Кібератаки: дуже реальна загроза існуванню організацій

Ми всі знаємо, що кібербезпека є критично важливим елементом бізнес-ризику. Але наскільки критично? Деякі зали засідань, здається, приділяють безпеці трохи більше, ніж на словах, і їм все одно вдається уникнути серйозних наслідків. Ось чому новий звіт глобальної страхової компанії Hiscox робить читання цікавим. У ньому фактично стверджується, що багато європейських і американських організацій наблизилися до банкрутства через порушення безпеки. І в той час як витрати зростають, все менше, ніж будь-коли, глобальних компаній називають «експертами» з кіберготовності.

Зрозуміло, що ніколи не було так важливо знати, куди спрямувати інвестиції в кібербезпеку. Що ж роблять експерти, щоб уникнути банкрутства? Згідно зі звітом, це в основному поєднання передових практик і бажання вчитися на попередніх інцидентах.

Екзистенційна загроза

Звіт складено на основі інтерв’ю з 5,000 компаній у США, Великій Британії, Бельгії, Франції, Німеччині, Іспанії, Нідерландах та Ірландії. Деякі знахідки ми вже знали. Але є кілька цікавих нюансів. Наприклад:

• Сім із восьми країн вважають кібератаку загрозою номер один для свого бізнесу
• Половина (48%) респондентів повідомили про кібератаку за останні 12 місяців, порівняно з 43% минулого року
• П’ята частина (19%) респондентів повідомили про атаку програм-вимагачів, порівняно з 16%. Дві третини жертв заплатили своїм нападникам

Поки що так зазвичай. Однак існує велика прірва у сприйнятті між тими, хто зазнав нападу, і тими, хто ні. Більше половини (55%) жертв кібератак вважають кібербезпеку зоною високого ризику, але ця цифра падає лише до 36% для тих, хто не зазнав компромісу. Аналогічно, 41% тих, хто піддався нападу, стверджують, що їхній ризик зріс, але для іншої групи ця цифра становить менше чверті (23%)

Ще один цікавий момент: кіберзлочинці, схоже, є все більше орієнтується на невеликі компанії. Ті, хто має доходи від 100,000 500,000 до 1 9 доларів США, тепер можуть очікувати стільки атак, скільки ті, хто заробляє XNUMX-XNUMX мільйонів доларів США на рік.

Коштують фірми дорого

Це важливо, оскільки п’ята частина компаній-респондентів, які зазнали нападів, стверджують, що їхня платоспроможність була під загрозою, що на 24% більше, ніж минулого року. Витрати на порушення можуть включати:

• Збої в роботі
• Юридичні витрати
• Витрати на понаднормову роботу ІТ та сторонні експертизи
• Нормативні штрафи
• Відтік клієнтів
• Втрачений випуск і продажі
• Довгострокова репутаційна шкода

Це може частково пояснити, чому витрати зросли. Згідно зі звітом, середні витрати респондентів на кібербезпеку зросли на 60% за минулий рік до 5.3 мільйона доларів США, а з 250 року зросли на 2019%.

Як зловмисники компрометують організації?

Щоб краще зрозуміти, як ваша організація може уникнути банкрутства, нам спочатку потрібно знати, як загрозливі особи завдають такої великої шкоди. Згідно зі звітом, основними векторами атаки є:

• Хмарні сервери (41%)
• Ділова електронна адреса (40%)
• Корпоративні сервери (37%)
• Сервери віддаленого доступу (31%)
• Мобільні пристрої, що належать працівникам (29%)
• DDoS (26%)

Це перегукується з висновками інших звітів і розповіддю про те, що дистанційна робота, інвестиції в хмарну інфраструктуру, пов’язані з пандемією, і проблеми з безпекою віддаленої роботи є одними з найбільших ризиків, з якими сьогодні стикаються організації. Вони в поєднанні з людською помилкою створили велику поверхню для атаки, на яку можуть націлитися зловмисники.

Що робити далі

Деяке занепокоєння викликає той факт, що показники кіберготовності, за оцінками Хіскокса, впали на 2.6% у порівнянні з минулим роком, що призвело до різкого зниження кількості фірм, які вважаються «експертами» – з 20% до лише 4.5%. Частка новачків також значно зменшилася, залишивши більшість із них «проміжними». Кіберготовність має значення, оскільки середні витрати на атаки, як відсоток від доходів, у два з половиною рази вищі для фірм, які вважаються «кібер-новачками», стверджується у звіті.

Отже, як виглядає зріла організація, готова до кібернетики? На щастя, не все залежить від того, скільки грошей можна витратити. Виділено декілька найкращих практик, зокрема такі:

• Формалізуйте кібербезпеку з чітко визначеними ролями та підтримкою правління чи вищого керівництва
• Переконайтеся, що керівники мають чітке бачення та взаємодію з кібербезпекою
• Дотримуйтесь стандартів передової практики, таких як Структура Національного інституту стандартів і технологій США (NIST).
• Розподіліть інвестиції на п’ять ключових функцій NIST – виявлення, захист, виявлення, реагування та відновлення
• Зосередьтеся на плануванні реагування на інциденти та моделюванні атак у світлі поточна геополітична невизначеність
• Регулярно оцінюйте корпоративні дані та технологічну інфраструктуру
• Забезпечити ефективний тренінг щодо кібербезпеки
• Переконайтеся, що бізнес-постачальники та партнери дотримуються вимог безпеки
• Зосередьтеся на таких процесах, як «виправлення», пентестування та регулярне резервне копіювання

У сукупності ці кроки допоможуть звести до мінімуму ймовірність того, що атака призведе до банкрутства організації.