6 подписчиков

Первый день деловой программы Уральского форума по кибербезопасности открылся дискуссией об управлении киберрисками.

Особенность сессии - отсутствие спикеров от регулятора. Свой взгляд на оценку и управление рисками информационной безопасности высказывали только участники рынка.

Основные моменты выступлений:

1️⃣ риски, которые раньше были не значимы, стали критичными:

- вдвое выросло количество фишинговых писем;

- продолжительность ДДОС атак выросла до 400;

- вырос риск утечки данных из компаний-партнеров (это влечет за собой внеплановые проверки Роскомнадзора, репутационный ущерб и потенциальные оборотные штрафы);

- заметно снизился уровень доверия к ПО с отрытым кодом из-за внедрения вредоносного кода разработчиками из недружественных стран;

- увеличилась регуляторная нагрузка по отчетности за инциденты. Первые самые ценные часы для расследования и устранения инцидента уходят на отчет трем ведомствам – Роскомнадрзору, ФСТЭК, Наццентр по компьютерным инцидентам (НКЦКИ);

2️⃣ массовый уход вендоров из РФ, чьи патчи безопасности закрывали уязвимости ПО, поменял подходы к процессу управления рисками;

3️⃣ изменение вектора компьютерных атак потребовало других подходов к оценке риска – сценарии реализации атак и контрмеры должны иметь параметры и быть включены в управление оценки риском;

4️⃣изменились стратегии реагирования на риск, что потребовало больше инвестиций в безопасную разработку, контроль обновлений, защиту периметра работу с клиентами в защищенных сетях;

5️⃣ основная сложность в управлении рисками информационной безопасности в текущий момент – отсутствие публичной статистики по инцидентам, что не позволяет корректно рассчитать понесенные убытки. Необходим обмен не только опытом, но и данными внутри отрасли;

6️⃣ существенное увеличение нормативных документов в 2022 году. Нормативка выпускается разными регуляторами и ряд мер может противоречить друг другу;

7️⃣ требуется совместная работа бизнеса и регулятора в создании системного подхода для интеграции систем управления киберрисками в общее управление рисками финансовой организации. Есть ощущение, что на текущем этапе регуляторика в области киберрисков фокусируется на сборе данных.

ℹ️По итогу - рынок внедряет новые требования по информационной безопасности, и ему не хватает обратной связи от регулятора в виде агрегированной информации по киберинцидентам и способам противодействия им.

1 минута

15 февраля 2023