Кібербезпека: захист даних вимагає інвестицій в уяву

У червні на порталі масового безкоштовного навчання Prometheus стартував навчальний курс «СМС – Система Менеджменту Ситуацій», що увібрав найсучасніші світові досягнення у системі прийняття рішень: слухачі отримують конкретний унікальний практичний інструмент СМС для вирішення будь-яких складних ситуацій, дилем та викликів. Курс надає чіткий п’ятикроковий метод прийняття рішень, розроблений Goldratt Research Labs на основі таких технік Теорії обмежень (ТОС), як «Грозова хмара» і «Матриця змін», а також вбирає в себе техніку «Плюс-мінус» Бенджаміна Франкліна.

У курсі беруть участь гостьові спікери світового рівня: визнаний світом експерт з Теорії обмежень Доктор Алан Барнард, генеральний директор Goldratt Research Lab. А також Енді Коен, генеральний директор з припущень Andy Cohen Worldwide, спікер TEDx, автор The New York Times та автор книги “Challenge your assumptions – change your world”. Автором курсу є партнер, СЕО Apple Consulting® Юлія Плієва. Детальніше про курс та реєстрацію тут. 

Mind вважає цінним роботу в Україні експертів такого рівня. Так, нещодавно ми спілкувались із Аланом Барнардом. 

Енді Коен, один з викладачів курсу, вивчає роль припущень у щоденних рішеннях кібербезпеки з метою приймати більш ефективні рішення щодо безпеки у кіберпросторі. Його книга “Challenge Your Assumptions, Change Your World” дає читачам можливість навчитися робити бізнес-рішення краще і швидше. Енді Коен викладає в кількох найвідоміших університетах світу, включно з університетом Нью-Йорка, університетом Корнелла та Дюка, ISB (Індія), Катарським центром лідерства та CKGSB (Китай). Andy Cohen Worldwide – глобальна консультативна фірма, що допомагає міжнародним компаніям швидше та ефективніше приймати рішення. Компанія обслуговує таких клієнтів, як American Express, Bombardier, Citi, HSBC, Nestle, Novartis, Pfizer, SAP, Infosys, World Bank та інших. Представляємо ключові тези його публікацій щодо кібербезпеки.

Небезпечні припущення стосовно кібербезпеки. У мене є добре навчена і надійна робоча сила, якій я можу довіряти у реальності, кращі кібераналітики та інженери повинні підтримувати деяку параною, а іноді й мислити як ворог, для того щоб краще припускати потенційні загрози.

Біометрика надійніше паролів. Ваша компанія тільки що вклала величезні інвестиції в біометрику, щоб стримати хакерство, вважаючи, що все буде ідентифікуватися і вся інформація стане безпечною, але все може бути зламано. Просто запитайте міністра оборони Німеччини Урсулу фон дер Лейен, чиї відбитки пальців були цифровим чином зняті як спосіб продемонструвати, що біометрика вразлива.

Алгоритми не роблять припущень. Люди занадто сильно вірять в алгоритми. Журнал Economist повідомив про дослідження шведських учених. У ньому показано як понад 40 000 досліджень. FMRI були засновані на алгоритмах, що містять помилкові припущення. Це демонструє, що пошкоджені алгоритми часто вже не контролюються, оскільки вони можуть інтегруватися в інші програми.

Розгляньте фішинг, і те, як часто люди бездумно відкривають електронну пошту або посилання в соціальних мережах і надають конфіденційну інформацію, припускаючи, що це не призведе до злому.

ДНК компанії. Книга Джека Фінні «Вторгнення в тіло викрадачів» показала лякаючий задум. У романі інопланетяни в суднах спускаються на Землю і, поки городяни сплять, копіюють їх, повністю замінюючи. Єдина відмінність між клонами і тілами-господарями полягає в тому, що у клонів відсутні емоції.

Фактично, інопланетяни крадуть ДНК землян. Ідея цієї книги здається немислимою – принаймні у випадку з людськими тілами. Однак заміна (копіювання) ДНК і руйнування первісної сутності компанією-конкурентом – це те, що відбувається зараз у кіберпросторі. Дані – це ДНК-«скелет» організації. Це означає, що конкурент зможе клонувати цю ДНК і використовувати її так, як спочатку неможливо було уявити.

Тому організації потребують стратегії захисту від невидимого. Ігнорування ризиків – шлях до вразливості, до атак, які можуть знищити компанію майже за одну ніч. Хоча багато факторів впливають на здатність захищати й запобігати подібним видам вторгнень, одним з ключових елементів є усвідомлення того, що крадіжка даних компанії має безліч наслідків із різним ступенем небезпеки.

Організації повинні розширити розуміння того, наскільки вони цінують інформацію, тому що ДНК компанії може часто використовуватися їй на шкоду через недостатню увагу до ризиків. Зі збільшенням автоматизації відбувається як підвищення продуктивності, так і підвищений ризик для безпеки.

Здатність організації уявити «невидиму» концепцію дає більш реалістичну модель оцінки ризику. Для контролю кіберризику потрібне нове мислення, оскільки воно не спирається на ті ж принципи, якими керуються традиційні інструменти, посилаючись на минулий досвід: у світі кібербезпеки минулий досвід не має ніякого зв'язку з новими ризиками, які можуть знищити бізнес.

Не обмежуйте уяву. Формула вартості часу – альтернативний варіант оцінки даних. Значна частина роздумів про цінність інформації, яка стосується бізнес-операцій, розглядається в її теперішньому стані, відомому як поточна вартість (PV). Втім, є підстави вважати, що формула вартості часу, яку використовують у бухгалтерських та інвестиційних колах, є кращим способом оцінки даних. Формула містить поточну вартість валюти, кінцевий період, який слід брати до уваги для інвестиційного горизонту, та розумне очікування прибутку чи відсотків. Це створює майбутню вартість грошей. Якщо дані – це валюта, то вона дорожчатиме із набуттям нових знань.

Проте, така оцінка – це все ще недостатній рівень для кібербезпеки. Тут необхідна експансивна модель, яка розширює уяву.

Найсильніша зброя під час кібератаки – необмежена уява. Не інтегрована в формули ризику кібербезпеки уява – приклад того, як недооцінюються дані. Поки власність, така як будь-який продукт, має визначене значення, кібербезпека – це питання часу і простору, як і даних з кількома значеннями. Мозкові штурмові заходи, семінари з творчості та матеріали кібер-експертів, які ставлять виклики своєму мисленню, – це лише кілька методів.

Необхідно визнати, що у кожному рішенні лежить припущення або ідея, яку ми вважаємо само собою зрозумілою, і трактуємо як правду. Припущення не є добрими чи поганими. Це лише частина повсякденного прийняття рішень, і часто підсвідома. Мета – навчитися їх визнавати, аби перетворити у можливості, які можна втілити.

Аби знайти справжнє значення даних, необхідно переосмислити шляхи пошуку. Для цього потрібно виокремити найквалфікованіших спеціалістів у визначенні кібератак. Вважати, що найбільш правильне рішення має керівництво, значить втратити можливість стати кращими й сильнішими у кібербезпеці.

Лідери – важливі. Але вони – лише частина компанії, тоді як кожен працівник – джерело ідей. Операційна група розглядає проблему з точки зору процесів і розподілу, відділ кадрів розглядає моральні проблеми і наслідки втрати персональних даних, і в поштовому відділі знайдеться та точка зору, яку рада директорів ніколи б не висвітлила. Необхідно дозволити працівникам уявляти найгірший сценарій (Яка найгірша річ може трапитися з вашим бізнес-осередком?), якщо є бажання досягти найкращої оцінки даних компанії. Далі діло за малим: зібрати й систематизувати, аби вирішити усі можливі загрози.

Всі ми крутимося у вирі кіберпростору, як би кому це не подобалося. Тому варто визнати, що традиційний тип мислення для кіберзепеки недієвий, особливо коли це стосується оцінки даних, які впливають на кібербюджет. Тому, окрім таланту, IQ та кібердосвіду, необхідно залучати уяву, аби помітити удар до того, як він буде нанесений, а не опісля.

Китайські спеціалісти крадуть інтелектуальну власність американських оборонних компаній. Завдяки хакінгу Китай за лічені роки скоротив розрив у ракетних, дронних та стелс-технологіях (приклад: китайський J-20 дуже схожий на американський літак-невидимку Lockheed Martin F-22; китайський FC-31 Gyrfalcon – як американський Lockheed’s F-35).

На ДНК бізнесу зазіхають не тільки іноземні компанії, а й власні співробітники. Так, в 2009 році Starwood Hotels звинуватили Hilton Hotels у крадіжці електронних файлів із планами розкішних готельних комплексів.