13875
25 апреля 2023
Владислав Сон, Власть, фото автора

«Компании, которые стремятся быть лидером на рынке, должны понимать, что киберриски будут всегда»

Интервью с Суброй Кумарасвами, главой информационной безопасности в компании Visa

«Компании, которые стремятся быть лидером на рынке, должны понимать, что киберриски будут всегда»

Ускоренная цифровизация бизнеса на фоне пандемии коронавируса и геополитического кризиса умножила угрозы и риски за последние несколько лет, поставив вопросы кибербезопасности в центр внимания. Visa – компания, контролирующая движение $14 триллионов по всему миру в год, инвестировала за последние 5 лет порядка $10 миллиардов в технологии и инфраструктуру для обеспечения кибербезопасности и предотвращения мошенничества. Власть поговорила с главой информационной безопасности компании Суброй Кумарасвами о текущих проблемах, вызовах на фоне геополитической нестабильности, а также о том, что необходимо делать бизнесу, чтобы защитить себя.

Цифровые технологии, становясь все более применимыми в бизнесе, представляют огромный пласт возможностей. И в то же время компании могут стать уязвимее к угрозам и рискам кибератак. Как бы вы описали ситуацию с кибербезопасностью на сегодняшний день и почему для бизнеса важно рассматривать это направление в качестве основного фокуса?

Большой скачок произошел от огромной по своим размерам технологии Мейнфрейм, созданной компанией IBM в 1960 году, к более гибкой платформе X86 компании Intel, которая позволила фирмам запускать небольшие серверы в большом масштабе. Вместе с открытым программным обеспечением она помогла бизнесу снизить барьеры в адаптации новых технологий.

Последние 10 лет были периодом облачных вычислений, что привело к возникновению более взаимосвязанных предприятий, которые лучше приспособлены к применению новых технологий. Цифровые технологии развиваются в более быстром темпе по сравнению с традиционными отраслями, так как компании постоянно производят обновления и создают новые функции для того, чтобы предоставить своим клиентам лучший пользовательский опыт. Если на это есть спрос, то бизнес не может действовать как, например, производитель автомобилей. Постоянный доступ требует от компаний оперативности. Если посмотреть на компании в сфере финтеха, некоторые из них производят новые функции каждый день. А в некоторых случаях – каждый час.

Для того, чтобы создать свои продукты, разработчики, архитекторы, продукт-менеджеры и маркетологи работают вместе, так как пользовательский опыт их потребителей может отличаться в силу разнообразия технологий и девайсов, которыми они пользуются – будь это ноутбук, смартфон, операционная система Android или iOS, которые тоже в свою очередь развиваются очень быстро. Таким образом, потребителям необходим наилучший пользовательский опыт вне зависимости от того, какими технологиями они пользуются. И это создает еще больший вызов, так как в совокупности всё это должно иметь защиту, а компании, в свою очередь, должны быть уверены, что их продукты не открывают доступ к персональным или секретным данным.

Этот процесс необратим: когда данные украдены, их нельзя вернуть.

Мы часто говорим, что хорошие парни должны побеждать постоянно, а плохим парням достаточно одной победы, чтобы разрушить репутацию компании и отпугнуть клиентов.

Следовательно, бизнесу необходимо постоянно улучшать свои разработки в области распознавания угроз. Для этого требуются иные подходы и образ мышления. На сегодняшний день недостаточно только предоставлять замечательный продукт или сервис с отличным пользовательским опытом. Разработки должны быть построены в соответствии с принципами пессимистического моделирования, а их дизайн должен учитывать все вопросы безопасности.

Каким образом бизнес может обезопасить свои продукты?

Это тот момент, когда в рамках компании в работу вступает структура, отвечающая за кибербезопасность. Один из принципов, которым мы руководствуемся, звучит как «пессимистический дизайн», согласно которому мы должны думать о том, что может пойти не так. Хороший дизайн не может гарантировать отсутствие багов или недостатков, которые могут привести к хакерских взломам. Поэтому необходим надежный план по их предотвращению. Высокая частота обновлений и новых функций всегда подразумевает возникновение ситуаций, в которых невозможно учесть всё. Таким образом, бизнесу необходима система мониторинга, которая может выявить все виды аномалий – так называемая «многоуровневая защита».

Данная система включает в себя несколько слоев: предотвращение, выявление, ответ и восстановление. Мы должны быть уверены в том, что каждый продукт отвечает требованиям конфиденциальности, регулирования и комплаенса.

Структура кибербезопасности работает в тесной связке с разработчиками, продукт-менеджерами и архитекторами. Она разрабатывает сценарии, которые учитывают случаи злоупотребления продуктами, чтобы впоследствии их дизайн был разработан со встроенной безопасностью. Организации по кибербезопасности помогают бизнесу встроить всю необходимую защиту в их продукты и сервисы, осведомляют команды об угрозах, а также обучают их думать, как хакеры, так как не каждый разработчик имеет подобный образ мышления.

Один из сложнейших элементов кибербезопасности – коммуникации. Мы должны взаимодействовать с пользователями, уведомлять их об угрозах, вызовах и изменениях, а также гарантировать им защищенность их данных. Помимо IT-разработчиков мы также должны работать в связке с отделами маркетинга, финансов, HR и многими другими, которые в своей работе должны думать о кибербезопасности.

Большинство компаний являются взаимосвязанными предприятиями, так как зависят от внешних поставщиков услуг и продуктов, например, программное обеспечение по аналитике безопасности (SAS). Так как они зависят от других партнеров и поставщиков, они должны быть уверены в том, что их продукты тоже защищены. Соответственно, сейчас работа в области кибербезопасности также включает в себя управление сторонними рисками.

С какими вызовами и рисками на сегодняшний день сталкиваются организации, которые оперируют большими финансовыми потоками – банки, фонды и государственные ведомства?

Во-первых, есть необходимость в сильном руководстве. Продукты не могут быть выпущены без должного контроля. Например, в США медикаменты не могут появиться на полках аптек, пока они не будут одобрены Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов. Точно так же и с современными технологиями – когда продукты или услуги предоставлены клиентам, руководство компании должно быть уверенным в том, что они прошли через необходимые проверки, чтобы выстоять перед давлением взломщиков.

Компании, которые стремятся быть лидерами на рынке, должны понимать, что киберриски будут всегда, и без должной защиты они могут негативным образом сказаться на бренде и репутации.

Во-вторых, кибербезопасность должна быть вшита в ДНК компании. Например, в Visa мы всегда говорим, что работа в этом направлении занимает первое место. Все начинается именно с этого. Когда подобный настрой есть в руководстве организации, совете директоров, он проникает во все другие структуры. Продукт-менеджеры, разработчики и архитекторы думают о том, как предотвратить или смягчить киберриски и защитить репутацию, что в итоге приводит к сильным продуктам. Они мыслят как хакеры, руководствуются принципами «пессимистического дизайна», и имеют то, что мы называем «здоровой паранойей». Когда компании настроены таким образом, все остальное прилагается.

В-третьих, большой вызов представляет поиск талантов. Компании должны быть уверены в том, что они обладают сильными кадрами, которые могут мыслить неординарно, так как преступники и мошенники постоянно изобретают новые методы. Поэтому бизнес должен быть в постоянном поиске кадров, развивать уже имеющиеся, поощрять их, находить новые способы защиты от эволюционирующих угроз. А лидеры должны постоянно давать обратную связь своим командам. Такая стратегия позволит быть впереди.

Однако поиск кадров представляется нелегкой задачей. Университеты и компании не способны взрастить то количество специалистов, которого требует рынок. На сегодняшний день существует порядка 8,1 миллионов вакансий в сфере кибербезопасности, на 3,4 миллиона из которых наблюдается нехватка. Внутренние программы развития для разработчиков в каждой компании должны быть частью управления рисками.

Другой вызов представлен в сфере регулирования. Тысячи изменений могут возникнуть в данной сфере за короткое время. Уследить абсолютно за всеми − нелегко. Компании должны быть постоянно в курсе того, как меняются требования, и в то же время образовывать регулятора, чтобы последний понимал, что происходит на рынке и что может минимизировать риски для бизнеса.

Мошенничество также представляет риски. На сегодня разные структуры компаний разделяют функции и ответственность за кибербезопасность. Например, в Visa сотрудники, отвечающие за конфиденциальность данных, киберзащиту и борьбу с мошенничеством, работают сообща. Они постоянно взаимодействуют друг с другом и работают как одно целое во благо общей цели.

Давайте поговорим о кибербезопасности в геополитическом контексте. Российское вторжение в Украину увеличило количество рисков и угроз, которые могут быть у бизнеса. Обеспокоены ли вы этим в вашей компании?

В мире всегда будут происходить глобальные события, которые могут вызвать обеспокоенность. Поэтому вызов заключается в том, чтобы определить основных акторов угроз, так как не всегда легко понять, кто может стоять за той или иной атакой.

И тем не менее бизнес должен знать источник угрозы. В контексте геополитической нестабильности также необходимо понимать, какой аспект бизнеса наиболее уязвим. Потенциальные угрозы могут исходить от разных стран, где злоумышленники хотят оказаться впереди с помощью интеллектуальной собственности компаний.

Война России в Украине имеет свои последствия как в реальном, так и в цифровом мире. Противники теперь могут оказать влияние на работу критически важной для граждан инфраструктуры, например электростанций и водоснабжения. Поэтому их защита имеет решающее значение. Кто может быть актором угроз и какие активы являются субъектом их атак – это вопросы, о которых необходимо думать постоянно.

Всемирный экономический форум в 2023 году издал Обзор по глобальной кибербезопасности (the Global Cybersecurity Outlook 2023), в котором на фоне геополитического кризиса в следующие два года прогнозируется вероятность большой киберкатастрофы. Какие меры необходимы, чтобы выдержать перед подобным событием?

Сложно предугадать, что может произойти в будущем. Тем не менее, мы должны быть подготовлены. Компаниям необходимо понимать, каким будет худший сценарий развития событий. Если посмотреть на то, что происходило в последние два года, большое количество компаний, которые предполагали, что они защищены, пострадали от атак вымогателей. Я уверен, что с самого начала они не думали о вероятных сценариях угроз.

Подготовка к худшим кейсам требует значимых инвестиций. Однако компании могут иметь в запасе набор действий, которые помогут им смягчить последствия и быстро восстановиться. Катастрофа может причинить вред бизнесу, и у компаний есть в запасе день на восстановление, а не неделя или месяц. Мы также часто думаем о возможных кибервойнах, так как борьба в них всегда будет асимметричной. Вопрос в том, у кого будет преимущество. Это зависит от того, кто является слабым звеном и каков уровень подготовки каждой из сторон.

Но я не могу сказать, что ожидается какое-то одно крупное событие. Я больше обеспокоен тем, что происходит ежедневно, так как все еще есть много организаций, которые не обращают внимания на базовые принципы кибербезопасности. К сожалению, на сегодняшний день существует диспропорция между теми, кто преуспел в этом направлении, и теми, кто не может достаточно инвестировать в кибербезопасность.

Каким вы видите будущее кибербезопасности?

Я довольно оптимистичен. Мы живем в очень взаимосвязанном мире, где цифровизация становится повсеместной. Многие страны и компании смотрят на это как на свой ключевой актив. Они знают, что это может произвести большой экономический эффект. В результате мы видим большой сдвиг внимания на вопросы образования. Мы должны быть уверены, что университеты дают знания в области кибербезопасности. А думать об этом необходимо уже в старших классах. Там, где есть рыночная возможность, люди будут стремиться к ней, чтобы заработать деньги.

20 лет назад данная отрасль не была такой большой. Так как экономика цифровизировалась, появились компании, чтобы заполнить пробел. Это было следствием того, что возник спрос на услуги по кибербезопасности для защиты инвестиций, бренда и репутации. Рынок, по большому счету, создал возможность зарабатывать. Соответственно, если киберпреступность вырастет на 8–10% в год, в следующие три года кибер-эффект составит более 10 триллионов долларов. Появятся новые предприниматели, а правительства будут больше инвестировать.

В последние 6–7 лет произошел взрыв в области киберстрахования, предназначенного для компаний, которые не могут позволить себе кибер-риски, но при этом не имеют достаточных средств для инвестирования в кибербезопасность. Таким образом, у них есть модель страхования. И это один из последних трендов в индустрии.

Кроме того, инновации в области искусственного интеллекта (ИИ) также представляют большие возможности для бизнеса. Предприниматели могут зарабатывать и на этом. ИИ может помочь компаниям стать более продуктивными и гибкими, и в то же время позволяет им быть впереди источников угроз.