Звіт KPMG «Кібердовіра»: які виклики несуть із собою нові технології
А також – як побудувати кібербезпеку, хто і як це має робити і що для цього потрібно
«Повномасштабна війна в Україні винесла питання кібербезпеки та довіри в цифровому світі на новий рівень, – вважає партнер, керівник практики з надання консультаційних послуг у сфері інформаційних технологій і кібербезпеки KPMG в Україні Олексій Янковський. – Клієнти та суспільство очікують, що співпраця з організаціями, які щодня стикаються з викликами вразливості ланцюжків поставок через кібератаки, надалі будуватиметься на надійності та професіоналізмі».
Розуміючи, що для сучасного бізнесу довіра – це надважлива складова діяльності, KPMG опитала 1881 керівника з усього світу та провела інтерв’ю з п’ятьма корпоративними лідерами у межах дослідження KPMG International «Кібердовіра 2022». Метою дослідження було вивчити роль, яку відіграють кібербезпека та конфіденційність у розбудові й підтримці довіри, а також зрозуміти, наскільки вище керівництво компаній усвідомлює те, як воно справляється з викликами і що йому треба робити далі.
Mind розповідає головне – що варто знати про результати дослідження KPMG про кібербезпеку.
Що таке цифрова довіра і навіщо вона потрібна
Тренди у розширенні потоку даних – виклики конфіденційності
Штучний інтелект (ШІ) та машинне навчання (МН) – етичність і ризики
Нагальна потреба в новому законодавстві
Нова роль директора з інформаційної безпеки (CISO)
Довіра – спільна справа
П'ять кроків до довіри через кібербезпеку – поради від KPMG
Що таке цифрова довіра і навіщо вона потрібна
За визначенням спеціалістів KPMG, цифрова довіра – це впевненість усіх зацікавлених сторін (від клієнтів до партнерів, інвесторів і регуляторів) у здатності організації використовувати цифрові технології для захисту власних інтересів і підтримки суспільних очікувань і цінностей.
Зазвичай це поняття включає в себе кілька інших:
- Безпека й надійність, що гарантують захист технологій та інформаційних даних організації.
- Інклюзивне, етичне й відповідальне використання та створення технологій – по відношенню до людей, суспільства, середовища.
- Підзвітність та нагляд, котрі означають, що організація чітко визначає обов'язки щодо забезпечення надійності, розподіляє їх та контролює їх виконання.
За результатами опитування, учасники вважають, що зростання довіри до компанії може призводити до:
- Покращення прибутковості бізнесу – 37%
- Підвищення лояльності клієнтів – 35%
- Укріплення комерційних стосунків – 34%
- Збільшення кількості клієнтів – 33%
- Зростання інновацій – 32%
- Покращення репутації компанії – 30%
- Збільшення частки ринку – 29%
- Покращення показників утримання працівників – 28%
- Збільшення вартості підприємства – 24%
- Зменшення ймовірності фінансових санкцій – 17%
Тренди у розширенні потоку даних – виклики конфіденційності
За результатами опитування, більшість респондентів підтвердили, що за минулий рік компанії збільшили обсяги збору або аналізу даних про споживачів, а інвестиції в напрями діяльності на основі даних стають для них все більш пріоритетними.
61% компаній мають намір розгорнути нові платформи на основі проривних технологій упродовж двох років, а також заявляють про те, що у наступні три роки вони нарощуватимуть інвестиції в інтернет речей (IoT), периферійні обчислення та технології 5G і, меншою мірою, технології віртуальної (VR) і доповненої (AR) реальності.
37% компаній зосереджені на використанні отриманих з цифрового досвіду даних для адаптації цифрової взаємодії з клієнтами та партнерами в режимі реального часу, а 36% інвестують у багатоканальну інтеграцію з метою вдосконалення клієнтського досвіду.
Звичайно, такі темпи викликають занепокоєння клієнтів і збільшують очікування щодо пильного дотримання конфіденційності. Користувачі сподіваються, що матимуть можливість адаптувати контроль конфіденційності на своїх пристроях і каналах, вимагаючи від компаній включити гнучкі засоби контролю в майбутні продукти та послуги.
Штучний інтелект (ШІ) та машинне навчання (МН) – етичність і ризики
Бурхливий розвиток штучного інтелекту (ШІ) і машинного навчання (МН) також породжує в суспільстві занепокоєння щодо етики, безпеки та конфіденційності, пов’язане із застосуванням цих технологій.
Опитувані вважають, що:
- Впровадження ШІ/МН створює унікальні виклики щодо кібербезпеки, які потребують особливої уваги – 78%
- Впровадження ШІ/МН вимагає від нас додаткових заходів безпеки щодо того, як ми навчаємо системи ШІ/МН і контролюємо їхню продуктивність – 76%
- Впровадження ШІ/МН вимагає від нас більш прозорої комунікації щодо використання нами методик ШІ/МН – 76%
- Впровадження ШІ/МН піднімає фундаментальні питання етики, які потребують ретельного управління та нагляду – 76%
- Впровадження ШІ/МН спричиняє ключові проблеми щодо дотримання нами конфіденційності під час збору й аналізу даних клієнтів та бізнес-партнерів – 75%
Сандер Клоус (партнер, відділ розвитку бізнесу з даних та аналітики KPMG у Нідерландах) вважає, що ШІ несе нові ризики для бренду та прибутковості, а нові технології можуть сприяти нерівності, порушувати конфіденційність і обмежувати можливості автономного й індивідуального прийняття рішень. «Ви не можете просто звинувачувати саму систему штучного інтелекту в небажаних результатах, – говорить Сандер Клоус. – Надійний, етичний штучний інтелект – це не розкіш, а необхідність для бізнесу. Дедалі більше бізнес-лідерів усвідомлюють це, але довіру неможливо завоювати без докладання зусиль або подолання викликів. Надійний штучний інтелект може бути досягнутий лише за допомогою цілісного, незалежного від технологій та широко схваленого підходу до обізнаності, управління ШІ та ризиками.
Наприклад, для оцінки впливу впровадження ШІ необхідно залучати відповідні зацікавлені сторони, що можуть виявити ризики. ШІ повинен узгоджуватися з моральними цінностями організації та зацікавлених сторін. Організації повинні ретельно оцінити відповідність законодавству та нормативним вимогам, а також прибуток на інвестиції від ШІ. Прийняті рішення мають відстежуватися та перевірятися. І всі вказані засоби захисту мають бути впроваджені без шкоди для інновацій».
Нагальна потреба в новому законодавстві
Орієнтуватися у розмаїтті старих і нових регуляторних вимог різних країн стає дедалі складніше. Очевидною є потреба в повноцінному законодавстві, котре максимально вбере в себе усі норми етичності та конфіденційності. Зрозуміло, що зробити його уніфікованим неможливо, але розробити спільні рекомендації – посильне завдання для міжнародних організацій.
Наразі респонденти:
- стурбовані своєю здатністю відповідати чинним або новим нормам кібербезпеки в разі, коли діяльність передається на аутсорсинг – 36%
- відчувають занепокоєння щодо розкриття інформації про кібербезпеку в корпоративній звітності – 34%
- відчувають занепокоєння щодо росту вимог стосовно об'єктів критичної інфраструктури, які є предметом посиленого регулювання у Великій Британії, ЄС та США – 31%.
На додаток до цього, міжнародні організації мають справлятися з дедалі складнішим, різноманітнішим та інколи суперечливішим розмаїттям екстериторіального регулювання. «Одна з проблем для CISO (Chief Information Security Officer – директор з інформаційної безпеки) полягає в тому, що зацікавлені сторони в різних регіонах по-різному тлумачать одні й ті ж самі норми, – говорить Ульріх Байш, CISO компанії Bechtle, одного з найбільших європейських ІТ-провайдерів. – Ви повинні мати чітке уявлення про те, що ви можете і чого не можете робити».
Тому в KPMG переконані, що цифрова довіра разом з кібербезпекою та конфіденційністю має стати частиною порядку денного ESG. Натомість, щоб це стало реальністю, необхідно докласти ще більше зусиль.
Наразі менше 1/5 опитуваних організацій розглядають цифрову безпеку як невіддільну частину ESG, а 50% заявляють, що команда CISO грає дуже обмежену роль або взагалі не грає жодної ролі в ESG.
Подолати це можна лише співпрацею: особи, відповідальні за ESG, повинні співпрацювати в організаціях з тими, хто відповідає за кібербезпеку (найчастіше це CISO) та конфіденційність даних (найчастіше це спеціаліст із захисту даних (DPO)).
Нова роль директора з інформаційної безпеки (CISO)
Як бачимо, організації поки не усвідомлюють потенційну роль CISO в підвищенні цифрової довіри. Опитування підтверджує цю тезу:
- 1/2 виконавчих директорів висловлюють сумніви, що рівень довіри між Радою директорів та CISO можна охарактеризувати як «високий»;
- 1/3 каже, що CISO не сприймаються як ключовий управлінський персонал і мають недостатній вплив для того, щоб захистити організацію та її дані.
Ба більше, побутує думка, що CISO гальмують інновації та ініціативи щодо зростання. Натомість, багато хто вже доходить розуміння, що саме директори з цифрової безпеки можуть стати рушійною силою успіху організації, діючи як один з головних охоронців довіри в організації.
«CISO дійсно можуть зміцнити та покращити довіру, але часто те, що вони роблять зазвичай, визначається пріоритетами їхніх організацій, – говорить Марк Томпсон з IAPP. – Існує потреба в тому, щоб вони почали входити в цей процес – допомагати організації рухатись і змінювати цю ситуацію».
Багато директорів з інформаційної безпеки (CISO) намагаються отримати мандат для досягнення своїх цілей. За словами Енн Джонсон з Microsoft, часто доводиться мати складні розмови. «Якими даними ми будемо ділитися? Як ми будемо їх зберігати? Як ми збираємось використовувати їх з точки зору ШІ/МЛ? Як ми збираємося їх захищати? CISO повинен брати участь у кожній з цих розмов, і це нелегкі розмови», – додає Джонсон.
Майже дві третини респондентів (65%) стверджують, що інформаційна безпека розглядається в їхніх організаціях як діяльність, спрямована на зменшення ризиків, а не як чинник, що сприяє розвитку бізнесу. Навіть більше, 57% респондентів стверджують, що керівництво не розуміє конкурентних переваг посилення довіри внаслідок підвищення рівня інформаційної безпеки. Думку, що збільшення довіри веде до покращення результатів компанії, поділяють трохи більше третини опитаних організацій. Натомість 65% заявляють, що вимоги до захисту інформації визначаються скоріше необхідністю дотримання законодавства, ніж стратегічними амбіціями.
Довіра – спільна справа
Нові цифрові виклики також ставлять компанії перед дилемою. На одній шальці терезів – можливість співпраці й розбудови нової екосиситеми довіри, на другій – ризик витоку конфіденційної інформації. Ці вагання підтверджуються результатами опитування:
- 44% вважають, що співпраця з питань кібербезпеки в межах більш широкої екосистеми буде корисною (наприклад, допоможе їм передбачати кібератаки – про вразливість до них через ланцюжки постачання заявили 60% компаній);
- 38% стверджують, що на заваді зовнішньому партнерству у сфері кібербезпеки стоять питання конфіденційності;
- 36% опитаних побоюються, що вони розкриють занадто багато інформації про свої власні заходи безпеки.
Натомість 79% заявляють про життєву важливість конструктивного співробітництва з постачальниками та клієнтами, але тільки 42% повідомляють, що співпрацюють із ними.
Такий обмежений підхід до співпраці не забезпечує достатнього захисту ані окремим організаціям, ані їхнім екосистемам, підриваючи довіру до обох. Понад половину наших респондентів (53%) занепокоєні тим, що їхні організації недостатньо активні у співпраці з питань кібербезпеки – і вони цілком можуть мати рацію. «Необхідно визнати, що традиційна парадигма безпеки є менш актуальною в такому взаємопов'язаному ландшафті, – вважає керівник відділу з надання послуг з кібербезпеки KPMG у США Прасад Джаяраман. – Натомість більше сенсу має акцент на сталому мисленні. Замість того, щоб намагатися перемогти зловмисників виключно шляхом ізоляції та за допомогою систем контролю, необхідний більш скоординований і колективний підхід».
П'ять кроків до довіри через кібербезпеку – поради від KPMG
KPMG визначила п'ять найважливіших кроків до побудови довіри через кібербезпеку:
- Зробіть кібербезпеку та конфіденційність частиною усього процесу ведення бізнесу (впроваджуйте кібербезпеку та конфіденційність у бізнес-процеси, управління й культуру організації, зробивши їх невіддільною частиною бізнесу, а не накладними витратами, пов'язаними з дотриманням нормативних вимог).
- Створюйте внутрішні альянси (співпрацюйте з такими колегами, як головний спеціаліст з питань обробки даних і керівник із питань конфіденційності, для встановлення, закріплення та підтримки кібердовіри).
- Переосмисліть роль CISO (прийміть розширення порядку денного та визнайте здатність CISO зробити вагомий внесок у різних сферах, від ESG до етики ШІ).
- Забезпечте підтримку інвестицій керівництва в довіру (CISO, які заручилися підтримкою топменеджерів та ради директорів, швидше за все, буде легше просувати програму довіри. Це означає перетворення функціональних обов’язків CISO з вузько технічної ролі на стратегічну рушійну силу всередині організації).
- Підтримуйте зв’язок з екосистемою (визначте ключових партнерів у екосистемі організації та тісно співпрацюйте з ними з метою підвищення довіри та стійкості).
«З початку повномасштабної війни Україна стала ціллю чисельних кібератак, які охопили державні установи, приватні організації та громадян. Ті підприємства, які є частиною критичної інфраструктури, зокрема енергетичні, телекомунікаційні, медіа та фінансові компанії, також мають бути в режимі підвищеної готовності, оскільки саме ці галузі часто вважаються пріоритетними цілями в період війни. Бізнес має бути готовим протидіяти цим викликам – компанії повинні оцінити свою готовність до кіберінцидентів і свою здатність відновити діяльність. Поточна ситуація залишається непередбачуваною – компаніям та організаціям важливо постійно аналізувати, як ситуація може розвиватися далі та які сценарії можуть виникнути. Для кожного сценарію у компанії має бути аналіз, як той чи інший сценарій вплине на організацію з огляду на людей, бізнес, ланцюги поставок і технології», – резюмує Олексій Янковський.
