Статья опубликована в рамках: Научного журнала «Инновации в науке» № 2(63)
Рубрика журнала: Экономика
Скачать книгу(-и): скачать журнал
КИБЕРБЕЗОПАСНОСТЬ РОССИЙСКИХ КОМПАНИЙ: СУЩЕ-СТВУЮЩИЕ ПРОБЛЕМЫ И ПУТИ ИХ РЕШЕНИЯ
CYBER SECURITY OF RUSSIAN COMPANIES: PROBLEMS AND THEIR SOLUTIONS
Nina Efimova
grand PhD in economic sciences, professor at the Department of «State and municipal finances» of the High school of public audit of Moscow state University named after M. V. Lomonosov,
Russia, Moscow
Marina Prokhorova
master of the High school of public audit of Moscow state University named after M. V. Lomonosov,
Russia, Moscow
АННОТАЦИЯ
В статье рассмотрены основные киберриски, присущие деятельности российских компаний. Автор рассматривает практические аспекты управления кибербезопасностью, приводит статистические данные об использовании тех или иных элементов защиты. В заключение автор приходит к выводу о необходимости внедрения киберрисков в общую систему оценки рисков, в частности, в систему оценки рисков службой внутреннего контроля.
ABSTRACT
The article describes the main cyber risks inherent to the activities of Russian companies. The author examines the practical aspects of cyber security management, provides statistical data on the use of certain security features. The author concludes that the including of cyber risk into the overall risk assessment, particularly in risk assessment by the internal control service, is necessary to manage the risk-level of company.
Ключевые слова: кибербезопасность; киберриски; внутренний контроль; управление рисками.
Keywords: cybersecurity; cyber-risk; internal control; risk management.
Обеспечение экономической безопасности страны тесно связано с системой экономической безопасности предприятий, в частности, системой кибербезопасности. По данным обзора компании KPMG проблема кибербезопасности вышла по значимости на первое место для российских компаний. [5] По одной из оценок в 2019 году киберпреступность может стоить бизнесу свыше $2 трлн., что почти в четыре раза превышает расчетный уровень 2015 года. [6]
При этом, по данным компании «Лаборатория Касперского» целевым атакам подверглись по меньшей мере 22% компаний, работающих в критически важных для России отраслях: энергетике, строительстве, промышленности, транспортной сфере, оборонном комплексе. [4] Атаки на подобные объекты грозят ущербом не только для самих предприятий, но также подвергают риску нормальное функционирование региональной или федеральной инфраструктуры.
Несмотря на актуальность рассматриваемой проблемы, сегодня существует ряд недостатков в управлении кибер-рисками в организациях. Так, многие организации не проводят ранжирования информационных систем по степени значимости. Это приводит к попыткам защитить все, из-за чего одни системы будут «перезащищены», в то время как другие – «недозащищены». Для решения этой проблемы организации должны определить, какие данные наиболее важны для деятельности компании и защищать наиболее важные активы.
Кроме того, многие компании не знают, где и как хранится информация, в то время, как один из постулатов управления информационной безопасностью – это тот, кто имеет физический доступ к серверу, тот имеет доступ ко всему.
При этом компании редко проводят модернизацию своей защиты: например, из 10.000 опрошенных топ-менеджеров только 39% сказали, что они, хотя бы раз в год, проводят пересмотр действующих систем электронной защиты [1].
Следующий недостаток существующей системы контроля за кибер-рисками, – отсутствие «динамичности» при их оценке. На сегодняшний день оценка кибер-рисков обычно является отражением текущей ситуации, тогда как данный процесс должен включать обзор тех изменений, которые могут привести к созданию внутренних и внешних угроз, которые, в свою очередь, вызывают необходимость пересмотра системы управления рисками.
К наиболее важным вопросам при управлении киберрисками относится и необходимость проведения оценки кадровых изменений. Важность данного этапа связана и с тем, что сотрудники – в 65% случаев становились первопричиной инцидентов в данной сфере. [1] Они могут преднамеренно причинить вред компании, разгласив инсайдерскую информацию, но могут и просто потерять свои мобильные устройства или стать объектом фишинга.
Еще один существенный недостаток - оценка рисков, связанных с поставщиками, проводится только 50% опрошенных, и всего 50% участников исследования провели инвентаризацию всех третьих лиц, имеющих доступ к персональным данным клиентов и сотрудников [6]. Только 54% респондентов имеют документально оформленную политику, обязывающую третьих лиц соблюдать установленные ими требования к защите персональных данных [1].
Таким образом, кибер-рисков нельзя избежать, ими можно только управлять с помощью осуществления соответствующего контроля. По нашему мнению, решение проблемы кибератак содержится во внедрении кибер-рисков в общую систему оценки рисков, проводимую службой внутреннего контроля (СВК). Несмотря на актуальность данной темы, кибер-риски внутреннего контроля практически не рассматриваются российскими исследователями и практиками.
В соответствии с Интегрированной концепцией внутреннего контроля Комитета организаций-спонсоров Комиссии Тредвея (COSO Framework) внутренний контроль – процесс, организованный и осуществляемый руководством и другими сотрудниками, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой отчетности, эффективности и результативности хозяйственных операций, а также соответствия деятельности действующим нормативным правовым актам. [3] Организация СВК направлена на устранение каких-либо рисков хозяйственной деятельности, угрожающих достижению любой из этих целей. При этом к кибер-рискам относят любые случаи нарушения данных: их потеря, искажение, неправильная обработка. Нарушение данных может произойти вследствие заражения вирусами, несанкционированного доступа, физической кражи и т. д.
Развитый механизм минимизации кибер-рисков в рамках СВК, если опираться на положения, прописанные в COSO Framework, публикациях Института внутренних аудиторов, а также обзоры компаний Big4, заключается в том, что представляет собой многоуровневый процесс, включающий контрольную среду, оценку рисков, средства контроля; информацию и коммуникации; мониторинг.
Таким образом, внутренний контроль – это институциональный механизм повышения вероятности достижения целей компаний. В рамках управления кибер-рисками он представляет собой непрерывный процесс их оценки, мониторинга и корректировки политики по управлению рисками с целью повышения ее эффективности. Интегрированная концепция внутреннего контроля предлагает организацию многоуровневой системы управления кибер-рисками, которая при правильном оформлении, помогает предотвратить возможные атаки злоумышленников, сохраняя их за пределами организации внутренней ИТ-среды. Данная концепция должны быть принята во внимание руководством компаний. С целью повышения эффективности организации системы внутреннего контроля руководству необходимо определить уровни толерантности к риску, приемлемые для организации, и сосредоточить свои усилия на защите наиболее критичных информационных систем. Кроме того, необходимо сформировать рабочую группу с участием представителей всех заинтересованных служб, которая будет регулярно проводит встречи для обсуждения вопросов обеспечения информационной безопасности, модернизации систем электронной защиты, надлежащего информирования сотрудников организации о существующих кибер-рисках, проводить оценку кибер-рисков, связанных с поставщиками услуг. Все это позволит существенно повысить эффективность внутреннего контроля, а, как следствие, избежать компаниями значительных потерь, что особенно актуально в сегодняшних кризисных условиях.
Список литературы:
- Корпоративные киберугрозы и кибер-риски: восприятие бизнесом: презентация PwC // Сайт MyShared / [Электронный ресурс]. – Режим доступа: URL: http://www.myshared.ru/slide/967096/ (дата обращения - 01.02.2017)
- Разграничение функций управления рисками, внутреннего контроля и аудита // Сайт Института внутренних аудиторов. / [Электронный ресурс]. – Режим доступа: URL: http://www.iia-ru.ru/inner_auditor/publication/member_articles/voronchihin/ (дата обращения - 01.02.2017)
- Управление рисками организаций: интегрированная модель // Сайт COSO / [Электронный ресурс]. – Режим доступа: URL: http://www.coso.org/documents/coso_erm_executivesummary_russian.pdf (дата обращения - 01.02.2017)
- Целевые кибератаки // Сайт Лабаратории Касперского. / [Электронный ресурс]. – Режим доступа: URL: http://www.kaspersky.ru/about/news/virus/2016/losing-important-data-because-of-cyber-attacks (дата обращения - 01.02.2017)
- Internal Audit: Top 10 key risks in 2015 // Сайт KPMG. / [Электронный ресурс]. – Режим доступа: URL: https://www.kpmg.com/AE/en/Documents/2015/KPMGThoughtLeadership/KPMGInternalAuditTop10risksin2015.pdf (дата обращения - 01.02.2017)
- Where insights lead Cybersecurity and the role of internal audit: An urgent call to action // Сайт компании Deloitte. / [Электронный ресурс]. – Режим доступа: URL: http://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-cyber-ia-urgent-call-to-action.pdf (дата обращения - 01.02.2017)
Оставить комментарий