Кібердовіра

Але повернемося до професійної кібербезпеки. Я б навіть сказав – стратегічної.

З цікавістю вивчив дослідження від KPMG International стосовно кібердовіри. Люблю, знаєте, я цю тему. У кого шо болить – той про те і говорить, ага.

Аналітика трохи складнувата для розважального читання, тому легенько позначу лише ключові меседжи, і що вразило мене особисто. (Український офіс компанії не полінувалися перекласти українською мовою, чим позбавив мене цієї нудної роботи, дякую).

Отже, почнемо.

Власне, картинка показує аж 10 класних ніштяків для бізнесу – чим конкретно корисний для бізнесу розвиток кібердовіри. Тут все максимально зрозуміло – одні вигоди кругом. А опитали, на секундочку, 1881 керівників та спеціалістів по всьому Світу.

Цілком очікуваним є висновок, що «цифровізація каналів збуту розглядається організаціями як другий за своєю серйозністю виклик для кібербезпеки після створення гібридних робочих середовищ».

Для розуміння: політкоректний термін «гібридне робоче середовище» означає просто «удальонку», яка масово почалася після трирічної світової істерії. Не хочу згадувати всує її імена, а то мордокнижка плашку під постом приліпить.

Що вразило.

Лише «60% компаній визнають, що через їхні ланцюжки постачання вони є вразливими для кібератак». Гм, малувато якось. Але ладно, зате залишок у 40% буде ласим шматочком для злочинних хакерів. Попри численні та на весь Світ гучні хаки гігантів та американських держустанов. SolarWinds, Colonial Pipeline, FireEye, supply chain? Ні, не чули.

От саме той випадок, причому конкретно у процентах.

Лише 1/3 опитаних організацій “визнають, що збільшення довіри веде до зростання”. О як.

І при цьому 68% захищають свою інформацію скоріше під примусом законодавчих вимог, ніж свідомо. Ну не знаю, може це GDPR так залякав провідний світовий бізнес, але я таких цифр точно не очікував. Навіть трохи розгубився: невже такий низький рівень усвідомлення бізнесом необхідності банально захищатися самому, не чекаючи батога держрегулювання?

Але далі ще гірше: половина виконавчих директорів (СЕО) сумніваються, що рівень довіри між ними та CISO (керівник кібербезпеки) – високий. Це взагалі як, Карл? Це половина генеральних не довіряють своєму головному кібербезпечнику? А як взагалі займатися безпекою без повної довіри всередині команди?

Але остаточно добила мене фраза, що кожен третій СЕО вважає, що «CISO не сприймаються як
ключовий управлінський персонал і мають недостатній вплив для того, щоб захистити організацію та її дані». От прямо бачу картинку з дорадчої кімнати топів: «А шо це за ойтішник тут у нас, серед поважних людей? А ну киш з наради директорів!». Оце я просто в шоці. А потім ці ж поважні керівники верещать «Ой лишенько, нас тут хакнули, шо робити, мерщій звіть отого вашого кампутерщіка!».

Але є й трохи меду до цього перцю: далі у дослідженні наводиться думка не СЕО, а «організацій» – і ось тут вже «74% стверджують, що за останні 12 місяців вони спостерігали покращення у сфері кібербезпеки, причому більш ніж кожна четверта з них зазначає, що це покращення було значним».

Хотів би я зрозуміти, що таке «думка організації», і чому існує така різниця з думками їхніх керівників. І як може бути одночасно «значне покращення» та «CISO мають недостатній вплив».

А ще одну річ у звіті я так і не зрозумів.

Автори дослідження прозоро натякають, що CISO-команда компанії повинна бути невід’ємною частиною «команди екології, соціальних питань і корпоративного управління (ESG)».

Емм, я навіть не чув про ESG. І що ці три напрямки можуть бути одним підрозділом. Ну ладно, скоріш за все, я просто необізнаний у останніх трендах життя-буття великих корпорацій. Але на своє виправдання наведу дані з того ж дослідження: більше 4/5 керівників тих самих корпорацій також не вважають, що «команда CISO є невіддільною частиною команди ESG».

Ну і там у звіті ще багато розумних речей про довіру, CISO, ESG та кібербезпеку. Причому у складних бізнес-корпоративних формулюваннях, на 28 сторінках дрібним шрифтом.

Але головний висновок KPMG робить дуже правильний: «довіра стає фундаментальним елементом нових технологій», маючи на увазі такі: «технологія розподіленого реєстру (DLT), квантові обчислення, мережі 5G, штучний інтелект/машинне навчання і технології доповненої та віртуальної реальності». Спробуйте пояснити це «дієвим» та отим, які «відбили всі кібератаки». До речі, чи є якісь новини по «кейсу Джо Байдена»? Там якраз про довіру.

Як ми розуміємо, інтелект сучасної української держкібербезпеки знаходиться десь в епосі трилобітів. Згадане ж у цьому дописі дослідження пояснює нюанси з епохи інформаційного суспільства. І хоча слово «довіра» згадується в обох епохах, прірва у його розумінні та (особливо) застосуванні – безмежна, як неосяжність космосу. Це не різні планети, і навіть не різні зоряні системи. Це різні галактики.

Сьогодні мені захотілося поміркувати про майбутнє кібербезпеки, основу якого складатиме таке начебто суто гуманітарне поняття як «довіра». Але яке вже зараз взято на озброєння та покладено в основу ефективних систем національної кібербезпеки провідних країн.

А довіру не можна отримати просто так – її треба довго та тяжко заробляти. А ще можна втратити в одну мить, і тоді доведеться все починати з початку.

Для кібербезпеки майбутнього вже мало буде бути просто професіоналом – потрібно також бути глибоко порядною людиною. Чесною та відповідальною. Без прихованих інтересів та мотивацій.

А у сучасній українській національній кібербезпеці з цим поки що суттєві проблеми. Як, власне, і з кіберпрофесіоналізмом.

У світі ж відповідальних людей з усім цим значно краще.

P.S.: Люту дічь про “кібер-ООН» найкраще б прокоментував професор Преображенський: “давати поради космічного масштабу і космічної ж дурості».