Способы обеспечить киберустойчивость вашего бизнеса

Сегодня мало кто из нас не знает о важности кибербезопасности и угрозе кибератак на наши компьютеры, смартфоны и другие устройства. Нам постоянно напоминают о том, чтобы мы никогда не разглашали пароли и были бдительны в отношении спама и фишинговых писем, которые пытаются манипулировать нами, чтобы заставить нас разгласить личную информацию - например, пароли, банковские реквизиты, данные социального страхования или медицинскую информацию.

Такая форма кражи личных данных, хотя и вызывает беспокойство, становится еще более зловещей, когда она оказывается направленной на правительства и другие крупные учреждения. "Seeing is deceiving" (“Увидишь — не верь”) - таков девиз популярного сериала "Захват", выпущенного каналом BBC, который исследует влияние технологии deepfake - описываемой как ответ фотошопу 21 века - угрожающей национальной безопасности, расшатывающей основы государства, разрушающей доверие и заставляющей нас сомневаться в самой реальности. 

Возможно, во многом это надуманно, но по мере того, как мы углубляемся в эпоху четвертой промышленной революции, “Захват” подчеркивает потенциальные риски и угрозы, исходящие от быстро меняющихся и все более совершенных технологий. 

К 2025 году глобальные затраты на противодействие киберпреступности достигнут 10,5 триллионов долларов США в год. 

Приоритизируя риски

Согласно отчету Всемирного экономического форума Global Cybersecurity Outlook 2022, разрушение инфраструктуры в результате кибератаки является проблемой номер один для киберруководителей, опережая кражу персональных данных. В отчете также указывается, что, хотя 85 % киберруководителей согласны с тем, что киберустойчивость является приоритетом для их организации, заручиться поддержкой лиц, принимающих решения, при определении приоритетности таких рисков по сравнению со многими другими остается большой проблемой. К этой задаче не следует относиться легкомысленно. Журнал CyberCrime Magazine утверждает, что кибератаки потенциально могут вывести из строя экономику города, штата или целой страны, а глобальные затраты на противодействие киберпреступности к 2025 году достигнут 10,5 триллионов долларов США в год. 

Кибербезопасность — явление не новое, но в нашем все более взаимосвязанном — и фрагментированном — мире риски кибератак для людей, организаций, услуг и систем никогда не были столь велики. С ростом сложности технологий выросли и киберпреступники. В мире царит неопределенность, а доверие стоит на первом месте. Смелость и уверенность в безопасности наших систем сегодня является основным требованием, и два международных стандарта  – ISO/IEC 15408 и ISO/IEC 18045 для информационных технологий — могут помочь восстановить уровень доверия. 

Все подобные стандарты работают вместе "как педали велосипеда", - говорит Мигель Баньон (Miguel Bañón), эксперт в области оценки и сертификации кибербезопасности и председатель рабочей группы по оценке, тестированию и спецификации безопасности, действующей под совместным руководством ИСО и Международной электротехнической комиссии (МЭК). ISO/IEC 15408 устанавливает критерии оценки безопасности ИТ, а ISO/IEC 18045, сопутствующий документ, определяет методологию оценки безопасности ИТ. Однако для практических целей это одно и то же.

Для того чтобы преуспеть на рынке, вам необходимо добиться доверия ваших клиентов.

Своевременный пересмотр

Недавний пересмотр стандартов не мог быть более своевременным, ведь они развиваются в соответствии с новыми сложными потребностями эпохи. "Рабочая группа фокусируется на обеспечении безопасности технологий, сертификации тестирования и предоставлении стандартов для обеспечения безопасности самой технологии", - говорит Баньон. "Это важная часть решения". Стандарты также помогают управлять информацией и используют целостный подход, но основной фундамент заключается в том, чтобы данная технология была полностью безопасной.

Для того чтобы преуспеть на рынке, необходимо добиться доверия клиентов. Это справедливо как для технологии, так и для любого другого продукта. При головокружительном количестве новых продуктов, которые очень быстро появляются на рынке, таких как, например, автомобили с автопилотом и выходом в Интернет, как вы можете положиться на подобный почти разумный автомобиль, который ездит сам по себе, если у вас нет уверенности в том, что он будет работать должным образом? 

Как говорит Баньон, с ISO/IEC 15408 и ISO/IEC 18045 "мы предоставляем лучший и единственный согласованный на международном уровне способ тестирования и оценки безопасности продуктов и систем". Он отмечает, что то, что раньше было нишевой областью, теперь становится всё более распространенным, и рынок сам выдвигает кибербезопасность в качестве одного из необходимых требований. Лица, принимающие решения, и руководители теперь должны сделать шаг вперед и определить приоритетность киберрисков. 

Рынок сам выдвигает кибербезопасность на первое место в качестве одного из необходимых требований.

Повышая устойчивость

На правительственном уровне всё больше признаётся необходимость наличия стандартов по кибербезопасности. По словам Баньона, одним из положительных результатов всплеска озабоченности кибербезопасностью стало, например, принятие в Европейском союзе нового и готовящегося к принятию законодательства по укреплению систем кибербезопасности. "Закон ЕС о кибербезопасности создает основу для общеевропейских схем сертификации. В прошлом, если вам нужно было сертифицировать безопасность вашего продукта, вы могли сделать это только на основе национальных схем", - говорит он. "Теперь, впервые, будет создана общеевропейская схема сертификации продуктов, и эта новая схема основана на ISO/IEC 15408".

Как он отмечает, безопасность ИТ не является чем-то новым, и применение стандартов в прошлом оказало положительное влияние на продукты на рынке. Он говорит: "Те продукты, которые обычно достигали соответствия стандартам, такие как операционные системы или сетевые устройства, развивались и совершенствовались до такой степени, что хакерам приходилось выбирать "более простые" продукты/виды атак".

Соответствие стандарту ISO/IEC 15408 требует высокого уровня зрелости, высокого уровня устойчивости к атакам. Когда сегодня мы слышим новости о крупных нарушениях кибербезопасности, Баньон говорит, что высока вероятность того, что хакеры использовали продукты, которые не были сертифицированы или проанализированы в соответствии с данным стандартом. "Если вы хакер, то вы, как правило, ищете самое слабое звено в цепи, и сегодня самый легкий путь лежит через продукты, которые не были сертифицированы в соответствии с нашим стандартом".

Независимость и беспристрастность

Всё это вопрос доверия. "В наших стандартах доверие обеспечивается после очень строгого, независимого и беспристрастного анализа продукта, после процесса оценки и сертификации" — заключает Баньон. Так же как вы не можете — и не хотите — купить стиральную машину, не соответствующую требованиям безопасности, соответствие вышеуказанным стандартам, "которые определяются потребностями рынка и являются основой самых успешных схем кибербезопасности во всем мире", обеспечивает защиту от неприятных потрясений и душевное спокойствие.