Skip to main content

Кібербезпека

20 червня 2024 року

 

Перенесення зали засідань на поле кібербитви

Кіберексперти навчають керівників компаній приймати важливі рішення, які захистять їхні компанії від зростання кількості атак програм-вимагачів, шпигунських програм та інших загроз.

Christine Gibson

Contributor

На початку 2020 року надзвичайно витончена група хакерів здійснила одну з наймасштабніших кібератак в історії. Вважається, що вони працюють на російський уряд, проникли в комп'ютерні системи розробника програмного забезпечення для управління ІТ під назвою SolarWinds та вбудували шкідливий код у лінійку інструментів моніторингу компанії.

До червня шкідливе програмне забезпечення надало хакерам доступ до внутрішньої роботи сотень федеральних агентств та компаній зі списку Fortune 500. На момент виявлення зломної атаки у групи були місяці, щоб шпигувати за урядовими та корпоративними операціями.

Як для державного, так і для приватного секторів цей інцидент став тривожним сигналом щодо постійно зростаючої загрози. Кібератаки такі ж старі, як і інтернет, але за останні кілька років вони стали більш витонченими, підступними та руйнівними. Хоча прямі повідомлення про збитки від кібератак невеликі, близько 500 000 доларів США, Міжнародний валютний фонд нещодавно повідомив, що ризик екстремальних збитків — щонайменше до 2,5 мільярда доларів — зріс.

З огляду на те, наскільки високі ставки, відповідальність за захист корпорації від кібератак лягає на її найвищих членів: раду директорів. Важливою частиною їхньої роботи сьогодні є оцінка того, чи створено правильну культуру та управління для захисту систем компанії від кіберзагроз, і для цього їм потрібне тонке розуміння кіберризиків.

«Звичайно, ради директорів повинні бути фінансово проникливими, але вони також повинні бути кіберпроникливими», — каже Рон Грін, науковий співробітник Mastercard з кібербезпеки та колишній директор з безпеки. «Вони стикаються з цим викликом щодня, усвідомлюють вони це чи ні».

Однак такий рівень досвіду серед директорів трапляється рідко. Лише 12% рад директорів S&P 500 включають спеціаліста з кібербезпеки, каже Кімберлі Чітл, директор Секретної служби США, посилаючись на дослідження 2023 року , проведене NightDragon, венчурною фірмою, яка фінансує компанії з кібербезпеки, та Diligent Institute.

Щоб допомогти директорам захистити свої компанії — та своїх співгромадян — від кіберзлочинності, Mastercard розробила навчальний курс «Академія ради з кібербезпеки» у співпраці з Секретною службою США, Агентством з кібербезпеки та безпеки інфраструктури, Національною асоціацією корпоративних директорів та NightDragon. «Це справді унікальна можливість почати скорочувати цю прогалину», — каже Чітл.

Перше засідання Академії Ради директорів CISA та Секретної служби, яке відбулося у вівторок у Навчальному центрі імені Джеймса Дж. Роулі Секретної служби в Саут-Лорелі, штат Меріленд, зібрало корпоративних директорів та галузевих експертів для обговорення сучасного стану цифрового захисту мереж.

 

Рон Грін, науковий співробітник Mastercard з кібербезпеки, звертається до корпоративних директорів, які на початку цього тижня відвідали навчальний сеанс з кіберризиків та стійкості в Меріленді. (Фото: Ребекка Абрахам)

«Ми хотіли переконатися, що зміцнюємо цей зв’язок», — каже Джен Істерлі, директорка CISA. За її словами, «очевидно, не слід очікувати, що приватний сектор самотужки протистоятиме складним державним акторам». Тож це справді надає великого значення збільшенню та зміцненню зв'язку між державним та приватним секторами».

Спільна робота над захистом національної інфраструктури

У світі, що дедалі більше взаємопов'язаний, кібербезпека має бути командною роботою. Тож Mastercard та її партнери запросили директорів компаній зі списку Fortune 500 та багатьох представників критично важливої інфраструктури США, щоб вони могли безпосередньо повчитися у урядових та галузевих експертів. У навчальній програмі, розробленій на основі принципів NACD та Альянсу з інтернет-безпеки щодо ефективного контролю за кіберризиками, учасники обговорили загрози, управління, захист та стійкість, створюючи основу найкращих практик для постійного кіберзахисту.

У результаті цих атак збитки можуть вийти далеко за межі фінансових, оскільки злочинні та державні суб'єкти організовують шпигунські кампанії або намагаються вивести з ладу критично важливу національну інфраструктуру. Жоден заклад не є забороненим. Лікарні, шкільні системи, медичні дослідницькі лабораторії, державні та місцеві органи влади — усі вони стали мішенями. А оскільки значна частина інфраструктури США належить приватним організаціям, бізнес-сектор відіграє вирішальну роль у цивільній обороні.

«Виявлення способів бути пильними щодо цього від імені наших компаній — від імені нашої країни — є важливим для нашої діяльності», — сказав Стівен Дженнінгс, незалежний директор виробника мікросхем Analog Devices, який був серед 16 директорів, присутніх на інавгураційній сесії. «Ми краще розуміємо можливості правоохоронних органів, останні тенденції та ризики».

«Кібербезпека має бути колективним зусиллям, і тепер ми можемо мати більше взаємодії між промисловістю та державним сектором для боротьби з нею в майбутньому». Загроза не зникне найближчим часом. Це буде безперервна боротьба.

Stephen Jennings

Програма також формує постійне державно-приватне партнерство, щоб учасники могли продовжувати навчатися один в одного та випереджати загрози. Члени правління можуть використовувати ширшу мережу експертів у галузі кібербезпеки, тоді як CISA та Секретна служба мають можливість отримувати зворотний зв'язок для уточнення своїх повідомлень для ширшого приватного сектору.

«Кібербезпека має бути колективним зусиллям, і тепер ми можемо мати більше взаємодії між промисловістю та державним сектором для боротьби з нею в майбутньому», – каже Дженнінгс. «Загроза не зникне найближчим часом.» Це буде безперервна боротьба.