Вскрытые угрозы: киберзащита как часть ESG-стратегии
Вскрытые угрозы: киберзащита как часть ESG-стратегии

Вскрытые угрозы: киберзащита как часть ESG-стратегии

25 июля, 20227 минут на чтение
Подписывайтесь на [Код // Дурова] в Telegram. У нас уже 190 000 подписчиков[Код // Дурова] в Telegram

Масштабные мировые события — катализатор хакерских атак, второй квартал 2022 года побил рекорд по продолжительности атак.

Специалисты глобального центра исследований и анализа угроз (Global Research and Analysis Team — GReAT «Лаборатория Касперского», работает в 19 странах мира) сообщают о росте количества сложных кибератак на бизнес в России. За первые пять месяцев 2022 года количество киберинцидентов в российских компаниях увеличилось более чем на треть по сравнению с аналогичным периодом в прошлом году. При этом палитра киберугроз, с которыми сталкиваются российские организации, максимально широка: это и APT, и программы-вымогатели, и социальная инженерия. Даже DDoS-угроза выходит на новый уровень. Нельзя не отметить идеологический фактор атак, так как теперь некоторые хакеры стали атаковать просто потому, что Россия — это Россия, а не с целью получения финансовой выгоды.

Если посмотреть на проблему киберугроз чуть глубже, чем на серьёзные репутационные риски компании и широкий общественный резонанс, становится очевидным, что защита от киберугроз необходима не только для непрерывности бизнеса, но и для сохранения окружающей среды и здоровья людей. ESG-программы должны включать аспекты информационной безопасности, чтобы свести к минимуму риск воздействия кибератаки на сотрудников, экосистему и общество в целом, уверены в «Лаборатории Касперского».

Как обстоят дела с киберзащитой в российских компаниях сегодня, что мешает организовать системный подход к информационной безопасности и о месте кибербезопасности в ESG-стратегии мы поговорили с Марией Наместниковой, руководителем российского исследовательского центра «Лаборатории Касперского», Марией Лосюковой, руководителем проектов устойчивого развития в «Лаборатории Касперского».

Хакеры прокачиваются, а прокачивается ли кибербез в компаниях?

Уровень киберпреступности растёт с каждым годом. В период пандемии это было связано с массовым выводом сотрудников на удалённую работу, сейчас – другие причины. В компании нет иллюзий относительно того, что вопрос информационной безопасности уйдет из повестки в ближайшей перспективе – помимо глобальных кризисов, провоцирующих хакеров, наша зависимость от технологий и модные гибридные форматы работы способствуют росту киберпреступности. Современные атаки становятся более сложными, агрессивными и многовекторными, то есть злоумышленники стремятся использовать максимальное количество точек входа в IT-инфраструктуру.

Поэтому компаниям необходимо быть готовыми к любым атакам и защищать все элементы своей системы. Опыт специалистов Лаборатории показывает, что в этих вопросах важна реакция и её скорость: даже после наступления инцидента его можно локализовать, имея под рукой необходимые инструменты.

«Лаборатория Касперского» провела опрос среди лиц, принимающих решения по вопросам безопасности в операторах промышленной инфраструктуры, в январе-феврале 2022 года в 17 странах мира, в том числе в России.

Данные опроса показали, что более чем в трети (38%) промышленных предприятий по всему миру нет специалиста, отвечающего за вопросы охраны окружающей среды, здоровья и безопасности.

В 36% организаций также отсутствуют специальные политики и стандарты ESG, необходимые для снижения рисков, связанных со здоровьем сотрудников и истощением природных ресурсов, которые возникают в том числе в результате кибератак. Так, каждое десятое предприятие сталкивается с киберинцидентами, которые приводят к травмам или гибели сотрудников (13%), наносят ущерб окружающей среде (13%) или оказывают влияние на национальную безопасность (13%), говорится в исследовании. Если рассматривать следование ESG-принципам как корпоративную ответственность, которую несет бизнес в отношении сотрудников и во имя благополучия своих клиентов и стейкхолдеров, то безусловно, киберзащита — один из её элементов. В «Лаборатории Касперского» защите от цифровых угроз всех масштабов отводится одно из ведущих направлений в ESG-стратегии.

Применение IoT устройств связано со всеми аспектами современной жизни, открывает возможности для бизнеса, обеспечивает комфортную жизнь простому пользователю. Инфраструктура более половины российских компаний не защищена полностью от киберугроз, при этом каждая пятая организация фиксировала кибератаки на устройства в своей сети за последние пару лет.

Согласно прогнозу IoT Analytics, к 2025 году количество подключённых по всему миру IoT-устройств достигнет 27 миллиардов. И все они нуждаются в защите.

Казалось бы, страшные заголовки об утечке данных, «положенных» сайтах, замедлении бизнес-процессов из-за атак – все это должно было простимулировать компании защищаться. Однако российский бизнес всё ещё откладывает вопрос киберзащиты по разным причинам.

Согласно исследованию «Лаборатории Касперского», причины незащищённости некоторых IT-решений в компаниях зачастую связаны с большим разнообразием устройств и систем, которые не всегда совместимы с решениями безопасности. Половина российских компаний уверены в том, что внедрение защитных инструментов может потребовать значительных финансовых затрат. По этой причине откладывают этот вопрос, понимая, что экономия и игнорирование может в один прекрасный момент сыграть злую шутку – нанести репутационные потери и финансовый ущерб в разы больше.

Около трети компаний считают, что продукты кибербезопасности повлияют на производительность устройств и сервисов и предполагают, что поиск подходящего решения может оказаться слишком сложным – без «отрыва от производства» не обойтись. Среди других распространённых проблем, с которыми сталкиваются отечественные компании при внедрении инструментов кибербезопасности, — нехватка персонала или специальных знаний в области безопасности.

Эта проблема осложняется тем, что сотрудники внутренней службы информационной безопасности (в 2021 году опрос Лаборатории показал, что только 31% крупных российских компаний имеют выделенный отдел кибербезопасности) не имеют ресурса заниматься тщательном анализом и расследованием киберинцидентов, а в компаниях поменьше, без выделенной службы ИБ, отражать атаки нет никакой возможности ввиду отсутствия экспертизы, специалистов и, вероятно, бюджета. Более того, даже сейчас некоторые компании ещё не нашли аналоги решений производителей, покинувших российский рынок.

Устойчивая кибербезопасность

Информационные и коммуникационные технологии динамично развиваются, всё больше усиливая свою интеграцию в жизнь людей, деятельность компаний и государства. Киберпространство утвердилось в качестве системообразующего элемента развития всего, что есть в XXI веке. Сейчас компании и люди много говорят об устойчивости, а возросшее количество угроз привело к тому, что кибербезопасность вышла на первое место в числе приоритетов у компаний любого масштаба. Сожаление вызывает то, что во многих случаях рост интереса происходит уже после серьёзных инцидентов в области ИБ.

«Сегодня ситуация осложняется ещё и уходом международных игроков. Даже в тех компаниях, где информационная безопасность и без того была высокоприоритетной задачей, на текущий момент происходят серьёзные перестройки систем защиты. Мы наблюдаем серьёзный интерес к решениям в сегментах, где доля иностранных игроков была очень высока, например, сетевая и облачная безопасность», – отмечает Мария Наместникова.

Появились и новые регуляторные требования, в том числе необходимость создания в компаниях специализированных ИБ-подразделений и проведение аудита. Нельзя не упомянуть и запрет с 2025 года на использование иностранных решений в госорганах, на стратегических и системообразующих предприятиях. Ну и как следствие ухода иностранных игроков — сложности в закупке оборудования.

В итоге на плечи отечественных ИБ-производителей легла ответственность обеспечить российские компании необходимыми для защиты корпоративной и критической инфраструктуры ИБ-решениями разных классов, обеспечивая при этом и требования регулятора. В частности, «Лаборатория Касперского» сфокусировалась на обеспечении экосистемной защиты совместно с другими российскими производителями ИБ-решений. В первую очередь с производителями решений сетевой безопасности, таких как НГФВ. А также на предоставлении партнерам решений, на которых они смогут оказывать сервисы безопасности организациям, которые не были самостоятельно готовы к отражению сложных атак.

«Лаборатория Касперского» продолжает «делать своё дело», фокусируясь на основной задаче - кибербезопасности, несмотря на все сложности, как, например, попадание в список компаний, представляющих угрозу национальной безопасности США.

В компании этому удивлены мало и воспринимают как данность: Лаборатория периодически сталкивается с запретами на продажи или рекомендациями заменить продукты компании альтернативными решениями c 2017 года. В основном эти ограничения распространяются только на определённые организации госсектора или критически важную инфраструктуру.

«Такие запреты принимаются по политическим мотивам, а не на технологическом основании. Однако наша компания неизменно ставит на первое место надёжность своих решений для любых пользователей. Чтобы доказать это, в 2017 году мы открыли Центры прозрачности: в них доверенные партнёры и правительственные организации могут изучать исходный код решений компании», заключает Мария Наместникова.

Что внутри по ESG?

Скромный, но гордый департамент проектов по устойчивому развитию в Лаборатории состоит из двух человек, но в компании без подробностей рассказывают, что повесткой ESG в том или ином виде занимаются многие сотрудники компании – представители отдела внутренних коммуникаций, HR, GR, PR, закупки, административно-хозяйственное управление и многие другие.

В своем нынешнем виде отдел функционирует лишь с 2022 года, но история благотворительных проектов и инициатив в компании очень долгая и многогранная, хотя и не чётко оформленная – от помощи детскому дому в Удомле до оформления пожертвований сотрудников в пользу японского Красного креста после землетрясения в 2011 году. Больше 20 лет назад компания начала посильно помогать различным организациям, частным лицам, фондам. Тогда и слов таких не знали – КСО, ESG. Просто начали помогать, чем могли, когда появилась такая возможность.

«2021 год был не самым показательным с точки зрения КСО проектов. Первую половину года мы всё ещё работали с оглядкой на пандемию, а во второй половине освоились в новых реалиях гибридных режимов, отсутствия авиасообщения и прочих постковидных симптомов. Но мы не переставали помогать «пулу» наших фондов-партнеров – «Подари жизнь», «Вера», «Живи», «Синдром любви» и многим другим. Среди них есть фонды и организации, которым мы помогаем уже больше 15 лет», – рассказывает Мария Лосюкова.

Кажется, что времена пандемии пробудили в сотрудниках неравнодушие и желание влиять на острые социальные проблемы. Отчёт о корпоративной социальной ответственности за 2019–2020 годы под кодовым названием «We сare» пропитан человечностью, вдохновляющими историями, необычными коллаборациями и ободряющими проектами компании как для внутренней аудитории, так и для внешней. В этом году Лаборатория отчитается за 2021 и 2022 годы, но уже в новом формате ESG отчета. Это будет первый, пилотный ESG отчёт, составленный по GRI стандартам.

В компании пообещали, что многие темы вновь найдут отражение – антисталкерское ПО, женщины в IT, образовательные инициативы, благотворительные проекты, но в этот раз гораздо шире будет освещаться тема корпоративного управления и экологии. Для Лаборатории, как для передовой IT компании в стране, ESG отчёт – это всё же новый инструмент для подсвечивания интересных и важных проектов «Лаборатории Касперского», ориентированных на выполнение целей устойчивого развития ООН в рамках специфики работы компании.

Тема IT специалистов по-прежнему весьма актуальна: некоторые HR специалисты утверждают о массовой миграции IT умов из страны, кто-то рассказывает об успешных кейсах их удержания. В «Лаборатории Касперского» работает почти пять тысяч сотрудников, половина из них — в R&D. Найм сотрудников продолжается, темп не сбавляется, в амбициозных планах Лаборатории открыть до конца года тысячу новых рабочих мест. Сегодня в компании открыты сотни вакансий по разным направлениям, и большинство — также для департамента исследований и разработки.

«Мы всегда стараемся поддерживать наших сотрудников вне зависимости от внешних обстоятельств. Весной провели запланированную ранее индексацию заработных плат, в результате которой повысили зарплаты в среднем на 20%. Проводили вебинары с психологами для всех наших сотрудников, чтобы помочь справиться с эмоциональной нагрузкой, когда коллеги в этом особенно нуждались. Для сотрудников доступны линии психологической, юридической поддержки и финансовое консультирование, а с весны этого года — также очные консультации психолога непосредственно в офисе», – делится Мария Лосюкова.

О том, что будет дальше

«Лаборатория Касперского» решила использовать турбулентное время для калибровки собственной стратегии. По словам Марии, пересматриваться будут аспекты воздействия на окружающую среду, анализироваться цепочка ценностей, прорабатываться слабые стороны и развиваться сильные с точки зрения ESG повестки. Это весьма полезное упражнение, которое помогает по-другому взглянуть на многие процессы внутри компании – логистику, закупки, маркетинг, управление человеческими ресурсами.

По итогам этой работы, в которой задействованы многие отделы и специалисты компании, можно будет говорить о конкретных планах и шагах. Кроме того, в планах запуск большого проекта по эко-тематике, деталями которого поделятся уже в ближайшее время.

25 июля, 2022
Подписывайтесь на [Код // Дурова] в Telegram. У нас уже 190 000 подписчиков[Код // Дурова] в Telegram
Комментарии