты брокера Marsh говорят, что из системного сбоя в компании по кибербезопасности CrowdStrike, который считается крупнейшим сбоем в работе ИТ-систем за всю историю, можно извлечь множество уроков.
«Самый большой урок заключается в том, что нет способа по-настоящему предотвратить технические сбои», — сказал Том Рейган, руководитель глобальной киберпрактики брокера. «Так как же с ними жить, управлять ими и смягчать их последствия?»
Marsh — одна из многих компаний, которые использовали инцидент CrowdStrike, чтобы предупредить риск-менеджеров о важности управления инцидентами, рискового капитала, кибербезопасности и других методов управления рисками.
Сбой начался 18 июля, когда обновление программного обеспечения от поставщика кибербезопасности пошло не так, затронув миллионы компьютеров, платформ и сетей, работающих на системах Windows. По словам Эрики Дэвис, глобального соруководителя кибербезопасности в Guy Carpenter, инцидент имел «потенциал стать катастрофой, к которой компании были готовы, но еще ни разу не столкнулись».
Однако в действительности пострадало менее 1% мировых компаний, и Guy Carpenter ожидает, что застрахованные убытки составят от $400 млн до $1,5 млрд. По словам Дэвиса, убытки выглядят «значительными, но управляемыми».
По словам Джилл Коллинз, руководителя отдела управления киберинцидентами и киберконсультирования Marsh Pacific, в течение первых двух-трех недель после атаки пострадало более 500 клиентов Marsh, а также было подано около 375 уведомлений о претензиях.
Коллинз видит три ключевых урока, которые менеджеры по рискам должны извлечь из всего этого опыта:
во-первых, необходимо регулярно проверять свои планы реагирования на киберугрозы и прерывания бизнеса;
во-вторых, необходимо убедиться, что у компании есть резервные сети на случай сбоя связи. И, наконец, риск цепочки поставок третьих лиц важен и должен быть включен план прерывания бизнеса компании.
«Компаниям необходимо лучше реагировать на атаки», — сказала Коллинз. «Значительные нарушения могут исходить из разных источников, и существует необходимость в лучшей организационной готовности».
Также она обратила внимание на то, что качество реагирования среди корпораций различается: «Те, кто преуспел, обладали утонченным мышлением и строгостью тестирования и внедрения знаний. Многие организации пересматривают свой план реагирования раз в год. Им нужно делать это более регулярно, три-четыре раза в год, и использовать различные сценарии».
Сбой CrowdStrike также выявил взаимозависимости, которые есть в цифровой инфраструктуре многих компаний, и поднял вопросы о том, как это следует решать. Необходимо больше думать об управлении сторонними поставщиками.
По словам Криса Лавджоя, руководителя глобальной практики по безопасности и устойчивости американского поставщика услуг ИТ-инфраструктуры Kyndryl, в большинстве случаев программы управления рисками у сторонних поставщиков управляются отделами закупок.
Обычно эти команды ранжируют своих сторонних поставщиков в порядке важности. «Это может быть небольшая организация, но она может быть очень важной с точки зрения потенциального нарушения вашего бизнеса», — сказал Лавджой.
«Обязательства, которые вы возложите на эти компании, будут различаться в зависимости от их важности. Если это не работает, вам нужен новый подход. Вы не можете относиться ко всем партнерам одинаково».
Лавджой также говорил о необходимости «переосмыслить то, как мы управляем рисками для предприятий, использующих цифровые технологии, и прекратить разделение организаций на основе должностных обязанностей».
Одной из новых должностей, которая становится все более распространенной, является должность главного специалиста по устойчивости, особенно в Европе, где компании сталкиваются с неизбежным введением Закона о цифровой и операционной устойчивости (DORA).
И большая часть этой роли заключается в том, чтобы определить, какова толерантность компании к риску, сказал Лавджой. «Многие компании не могут решить, без чего они могут жить... Вам нужно выяснить, что с наибольшей вероятностью сломается или выйдет из строя, как долго это будет не работать и сколько это будет стоить. Вам нужно обсудить это, а затем протестировать этот процесс».
«Это как жить в мире бактерий», — сказал Лавджой. «Вы можете стерилизовать себя и никогда не выходить. Но это нереально. Можете ли вы работать в определенных пределах? Какой заметный инцидент повлияет на вашу прибыль и выручку? И если вы не подвергаетесь кибератакам, вы, вероятно, их не замечаете».
Подготовлено порталом Allinsurance.kz