ИСО. Контратака на кибербезопасность

Кибератаки являются дорогостоящими, разрушительными и представляют растущую угрозу как для бизнеса, правительств, так и для общества. К счастью, арсенал стандартов помогает оставаться на шаг впереди. 

Киберпреступность находится на подъеме. И по мере того как мы все глубже погружаемся в цифровую эпоху, в эпоху так называемой Четвертой промышленной революции, она также становится все более изощренной и суровой, с серьезными последствиями. По мере того как киберпреступники становятся более ловкими, киберпреступность так или иначе затрагивает всю нашу жизнь. 

Кибератаки могут варьироваться от взлома систем и социальных сетей, фишинговых атак, вредоносного программного обеспечения, включая программы-вымогатели, кражи личных данных, социальной инженерии и атак типа «отказ в обслуживании». Это болезненно как в личном, так и в финансовом отношении, нанося неисчислимый ущерб и разрушения, а также делая общество и граждан уязвимыми. По данным McAfee , компании-разработчика программного обеспечения для компьютерной безопасности, стоимость этих кибератак растет и в 2020 году составит около одного триллиона долларов США.

Растущий глобальный риск

Поскольку пандемия COVID-19 еще больше усилила нашу растущую зависимость от цифровых систем, неудивительно, что в Докладе о глобальных рисках за 2022 год угроза кибербезопасности снова включена в число растущих рисков, с которыми сталкивается мир. По его данным, сбои в кибербезопасности значительно ухудшились и угрожают долгосрочному процветанию. 

Но как оставаться на шаг впереди? Создание хорошей системы киберзащиты, а также прогнозирование угроз являются ключевыми элементами в борьбе с киберпреступностью, но ни устойчивость, ни управление невозможны без надежных и продуманных планов управления киберрисками. «Киберпреступность — это как национальное, так и международное явление, которое распространяется с огромной скоростью, затрагивая предприятия, правительства и общество в целом. Масштабы и сложность этой преступной деятельности имеют далеко идущие и пагубные последствия, и ситуация становится размытой, поскольку киберпреступники действуют, используя техническую инфраструктуру, за пределами национальных границ», — говорит эксперт по кибербезопасности доктор Эдвард Хамфрис. 

Сбои в кибербезопасности значительно ухудшились 

В результате, добавляет он, международное сотрудничество имеет важное значение, а международные стандарты незаменимы для глобальной защиты. Доктор Хамфрис говорит о своем многолетнем бизнес-опыте. Он также является старшим научным сотрудником, специализирующимся на исследованиях в области киберрисков, безопасности и киберпсихологии, а также исследованиях инноваций СМИБ, руководителем ИСО/МЭК рабочей группы, отвечающей за управление, разработку и поддержку серии ИСО/МЭК 27000, стандартов на системы управления информационной безопасностью (СУИБ). 

Решения и элементы управления 

По его словам, международные стандарты предоставляют решения, позволяющие организациям создавать структуры и системы для оценки ситуации и управления ею — для защиты информации, приложений и услуг, а также национальной инфраструктуры.  

Первым шагом в борьбе с киберпреступностью является знание рисков, с которыми вы сталкиваетесь, а затем определение средств контроля, которые необходимо внедрить для снижения этих рисков. Хамфрис указывает на такие стандарты, как семейство ISO/IEC 27000, разработанное ISO и Международной электротехнической комиссией (IEC), как фактический выбор для любой организации, желающей создать надежные решения для борьбы с киберпреступностью. Набор международных стандартов определяет систему управления, которая входит в процесс управления рисками, оценивая риски и затем определяя средства контроля, необходимые для их обработки.  

Первым шагом в борьбе с киберпреступностью является осознание рисков, с которыми вы сталкиваетесь 

«Существует ряд стандартов, поддерживающих ISO/IEC 27001, например, ISO/IEC 27005 по управлению рисками информационной безопасности и руководство по внедрению ISO/IEC 27003, - говорит он. - И существует множество других стандартов, которые обеспечивают техническую поддержку ISO/IEC 27001, например, для защиты сетей и внедрения функций безопасности в технологии, услуги и приложения». 

Быть готовым 

Доктор Хамфрис повторяет, что компаниям необходимо быть готовыми противостоять этим атакам. «Кибератаки могут происходить в любое время и в любом месте, и несомненно то, что эти атаки обязательно произойдут, но мы никогда не можем быть уверены, когда и где, - говорит он.  - Быть ​​готовым и подготовленным — важная деловая активность для выживания. Это предполагает наличие у бизнеса процесса, позволяющего предвидеть и выявлять, обнаруживать и сообщать об инцидентах, а также анализировать эти инциденты, чтобы решать, как на них реагировать».           Все это должно быть сделано быстро и своевременно, чтобы ограничить последствия, которые может вызвать инцидент.  

Кибератаки могут происходить в любое время и в любом месте 

Итак, как предприятия могут быть лучше подготовлены? Как только компания обнаружит наличие атаки с использованием вредоносного кода или атаки типа «отказ в обслуживании», чем быстрее она ответит соответствующими мерами безопасности, тем больше шансов ограничить распространение этих атак, а также ограничить воздействие и ущерб. И, как говорит д-р Хамфрис, существуют стандарты, которые помогают предприятиям стать готовыми и лучше подготовиться к реагированию, например, стандарт управления инцидентами ISO/IEC 27035, стандарт управления непрерывностью бизнеса ISO 22301 и стандарт готовности ИКТ ISO/IEC 27031.   

Коллективное действие 

В и без того нестабильном мире киберпреступность может нанести финансовый ущерб, нарушить деловые операции и национальную инфраструктуру, а также затронуть граждан и общество. Например, атака на одну часть цепочки поставок может распространиться, нарушить работу и повредить другие части цепочки. По словам доктора Хамфриса, для создания более безопасных и устойчивых систем кибербезопасности управление цепочкой поставок является хорошим примером того, где для обеспечения ее безопасности необходимы коллективные действия во всех ее частях.  

«Опять же, — говорит он, — существуют стандарты, которые помогают обеспечить безопасность цепочки поставок, такие как ISO 28000 и ISO/IEC 27036. Коллективные действия также необходимы в различных сценариях, связанных с деловыми отношениями и коммуникациями с другими организациями. Существует группа стандартов управления, которые помогут повысить устойчивость к сбоям в бизнесе и обеспечить живучесть и систему управления. К ним относятся ISO 22301 (системы управления непрерывностью бизнеса), ISO/IEC 27001 (системы управления информационной безопасностью) и ISO/IEC 27014 (управление информационной безопасностью)».  

С ростом и зависимостью от связи для бизнеса, инфраструктуры, которая его поддерживает, а также использования интернета и мобильных устройств, потребность в безопасности и отказоустойчивости системы еще больше возрастает. Доктор Хамфрис признает, что стандарты должны развиваться, чтобы соответствовать быстрому развитию технологий. «Например, третья редакция ISO/IEC 27002 была опубликована в первом квартале 2022 года. Этот широко известный стандарт касается средств управления информационной безопасностью и был обновлен, чтобы соответствовать достижениям в области технологий, бизнес-развитиям и практикам, а также новым законам и правилам".  

Он добавляет, что в 2021 году произошло много других изменений в области стандартизации, включая безопасность и конфиденциальность Интернета вещей (IoT), безопасность и конфиденциальность больших данных, безопасность и конфиденциальность искусственного интеллекта, а также защиту биометрической информации. Все это дополняется последними техническими спецификациями, такими как ISO/IEC TS 27570, в котором содержатся рекомендации по защите конфиденциальности экосистемы "умного" города, и ISO/IEC TS 27100, в котором указывается, как создавать или совершенствовать надежные киберсистемы для защиты от кибератак. Полное семейство стандартов ISO/IEC 27000 и эти спецификации, ориентированные на технологии, являются основой для построения безопасного будущего и управления им. 

По материалам ресурса

Людмила Циновкина, консультант, руководитель семинаров и тренингов                                     по системам менеджмента ISO 9001:2015, ISO 14001:2015, ISO 45001:2018,                            асессор  Европейского фонда менеджмента качества (EFQM)