Что вы можете предпринять?
ВОТ СПИСОК НАИБОЛЕЕ ВАЖНЫХ мероприятий, которые должны обсудить с IT-отделами руководители, непосредственно не занимающиеся технологиями:
● мониторинг всего исходящего трафика как через интернет, так и через мобильное оборудование, и оперативное информирование о любых нестандартных или нарушающих установленные правила действиях;
● отслеживание передового опыта в области кибербезопасности для разработки стратегии и правил, действующих в компании;
● последовательное внедрение процедур и протоколов защиты сети с учетом текущих приоритетов бизнеса;
● систематическое обновление учетных записей сотрудников, гарантирующее, что никто из них не имеет более широкого доступа к конфиденциальным компьютерным системам, чем необходимо;
● регулярная оценка угроз и информирование о них руководителей компании.
Однако иногда бывает непросто защитить сотрудников компании от упорного чужака. В апреле 2013 года французская многонациональная компания стала мишенью продуманной атаки. Одна из помощниц вице-президента по административным вопросам получила по электронной почте письмо со ссылкой на счет в облачном файлообменном сервисе. Она не собиралась открывать этот файл, но через несколько минут раздался звонок. Собеседник убедительно заявил, что он другой вице-президент компании, и распорядился, чтобы сотрудница скачала и обработала присланный счет. Она подчинилась. Документ содержал троянскую программу, которая позволила преступному предприятию – судя по всему, украинскому – удаленно взять под контроль ее компьютер, фиксировать нажатия клавиш и воровать интеллектуальную собственность компании.
Поощряйте сотрудников сообщать о нестандартных или запрещенных технологиях (например, использование внешнего жесткого диска в офисе с сетевым доступом к данным и программному обеспечению) и подозрительном поведении (поставщики или сотрудники без допуска, которые запрашивают файлы с конфиденциальными данными) – точно так же, как они сообщали бы о наличии бесхозного багажа в зале вылета аэропорта.
Сейчас как никогда важно задействовать технологии отбора и методы проведения собеседований, разработанные для оценки честности соискателей. Взять, к примеру, проверку наличия судимостей, выявление ложных сведений в резюме, а также вопросы на собеседовании, непосредственно раскрывающие моральные ориентиры кандидата. Наша команда разрабатывает тесты, которые позволят работодателям выяснять, обладают ли предполагаемые работники опасными чертами личности, схожими с теми, о которых говорится в исследовании CPNI.
Во время собеседования следует также оценить степень осведомленности соискателя в вопросах кибербезопасности. Знает ли он, что такое инсайдерская угроза? В каких случаях он способен передать пароли коллегам? При каких обстоятельствах он может позволить коллеге воспользоваться своим компьютером? Если соискатель силен во всех остальных отношениях, вы можете нанять его, но проследите, чтобы он сразу же прошел обучение правилам безопасности вашей организации и связанным с ними процедурам. Но если этому кандидату предстоит работать в уязвимой среде, хорошенько подумайте, стоит ли брать его на работу.
Как показывает инцидент с Target, важно следить, чтобы поставщики или дистрибьюторы не подвергали вас риску: например, следует свести к минимуму вероятность, что внешние IT-провайдеры найдут «черный ход» к вашим системам. Если риск подвергнуться кибератаке у поставщика значительно ниже, чем у вас, он может и не применять мер контроля, которые требуются вам. Ищите партнеров и поставщиков с тем же отношением к риску и той же культурой, что и в вашей организации, – в этом случае вам будет гораздо легче выработать общий подход к кибербезопасности.
В ходе предварительных обсуждений условий договоров поинтересуйтесь у потенциальных подрядчиков, как они решают вопросы, связанные с инсайдерским риском. Если вы привлекаете их к работе, регулярно проводите проверки, чтобы убедиться, что они придерживаются установленных правил. Дайте недвусмысленно понять, что вы будете проводить такие проверки, и оговорите, в чем они будут заключаться. Компания может потребовать от подрядчиков тех же мер контроля, которые применяет сама: проверку сотрудников на наличие судимостей, отслеживание достоверности данных кандидатов о предыдущих местах работы, контроль доступа к своим данным и рабочим приложениям с целью выявления несанкционированной деятельности, а также предотвращение физического проникновения злоумышленников в служебные помещения, где работают с конфиденциальной информацией.
Дайте сотрудникам понять, что у вас есть возможность контролировать их сетевую активность и что вы будете это делать – в той мере, в какой это разрешено законом. Нельзя полностью оставлять вопросы кибербезопасности на усмотрение экспертов, вы должны ежедневно следить, какая информация исходит из вашей компьютерной системы, а какая поступает к вам. Это означает, что службы безопасности или поставщики услуг должны регулярно проводить оценку рисков: анализ источников угроз, уязвимых сотрудников и сетей, а также возможных последствий в случае, если риск выльется в настоящую атаку. Следует также отслеживать действия, направленные на снижение риска, в частности время реагирования на оповещения.
Роутеры или файерволы способны отслеживать исходящую информацию, однако необходимо убедиться, что эта функция активирована. Если у вас нет оборудования для мониторинга исходящего трафика, его нужно приобрести. Кроме того, следует вести учет и наблюдение за всеми устройствами, через которые возможна утечка, – USB-накопителями и другими портативными носителями информации, распечатками и так далее. Это возможно осуществить путем выборочных проверок или даже постоянного, как в аэропортах, досмотра людей, входящих в здание и выходящих из него (General Electric и Wipro применяют подобные методы в Бангалоре).
Чтобы мониторинг был эффективным, необходимо тщательно регламентировать предоставление привилегий всем сотрудникам – включая тех, кто имеет наивысший уровень допуска к корпоративным системам, поскольку часто именно они и становятся инициаторами инсайдерских атак. Регулярно пересматривайте список наиболее привилегированных пользователей и наблюдайте за теми, кто в нем остается, чтобы убедиться, что они заслуживают доверия. Подберите подходящие системы обнаружения инсайдерских угроз, способные предупреждать то, что можно предотвратить, а также распознавать уже случившиеся опасные события. Большие данные могут помочь при сопоставлении получаемых сигналов и вынесении предупреждений сотрудникам.
Также может быть полезным антивирусное программное обеспечение. В частности, при сотрудничестве «внешних» злоумышленников с работниками компании, первым важным шагом будет внедрение вредоносной программы в сеть организации. При обнаружении вируса всегда следует учитывать, что он может быть частью инсайдерской атаки: анализ работы этого вредоносного кода может дать ключ к установлению личности преступника и пониманию его основных целей.
Такой детальный мониторинг увеличит нагрузку на всех сотрудников, но окупится за счет снижения рисков вашей компании и повышения ее устойчивости к внешним воздействиям.
Наиболее эффективная стратегия защиты от киберугрозы, исходящей от инсайдеров, заключается в использовании доступных средств защиты и устранении слабых мест. Но в первую очередь следует сосредоточиться на главном – добиться безопасного поведения от каждого, кто работает в компании. Сотрудники должны знать, какое поведение приемлемо, а какое нет. Напоминайте им, что, защищая организацию, они также защищают и свои рабочие места.
Климатическая стратегия для защиты вашего будущегоДжозеф Олди, Джанфранко Джанфрате
ПО МЕРЕ ТОГО КАК ПОГОДНЫЕ условия в мире становятся все более неблагоприятными, угроза, которую представляет для бизнеса изменение климата, перестает быть умозрительной. Предприятия работают над тем, чтобы защитить свои активы и цепочки поставок от ураганов, становящихся все более и более разрушительными, от аномальной жары, пожаров и засух. Все чаще компании включают в свои расчеты такой «климатический» риск; инвесторы также уделяют ему пристальное внимание. Но с этим связана еще одна угроза, которую не все осознают в полной мере, – это «углеродный» риск, т. е. влияние, оказываемое политикой в области изменения климата на стратегию компании и ее доходность. В связи с усиливающимся глобальным потеплением бизнесу следует ожидать более жестких правительственных мер, которые приведут к росту платежей за выбросы углекислого газа. Если компании будут не готовы к этому, то, возможно, останутся за бортом. В этой статье мы предлагаем рассмотреть подход, к которому все чаще и чаще прибегают компании, чтобы с уверенностью смотреть в будущее и даже прийти к процветанию: внутренние тарифы на выброс углекислого газа (см. раздел «Рост внутренних тарифов на выбросы углекислого газа»). В основе этого подхода лежит оценка (в денежном выражении) собственных выбросов компании, отражающая установленную плату за выбросы углекислого газа. К 2017 году около 1400 компаний уже установили или собирались установить внутренние тарифы на выбросы углекислого газа. Как мы убедимся, это позволяет компаниям лучше оценивать инвестиции, управлять рисками и вырабатывать стратегию развития.
Прежде чем углубиться в детали, давайте рассмотрим сложившуюся обстановку. Руководители американских компаний могут решить, что, учитывая старания администрации Трампа по упразднению действующей политики в отношении климата и энергетики, давление на них прекратилось. Однако остальной мир и многие американские штаты все активнее борются с изменением климата. Более 60 государственных, региональных и субнациональных правительств (на долю их стран приходится около половины мировой экономики) проводят эту политику – устанавливают плату за выбросы углекислого газа. Уже более 180 стран ратифицировали Парижское соглашение, направленное на их снижение. Власти Мексики, Швеции, Британской Колумбии и других государств в настоящее время вводят соответствующие налоги. А Китай, Евросоюз и Калифорния – среди тех, кто разворачивает программы ограничения и торговли квотами, которые устанавливают лимит на общий объем выбросов для создания стимулов к их сокращению (см. раздел «Как власти устанавливают плату за выбросы углекислого газа»).