Кибер-атаки дорогостоящи, разрушительны и представляют собой растущую угрозу как для бизнеса, так и для правительств, и самого общества. К счастью, целый арсенал стандартов помогает нам всегда оставаться впереди в гонке к кибербезопасности.
Уровень киберпреступности растет, и по мере того, как мы всё сильнее углубляемся в цифровую эпоху, эпоху так называемой четвертой промышленной революции, киберпреступность также становится все более изощренной и серьезной, что влечет за собой более тяжелые последствия. По мере того как киберпреступники становятся все более ловкими, их действия так или иначе затрагивают все наши жизни.
Кибератаки могут варьироваться от простого взлома систем и социальных сетей, до фишинговых атак, вредоносных программ, включая ransomware, кражи личных данных, социальной инженерии и атак типа "отказ в обслуживании". Это болезненно как в личном, так и в финансовом плане, наносит неисчислимый ущерб и разрушения, а также делает общество и граждан более уязвимыми. По данным компании McAfee, специализирующейся на программном обеспечении в сфере компьютерной безопасности, количество капитала, полученного с помощью кибер-атак постоянно растет и в 2020 году составило около 1 триллиона долларов США.
Растущий глобальный риск
Поскольку пандемия COVID-19 ещё сильнее укрепила нашу растущую зависимость от цифровых систем, неудивительно, что в докладе "Глобальные риски 2022" угроза кибербезопасности вновь включена в число растущих рисков, с которыми сталкивается наш мир. В данном докладе говорится, что ситуация с кибербезопасностью значительно ухудшилась и уже угрожает долгосрочному процветанию этой отрасли.
Но как же мы сможем стать на шаг впереди киберзлодеев? Создание хорошей системы киберзащиты, а также предвидение возможных угроз являются ключевыми элементами в борьбе с киберпреступностью, но ни устойчивость, ни управление невозможны без надежных и сложных планов управления киберрисками. "Киберпреступность - это как национальное, так и международное явление, которое распространяется с огромной скоростью, затрагивая предприятия, правительства и общество в целом. Масштабы и сложность этой преступной деятельности имеют далеко идущие и пагубные последствия, и правильно обрисовать ситуацию крайне сложно, поскольку киберпреступники действуют, используя техническую инфраструктуру, находящуюся вне каких-либо государственных границ", - говорит эксперт по кибербезопасности д-р Эдвард Хамфрис (Dr Edward Humphreys).
Ситуация с кибербезопасностью значительно ухудшилась.
Поэтому, добавляет он, международное сотрудничество абсолютно необходимо, глобальную защиту невозможно обеспечить без активной базы международных стандартов. Доктор Хамфрис может абсолютно точно утверждать это на основе своего многолетнего делового опыта. Он также является старшим научным сотрудником, специализирующимся на исследованиях в области киберрисков, безопасности и киберпсихологии, а также инновационных исследований в области ISMS. Он также является координатором рабочей группы ИСО/МЭК, ответственной за управление, разработку и поддержание ISO/IEC 27000, семейства стандартов по системам менеджмента информационной безопасности (ISMS).
Решения и рычаги контроля
По его словам, международные стандарты обеспечивают новые решения, позволяя организациям создавать рамки и системы для оценки и управления ситуацией - для защиты информации, обеспечения безопасности приложений и услуг, а также национальной инфраструктуры.
Первым шагом в борьбе с киберпреступностью является знание рисков, с которыми вы сталкиваетесь, а затем принятие решения о мерах контроля, которые необходимо внедрить для снижения этих рисков. Хамфрис указывает на такие стандарты, как семейство ISO/IEC 27000, разработанные ИСО и Международной электротехнической комиссией (МЭК), в качестве фактического выбора для любой организации, желающей создать надежные решения против киберпреступности. Данный набор международных стандартов определяет систему управления, которая включает в себя процесс управления рисками, заключающийся в первичной оценке и последующем определении средств контроля, необходимых для их успешного устранения.
Первым шагом в борьбе с киберпреступностью является знание рисков, с которыми вы сталкиваетесь.
"Существует целый ряд стандартов, поддерживающих ISO/IEC 27001, таких как ISO/IEC 27005 по управлению рисками информационной безопасности и руководство по внедрению ISO/IEC 27003", - говорит он. "Существует также множество других стандартов, обеспечивающих техническую поддержку ISO/IEC 27001, например, для обеспечения безопасности сетей и внедрения средств защиты в технологии, услуги и приложения".
Будь всегда готов
Доктор Хамфрис еще раз подчеркивает, что компаниям необходимо быть готовыми к подобным атакам. "Кибератаки могут произойти в любое время и в любом месте, и невозможно усомниться в том, что такие атаки обязательно произойдут, но мы никогда не можем быть уверены, когда и где", - говорит он. "Быть готовым к кибератакам и иметь возможности отразить их - это важнейшие деловые мероприятие для выживания компании, что предполагает наличие в данной компании процесса, позволяющего предвидеть и идентифицировать кибератаки, обнаруживать и сообщать об инцидентах, а также анализировать уже случившиеся проблемы, чтобы решить, как реагировать на подобное в будущем". Все это должно быть сделано быстро и своевременно, чтобы ограничить последствия, которые может вызвать инцидент.
Кибератаки могут произойти в любое время и в любом месте.
Как же предприятиям лучше подготовиться к подобному? Как только компания обнаруживает наличие атаки вредоносного кода или атаки типа "отказ в обслуживании", чем быстрее она принимает соответствующие меры безопасности, тем больше шансов ограничить распространение этих атак, а также ограничить размеры последствий и причиненного ущерба. И, как говорит доктор Хамфрис, существуют стандарты, которые помогают предприятиям стать более готовыми и лучше подготовиться к реагированию, такие как стандарт управления инцидентами ISO/IEC 27035, стандарт управления непрерывностью бизнеса ISO 22301 и стандарт готовности ИКТ ISO/IEC 27031.
Коллективные действия
В и без того нестабильном мире киберпреступность может привести к финансовому краху, нарушить работу предприятий и национальной инфраструктуры, а также повлиять на самих граждан и общество. Например, атака на одну часть цепи поставок может распространиться, нарушить работу и нанести ущерб другим частям цепи. По словам д-ра Хамфриса, для создания более безопасных и устойчивых систем кибербезопасности управление цепочкой поставок является хорошим примером того, где необходимы коллективные действия всех звеньев цепи для обеспечения ее безопасности.
"Опять же, - говорит он, - существуют стандарты, которые помогают в обеспечении безопасности цепочки поставок, такие как ISO 28000 и ISO/IEC 27036. Коллективные действия также необходимы в различных сценариях, включающих деловые отношения и коммуникации с другими организациями. Существует группа стандартов управления, которые помогут в создании устойчивости для противодействия сбоям в бизнесе и обеспечения живучести и системы управления. К ним относятся ISO 22301 (системы управления непрерывностью бизнеса) и ISO/IEC 27001 (системы управления информационной безопасностью) и ISO/IEC 27014 (управление информационной безопасностью)".
С ростом и зависимостью от подключенности к мировой сети для бизнеса, инфраструктуры, которая его поддерживает, а также использования Интернета и мобильных устройств, возникает еще большая потребность в безопасности и устойчивости систем. Доктор Хамфрис признает, что стандарты должны развиваться в соответствии с быстрым прогрессом технологий. "Третье издание стандарта ISO/IEC 27002, например, было опубликовано в первом квартале 2022 года. Этот известный стандарт касается контроля информационной безопасности и был обновлен с учетом развития технологий, развития и практики бизнеса, а также новых законов и нормативных актов".
В 2021 году, добавляет он, было много других разработок в области стандартизации, включая безопасность и конфиденциальность Интернета вещей (IoT), безопасность и конфиденциальность больших данных, безопасность и конфиденциальность искусственного интеллекта, а также защиту биометрической информации. Учитывая все это, наряду с недавними техническими спецификациями, такими как ISO/IEC TS 27570, который содержит руководство по защите конфиденциальности экосистемы умного города, и ISO/IEC TS 27100, который определяет, как создавать или совершенствовать надежные киберсистемы для защиты от кибератак. Полное семейство стандартов ISO/IEC 27000 и вышеупомянутые спецификации, ориентированные на технологии, являются основой для создания безопасного будущего и управления им.