Як спрощення процедур мінімізує кіберризики

Забезпечення безпеки ІТ-інфраструктури є роботою, пов’язаною із щоденними викликами, які з часом тільки ускладнюється. Випадки витоку даних з'являються в новинах майже щодня, і, як правило, відповідальність за них лягає на CIO.

 

За даними Harvard Business Review, вартість акцій публічних компаній після витоку даних знижується в середньому на 7,5%, при тому, що середня капіталізація в оцінках складала 5,4 млрд дол. А на відновлення вартості акцій до рівня, що був до кіберінцинденту, уходило в середньому 46 днів, якщо вдавалося це зробити.

 

Аналітики розглядають й інші наслідки кібератак, про які ми можемо не відразу подумати. Наслідки атаки можуть забрати у компанії всі ресурси або позначитися на всьому ланцюжку постачання. А сама атака може навіть призвести до зниження кредитного рейтингу, що може вплинути на здатність компанії отримати фінансування.

 

Ми бачимо два основні напрямки, на яких зосереджена увага, коли йдеться про кібербезпеку. І в цьому є свої суперечності: хоча керівники компаній називають кібербезпеку серед фокусів, вони часто не роблять елементарних речей для запобігання атакам.

 

Коли йдеться про мінімізацію ризику кіберінциденту, дуже важливо підтримувати прошивки в актуальному стані та дотримуватися передових практик. На жаль, це завдання є відомою слабкістю, оскільки більшість клієнтів його не виконують. За нашими даними, щонайменше 60% пристроїв використовують застаріле вбудоване ПЗ, а 78% пристроїв мають відомі вразливості, якими можуть скористатися хакери зі злим умислом.

 

Звісно легко звинуватити клієнтів у тому, що вони не встановлюють оновлення, але ми у нашій компанії вирішили поставити питання руба: чи зробили наші ІТ-фахівці EcoStruxure все можливе, щоб допомогти клієнтам у розв'язання цієї проблеми?

 

Як результат, стало зрозуміло, що потрібно зробити більше для того, щоб максимально спростити для наших клієнтів процес оновлення прошивок і програмного забезпечення і переконатися, що вони дотримуються найкращих практик.

 

У випадку з вбудованими системами нашої компанії було розроблено новий набір інструментів, які проактивно перевіряють наявність нової прошивки та спрощують масове розгортання оновлень прошивки. Інструмент Secure Network Management Card (NMC) System Tool перетворює громіздкий процес пошуку та встановлення новітньої прошивки на всі пристрої, роблячи цей процес на 90% швидшим. Це означає, що користувачам більше не потрібно шукати прошивку на спеціальних ресурсах. А ще перевіряти, чи є ця прошивка останньою для їхнього пристрою, потім читати примітки до випуску, щоб зрозуміти, що входить у нову версію, перш ніж завантажити її та оновити свій пристрій. Замість цього Secure NMC System Tool повідомляє клієнтів про наявність нової прошивки та направляє їх на встановлення нової версії. Це суттєво спрощує завдання з оновлення ПЗ.

 

Друга сфера, на яку звернули увагу наші фахівці, - це сертифікація кібербезпеки, яка стала необхідним способом переконатися в тому, що постачальники дотримуються передових методів мінімізації кіберризиків у своїх процесах розробки.

 

Schneider Electric постійно інвестує в отримання сертифікатів кібербезпеки від незалежних організацій зі стандартизації, щоб гарантувати, що продукти, призначені для дата-центрів і розподілених ІТ-середовищ, відповідають набору чітко визначених вимог і проходять ретельне тестування та оцінку.

 

Серед сертифікатів:

 

ISO27001 - міжнародний стандарт для систем управління інформаційною безпекою (ISMS). Він забезпечує систематичний підхід до управління конфіденційною інформацією компанії, гарантуючи її збереження. Ця сертифікація має широке охоплення та охоплює людей, процеси та ІТ-системи, застосовуючи процес управління ризиками.

 

IEC 62443-4-2 описує вимоги Міжнародної електротехнічної комісії (IEC) до технічної безпеки компонентів у межах IACS, надаючи розробникам і виробникам продуктів рекомендації щодо забезпечення стійкості до кіберзагроз.

 

FIPS 140-3 - це державний стандарт США, що визначає вимоги до безпеки криптографічних модулів. Ці модулі являють собою апаратні або програмні компоненти, які шифрують і розшифровують дані, забезпечуючи безпечний зв'язок і захист даних.

 

Незалежні сертифікати кібербезпеки не так просто отримати, і це не одноразовий підхід. Вони вимагають постійних витрат часу, грошей і ресурсів і вважаються важливими для демонстрації прихильності кібербезпеки.

 

Необхідно зазначити, що кібербезпека - це шлях, який потребує інвестицій і Schneider Electric дотримується у цьому напрямку стратегічного підходу. Наші клієнти мають бути впевнені в тому, що ми будемо з ними надовго, і це вкрай важливо в такій галузі, як наша, де пристрої будуть використовуватися протягом 5, 10 або навіть 15 років. Використання новітніх технологій і методів для забезпечення безпеки ІТ-інфраструктури в поєднанні з правильним виконанням основних завдань і дотриманням передового досвіду допомагає долати цей шлях.