Содержание:
- Цифровое доверие - новое явление цифровой эпохи
- Угрозы кибербезопасности в цифровом пространстве
- Киберустойчивость цифровой экономики
- Квантовый скачок цифровой экономики
Цифровое доверие - новое явление цифровой эпохи
Современные технологии становятся всё более продвинутыми и сложными. Однако это неизбежно увеличивает риск возникновения новых цифровых угроз и атак, которым могут быть подвержены банки данных в различных компаниях. Киберпространство, как и физический мир, нуждается в защите и адекватном управлении рисками. Каким образом стандарты безопасности ИСО 31000 минимизируют возможные риски? Поможет ли внедрение новых, ещё более сложных, технологий решить существующие проблемы? Вопросов много, и все они требуют принятия своевременных решений.
В Оксфордском словаре понятие «риск» трактуется как ситуация, которой присуща угроза подвергнуться опасности или ущербу. Достижение высоких результатов невозможно без определённого риска. Другое дело, что он должен быть минимальным и не приводить к негативным последствиям. В связи с этим возникает необходимость в рациональном управлении рисками.
Совсем избежать рискованных ситуаций не получится. Это означает, что каждый из нас идёт на некоторый оправданный риск как в личной, так и в профессиональной жизни. Более того, если вдруг в какой-либо отрасли появится организация, которая сообщит об отсутствии рисков в своей деятельности, то к ней неизбежно будет потеряно доверие, потому что она просто не сможет выполнить ряд данных обязательств, как уставных, так и юридических.
Рациональное управление рисками может приводить к положительным результатам и даже приносить пользу.
Это означает, что компаниям не нужно бояться идти на оправданный риск, который неизбежно возникает в ситуации неопределённости и может оказывать влияние на принятие того или иного решения. Когда дело доходит до стратегических вопросов, безусловно, требуется хотя бы минимальная степень определённости. Если решения принимаются в ситуациях нестабильности и изменчивости, то это заключает в себе некоторый риск.
Угрозы кибербезопасности в цифровом пространстве
Киберпространство априори предполагает высокий уровень неопределённости, что обусловливает возникновение кибер-рисков. Особую актуальность это имеет для национальной и корпоративной безопасности. Чаще всего угрозу в себе таят не контекст и условия рынка, а деятельность «злоумышленников», готовых пойти на нарушение закона. Эти участники предпочитают действовать тайно, что ещё больше усиливает исходящую от них угрозу, заключающуюся в готовности нанести вред безопасности данной организации. Сложность ещё в том, что злоумышленники очень быстро адаптируются к изменяющимся условиям.
Технологии обновляются буквально каждый день, а иногда и того чаще. В недавнем прошлом преступник, занимающийся промышленным шпионажем, должен был физически завладеть объектом, например, выкрасть портфель с документами, который вы имели неосторожность где-нибудь забыть. Сегодня преступные действия совершаются в киберпространстве, используя электронные носители. С их помощью злоумышленник за считанные секунды получает доступ к гигабайтам информации, которые на бумаге представляли бы собой огромную стопку до неба.
Существенные изменения претерпевает не только хранение данных, но и их назначение. Если преступнику требуется выкрасть, например, редкие медицинские товары, то он не совершает затратное по времени и ресурсам нападение на склад, а просто и быстро копирует цифровые данные с последующим воспроизведением нужного продукта на 3D-принтере.
Вне всякого сомнения, проблема киберзащиты актуальна для любых организаций. Причём системы защиты должны обладать надёжностью и скоростью, достаточной для оповещения компании о действиях преступников и возможных угрозах в кратчайшие сроки.
Все кибер-угрозы можно разделить на внутренние и внешние. Безопасность от внешних угроз предполагают оценивание технических возможностей преступников, их предполагаемых целей и мишеней. С технической точки зрения безопасность от внешних угроз поддерживать достаточно легко.
С внутренними угрозами дело обстоит гораздо сложнее. Организации постоянно вынуждены бороться с инсайдерами и «перебежчиками», которые намеренно допускают в системе защиты «слабые» места и делают её уязвимой для атак. Доступ к персональным данным недобросовестных лиц также может скомпрометировать конкретного человека и подвергнуть его риску шантажа. Злоумышленники могут прибегать к вербовке кадров для их последующего приобщения к криминальным делам. Даже если у организации безупречные системы защиты, никто не может гарантировать безопасность от деятельности инсайдеров, обладающих высоким уровнем доступа к секретной информации, при этом действующими тайно и долгое время остающихся необнаруженными.
Киберустойчивость цифровой экономики
Для стратегического подхода к оцениванию кибер-рисков были разработаны соответствующие международные стандарты. Система стандартов ISO 31000, рассматриваемая совместно со стандартами ISO/IEC 27000, сокращённо ISMS, по мнению Джейсона Брауна (Jason Brown) на сегодняшний день является основой информационной безопасности.
Такой подход основывается на человеческом факторе. Серия стандартов ISO/IEC 27000 разработана преимущественно для оценивания технологического состояния системы, а стандарты ISO 31000 опираются на информационную составляющую. Именно они определяют ценность размещённой информации в киберпространстве и степень технологической защиты, необходимой для предотвращения атак и внедрения вредоносных программ.
Внедрение системы стандартов ИСО 31000 для обеспечения технологической безопасности позволяет адекватно оценить возможные риски, что помогает избежать организациям чрезмерных финансовых затрат, которые могли бы пойти на защиту от преступных вмешательств.
Неадекватная оценка рисков неизбежно приводит к неоправданно высоким или наоборот, слишком низким, затратам на систему защиты, что оказывает влияние на её эффективность.
Помимо указанных выше стандартов безопасности существуют и другие, направленные на разные стороны ведения бизнеса. Так, для обеспечения непрерывности делового процесса наилучшим образом подходят стандарты кибербезопасности ISO 22301. Эта серия выстраивает такую систему менеджмента, при которой обеспечивается высокая степень защиты от непредвиденных ситуаций и разрушительных атак. Если, несмотря на предпринятые меры, организация всё же подвергнется кибер-нападению, стандарты позволят в кратчайшие сроки оценить последствия и наметить новые пути реализации исходных целей компании.
Инвестиции компаний в цифровую безопасность могут быть очень разными по объёму. Небольшое предприятие может продолжить работу с бумажными носителями, соответственно иметь минимальные расходы на кибербезопасность. Признанные гиганты рынка, работающие на цифровых платформах, например, компания Amazon, в прямом смысле слова зависят от безопасности информационной среды. Расходы крупных компаний будут значительными.
Внедрение стандартов ISO/IEC JTC 1/SC 38 способствует лучшей коммуникации между производителями и потребителями облачных технологий. Начинает всё более чётко прослеживаться тенденция, при которой конечные пользователи не просто используют готовый продукт «как он есть», но и могут «задавать» производителям необходимые параметры стандартов.
Огромный минус заключается в том, что каждый производитель разрабатывал свою оригинальную технологию, что затрудняло сравнение продуктов и выбор самого оптимального. Многие правительства и корпорации столкнулись с подобной проблемой.
Для преодоления несовпадения технологий по ряду параметров был разработан стандарт ISO/IEC 17789, чётко описывающий критерии «эталонной архитектуры». В него также вошли основные слова, наиболее часто используемые в информационных технологиях и облачных вычислениях. Подкомитет ПК 38 курировал разработку стандарта ISO/IEC 19086, воплотившегося в соглашении из 4 компонентов. В нём прописаны условия взаимодействия между поставщиками облачных услуг и конечными потребителями, однако две части ещё пока находятся в разработке.
Квантовый скачок цифровой экономики
Вне всякого сомнения, от внедрения разработанных стандартов кибербезопасность в целом только выиграла. Положительный эффект также был заметен в отношении кибер-рисков. Стандарт ISO 31000 получил одобрение в 40 стран и был рекомендован к использованию как национальная система риск-менеджмента. Это весомый аргумент. Чтобы придать ему ещё больший вес, стоит упомянуть о более чем 6,5 миллионах ссылок за 0,54 секунды, которые поисковая система Google выдаёт по запросу «ISO 31000».
Международные стандарты ISO 31000 должны оставаться актуальными. Для этого они постоянно совершенствуются и обновляются.
Технологии не стоят на месте. Каждый день они развиваются, на смену старым разработкам приходят новые. Инструменты, ещё вчера прекрасно справляющиеся со своей задачей, завтра могут оказаться бесполезными. Чтобы это не происходило слишком быстро, в систему закладываются способности разного уровня. Например, с развитием машинного обучения и внедрением искусственного интеллекта становятся актуальными как адаптивные способности, помогающие усваивать новые знания, так и «философские», пока не существующие в цифровом мире.
Очень быстро развиваются системы для анализа данных, в том числе и такие, которые могут самостоятельно выявлять возможные проблемы и предупреждать об их возникновении. Такие квантовые вычисления неизбежно приведут к экспоненциальному росту скорости самих вычислений.
По мнению Джейсона Брауна, упомянутые изменения в киберпространстве, особенно если они произойдут одновременно, способны привести к разрушительным последствиям. Они могут быть сопоставимы с изменениями, которые произошли в мире, когда было открыто понятие электричества или атома.
Эти прогнозы весьма условные и не принимают во внимание активное развитие других технологий. Например, в расчёт не берутся нанотехнологии или всё увеличивающаяся зависимость одних разработок от других.
Только объединение бизнесом всех возможных факторов позволит получить преимущества, которые смогут ощутить на себе основные рыночные игроки, что в конечном итоге приведёт к улучшению общей конкурентной среды. Однако полностью освободиться от человеческого вклада в появлении рисков вряд ли удастся, даже несмотря на то, что человек может осуществлять в киберпространстве ограниченное количество функций.
Разрабатываемый стандарт ISO/TC 262 предполагает возможность управления рисками, особенно теми из них, что способны привести к серьёзным последствиям. Как справедливо утверждает Джейсон Браун, производители и потребители в равной степени должны чётко представлять свою роль в меняющемся и неустойчивом мире. Каждый из нас должен не бояться стать более открытым и осторожным одновременно, а это самая трудная задача.
