Топ-менеджеры в России не думают о кибербезопасности. К чему это приводит

Статьи IT-Manager

Минцифры хочет, чтобы руководители компаний больше участвовали в вопросах информационной безопасности, а не сваливали все на плечи начальников по ИБ. Что говорится в новой методике ведомства и какой у всей этой затеи смысл, объясняет IT-Manager

Фото: Midjourney

Большинство специалистов по кибербезопасности являются заложниками складывающейся годами ситуации. Мы все стремимся достичь 100% чего-то — аттестации, импортозамещения, безопасности, борьбы с угрозами и так далее. Однако на самом деле мы забываем, чего в действительно от нас ждет работодатель.

Что думает директор по ИБ о своей роли

Ему надо бороться с угрозами. Он по привычке ищет уязвимости, он их устраняет, он пытается снизить количество инцидентов, ставит себе некие метрики, например, что инцидентов должно быть ноль за некий отчетный период. И хотя это недостижимая цифра, он пытается ее достигнуть. При этом компании ломают, предприятия ломают, утекают данные и так далее. Почему? Потому что попытка бороться с бесконечным множеством атак, а у нас их число действительно бесконечно, и это математически доказанный факт, бессмысленна.

Если мы попробуем посмотреть с точки зрения директора по корпоративным рискам, а во многих компаниях, как минимум коммерческих, есть такие специалисты, то они смотрят на проблему немного с другой точки зрения. Они начинают составлять большие «простыни» с рисками, так называемые реестры рисков. Они оценивают вероятность реализации негативных событий, оценивают ущерб от них, но… к тому моменту, когда рисковики подходят к финалу этой оценки, у них появляется перечень из нескольких сотен рисков. И надо этот перечень заново пересматривать, потому что технологии поменялись, бизнес-модели поменялись, бизнес-процессы поменялись, внешние условия тоже поменялись. То есть они рисуют абсолютно объективную картину, очень хорошо считаемую, но только никому не нужную. Потому что к тому моменту, когда ее нарисовали, надо все переделывать заново. И это если они реально оценивали ущерб и вероятность, а не использовали «метод светофора», когда оцениваемые параметры и риски разносятся по шкале «красный — желтый — зеленый» или «высокий — средний — низкий».

О чем думает топ-менеджер

А что топ-менеджер думает о кибербезопасности? Он о ней не думает; к сожалению, специалистов по ИБ и к счастью руководителя компании. Он смотрит на проблему всего бизнеса, его задача — бизнес приумножать, увеличивая доходы и сокращая расходы, в том числе и снижая потери (у госоргана задачи немного иные — реализовывать госуслуги гражданам, не нарушая при этом установленных показателей качества, например временных, и т.п.).

Очень утрированно, но это так. Будет ли он думать о тысячах угроз и сотнях рисков? Нет. В фокусе его внимания будет всего несколько событий, имеющих катастрофические последствия для всей организации.