[EN] Упродовж цього року ми бачили, як стають видимими нові вразливі місця у системах безпеки. Зловмисники використовували прогалини у програмному забезпеченні та мережах, щоб красти дані або відвідувати конфіденційні онлайн-зустрічі. Також вони експлуатували страхи людей: у квітні Google щодня фіксував понад 18 мільйонів електронних листів, у яких згадувався коронавірус і які містили спробу фішингу чи шкідливе ПЗ. Зміни, які ми переживаємо, скоріше за все, матимуть довготривалі наслідки. Бізнеси переосмислюють конфігурацію ланцюгів постачань та взаємодію з партнерами. А за результатами дослідження, проведеного компанією McKinsey, більшість людей, які зараз працюють дистанційно, не очікують швидкого повернення до офісів. Ба більше, 70% відповіли, що можливість працювати дистанційно буде одним з критеріїв для вибору наступного місця роботи. Схожа картина спостерігається в опитуваннях клієнтів: 75% респондентів, які користуються цифровими каналами для спілкування з бізнесом під час пандемії, планують продовжити робити це й потім. Зміна контексту вимагає від компаній (зокрема команд із кібербезпеки) двох кроків, - впевнені фахівці McKinsey.  По-перше, аналізу ризиків, що виникають внаслідок переходу на віддалену роботу й використання нових технологій. По-друге, моделювання – як працівники їхніх компаній, клієнти, ланцюжок постачань, партнери тощо зможуть безпечно взаємодіяти у нових умовах. Пандемія підсвітила критично важливу роль, яку відіграє безпека у виконанні віддалених операцій як під час кризи, так і після неї. Кібербезпеку вже не варто розглядати як перешкоду для зростання, навпаки – вона має допомагати у прийнятті бізнес-рішень. Кроки до кібербезпеки Компанії, які випереджають інших з точки зору кібербезпеки, реагували на поточну кризу кроками у трьох напрямках: вони оцінювали та знешкоджували проблеми, виправляли й «вичищали» операції та посилювали цифрові здобутки. Їхній досвід може бути корисним організаціям, які знаходяться лише на початку цього шляху. Наприклад, велика компанія, що надає фінансові послуги, забезпечила усіх працівників кол-центру, які перейшли на віддалену роботу, тонкими клієнтами Wyse – і так гарантувала безпечний зв’язок. А один великий банк оновив свою політику безпеки у відповідь на пандемію та провів кампанію з підвищення кібербезпекової грамотності для працівників.  

Більшість людей, які зараз працюють дистанційно, не очікують швидкого повернення до офісів.  А для 70%  з них можливість працювати дистанційно буде одним з критеріїв для вибору наступного місця роботи

  Коли люди призвичаїлись працювати вдома, чимало компаній почали стандартизувати процедури для віддаленого робочого середовища та досліджувати технології для зменшення довгострокових ризиків. Скажімо, великий банк розширив біометричну аутентифікацію на нові цифрові канали, а також пришвидшив впровадження сучасної платформи для виявлення шахрайства на основі штучного інтелекту. Тепер його вхідні транзакції можуть бути проаналізовані за 300 мілісекунд або менше, а раніше така перевірка тривала декілька годин. А національна страхова компанія розробила нову політику зменшення ризику проникнення кіберзлочинців у мережу через незахищені домашні принтери. Зокрема, працівникам заборонили друкувати дистанційно за допомогою персональних принтерів, за виключенням узгоджених випадків. Складники нової нормальності На думку фахівців McKinsey, щоб забезпечити бізнесу розвиток у нових умовах, потрібні такі дії у сфері кібербезпеки: 1. Зробити безпечними нові способи роботи працівників. Інколи компаніям здається, що зловмисники не можуть отримати доступ до внутрішньої інформації, проте детальна перевірка здатна виявити чимало потенційних небезпек. Скажімо, глобальний банк зміг знайти 70 «дірок» у безпеці, переважно пов’язаних із дистанційною роботою працівників. Зараз компаніям потрібно змінити розуміння периметру безпеки. Раніше він був статичним, обмежувався офісною мережею. Але тепер фокус має зміститися на периметри безпеки навколо окремих користувачів, активів, ресурсів. Також компаніям потрібно буде розширити операційний захист. У пригоді стануть програми виявлення інсайдерських загроз та чіткі правила організації безпечного віддаленого робочого місця. Наприклад, заборона на доступ до робочих пристроїв членів родини працівника. 2. Убезпечити шлях клієнта. Цифровий досвід споживача має бути безпечним та приємним, особливо того, хто не дуже добре розуміється на сучасних технологіях. По-перше, варто покращити ідентифікацію клієнта, скажімо, використовувати єдину ідентифікацію у всіх цифрових каналах. По-друге, корисно ставитися до клієнтів як до партнерів у сфері безпеки: залучати їх до освітніх програм та програм підвищення кіберграмотності. Деяким з них організація може навіть пропонувати безкоштовні антивірусні програми та допомагати захищатися від втрати даних. Також у новій нормальності багатьом бізнесам варто інвестувати у засоби контролю за шахрайством, щоб попереджати й зупиняти небезпечні транзакції.  

У новій нормальності кібербезпека буде вбудована у процеси та технології як стратегічний імператив

  3. Переосмислити ланцюжок постачання та ризики, пов’язані з третіми особами. Перш за все, варто оцінити ризики, асоційовані з усіма постачальниками (а не лише постачальниками IT-продуктів). Кожному постачальнику потрібно призначити певний рівень ризику, виходячи з того, до якої інформації він має доступ. Також варто убезпечити інструменти віддаленої співпраці з партнерами і врахувати наслідки, з якими може стикнутися ваша компанія у випадку, якщо у партнера виникнуть проблеми. 4. Посилювати взаємодію з іншими гравцями зі своєї сфери бізнесу. Під час пандемії чимало сфер побачило розширення співпраці між компаніями та регуляторами, а також нові способи взаємодії. Дуже важливо – продовжувати й поглиблювати таку співпрацю, це допоможе усім сторонам вийти з турбулентного періоду сильнішими. Наприклад, сфера телемедицини упродовж останнього року зростала у геометричній прогресії. Найімовірніше, вона назавжди змінить спосіб надання медичної допомоги. Це вимагатиме від компаній співпраці з державними органами для формування правил щодо дотримання конфіденційності та багатьох інших. У новій нормальності кібербезпека буде вбудована у процеси та технології як стратегічний імператив. Тому дуже важливо, щоб керівники команд безпеки добре розуміли – як бізнес створює цінність, і як це змінюється під впливом змін контексту. Тоді вимір кібербезпеки в організації зможе швидко переналаштовуватися, аби забезпечувати розвиток компанії. За матеріалами mckinsey.com