2 марта 2023 года Глобальная климатическая инициатива, Россия (CGI Russia)совместно со страховым партнером, страховым брокером Remind, в рамках программы мероприятий для членов советов директоров провела онлайн-дискуссию по актуальным проблемам кибербезопасности.
В обсуждении приняли участие Ольга Глазкова, Директор департамента страхования финансовых, профессиональных и кибер-рисков, Remind; Вячеслав Касимов, Директор департамента информационной безопасности, МКБ; Яна Крухмалева, Генеральный директор, партнер, RiskGap; Денис Шефановский, Руководитель центра информационной безопасности платформ кибербезопасности, МТС; Евгений Мелешко, Директор департамента корпоративных информационных систем Государственного инновационного внедренческого центр (АО «ГНИВЦ»)
Модераторами дискуссии выступили Ольга Ульянова, советник CGI Russia, независимый член Совета Директоров, Асакабанк (Узбекистан) и Руслан Юсуфов, основатель и управляющий партнер, Mindsmith.
Ольга Глазкова, Remind
«Страхование кибер-рисков остается актуальной темой для России. Как это работает? Даже когда в компании оцифрованы все риски, установлены самые современные системы кибербезопасности и разработаны сценарии реагирования, всегда остается шанс, что случится нечто непредвиденное. Именно на этот случай существует страхование кибер-рисков, дополняющее систему IT-безопасности. Самый большой бонус, который дает киберстрахование - возможность компенсации упущенной прибыли вследствие остановки бизнес-процессов из-за кибератак. Также возможно компенсировать расходы на реагирование в случае привлечения внешних специалистов, и удовлетворить требования третьих сторон к компании в результате утечки информации. Следует помнить, что при заключении договора кибер-страхования страховщики будут оценивать систему риск-менеджмента и цифровой гигиены в компании, поэтому об этом стоит подумать заранее.
У киберстрахования есть будущее и его развитие зависит от спроса бизнеса, который побудит страховые компании разрабатывать новые продукты для клиентов».
Вячеслав Касимов, МКБ: «В эпоху участившихся киберугроз перед нами как никогда стоит задача защититься и усилить информационную безопасность. По данным аналитиков Gartner, в 2023 г. главными направлениями кибербезопасности должны стать цепочки поставок и геополитические риски. Компании должны иметь готовые модели реагирования для разных сценариев, от обрыва кабеля в ходе строительных работ до целенаправленных атак и вирусов-шифровальщиков. Перед всеми участниками рынка стоит задача сбалансировать актуальный ответ на киберугрозы с переходом на отечественное программное обеспечение. Вложения в кибербезопасность необходимы, так как помимо законодательных штрафов существует репутация компании, а для некоторых даже риск блокировки деятельности вследствие кибератаки, что может обойтись дороже, чем инвестиции в современную систему безопасности».
Денис Шефановский, МТС: «Компании важно демонстрировать два подхода к организации кибербезопасности - реактивный и проактивный. При этом крайне важно создавать не просто программное обеспечение, но экосистемные продукты и выявлять уязвимости на каждом этапе разработки, включая цепочки поставок. Основная формула здесь - скорость, качество и снижение затрат, что означает автоматизацию процессов и создание платформ, без которых компания не будет успевать за процессами, происходящими в кибербезопасности сегодня. Поэтому абстрактные для многих членов совета директоров вопросы разработки означают конкретную прибыль или убыток компании завтра. Для правильной оценки рисков на уровне стратегического управления у компании должны быть метрики кибербезопасности, по которым формируются отчеты для совета директоров, а также постоянное консультирование членов совета директоров по этим вопросам».
Яна Крухмалева, RiskGap: «Кибербезопасность не следует понимать в узком смысле, сводя к банальной слежке за сотрудниками. Это фактор, показывающий общий уровень развития компании, позволяющий получать высокие ESG-рейтинги. Будущее кибербезопасности - полная автоматизация и применение искусственного интеллекта для нивелирования кибер-рисков. При этом ни одна система кибербезопасности не будет работать без полноценного риск-менеджмента и должна быть включена в общую систему управления рисками. Именно поэтому подход компании RiskGap заключается в создании платформы по анализу, планированию и предотвращению рисков, включая кибер-риски. Это программное обеспечение прошло апробацию в 60 странах и получило высокую оценку со стороны таких компаний, как IBM и Microsoft»
Евгений Мелешко, ГНИВЦ: «Технологии, которые использует федеральная налоговая служба для взаимодействия с налогоплательщиками, являются самыми передовыми в мире. В качестве примера можно привести режим налогового мониторинга, который для крупнейших компаний, работающих в Российской федерации, дает, с одной стороны, ряд преимуществ, а с другой - требует открытости данных перед ФНС. Компании должны предоставлять доступ к своей системе сотрудникам налоговых инспекций, а с 2024 года еще и обеспечивать прямую интеграцию через аппаратно-защищенные каналы связи с информационной системой ФНС.
Таким образом, если компании нужна оперативность от государственных регуляторов (например ФНС) и определенные преимущества, то решить вопросы информационной безопасности, полностью изолировав свою ИТ- инфраструктуру от внешнего мира не получится. Это означает, что нужно иметь хорошую экспертизу в этих вопросах даже с учетом того, что со своей стороны ФНС использует средства защиты информации высокого класса».
Таким образом, если компании нужна оперативность от государственных регуляторов (например ФНС) и определенные преимущества, то решить вопросы информационной безопасности, полностью изолировав свою ИТ- инфраструктуру от внешнего мира не получится. Это означает, что нужно иметь хорошую экспертизу в этих вопросах даже с учетом того, что со своей стороны ФНС использует средства защиты информации высокого класса».
Ольга Ульянова, CGI Russia: «Кибер-риски приобретают всю большую остроту для компаний любой отрасли и любой величины. Поэтому советам директоров необходимо последовательно предпринимать шаги по снижению этих рисков. Во-первых, постоянно контактировать с IT-экспертами и вводить их в профильные комитеты совета директоров, как в недавнем прошлом вводили аудиторов. Во-вторых, всем членам советов директоров повышать собственные компетенции в вопросах кибербезопасности через тренинги и симуляцию кибер-инцидентов. И, наконец, вводить практику киберстрахования, поскольку вариации инцидентов множатся, а ущерб от них в принципе может стремиться к бесконечности»