Кибербезопасность: защита данных требует инвестиций в воображение
Наталия Миронова, Яна Третяк

В июне на портале массового бесплатного обучения Prometheus стартовал учебный курс «СМС – Система Менеджмента Ситуаций», вобравший самые современные мировые достижения в системе принятия решений: слушатели получают конкретный уникальный практический инструмент СМС для решения любых сложных ситуаций, дилемм и вызовов. Курс предоставляет четкий пятишаговый метод принятия решений, разработанный Goldratt Research Labs на основе таких техник теории ограничений (ТОС), как «Грозовая туча» и «Матрица перемен», а также впитывает в себя технику «Плюс-минус» Бенджамина Франклина.

В курсе участвуют гостевые спикеры мирового уровня: признанный миром эксперт по теории ограничений доктор Алан Барнард, генеральный директор Goldratt Research Lab. А также Энди Коэн, генеральный директор из предположений Andy Cohen Worldwide, спикер TEDx, автор The New York Times и автор книги «Challenge your assumptions – change your world». Автором курса является партнер, СЕО Apple Consulting® Юлия Плиева. Подробнее о курсе и регистрации здесь.

Mind считает ценным работу в Украине экспертов такого уровня. Так, недавно мы общались с Аланом Барнардом.

Энди Коэн, один из преподавателей курса, изучает роль предположений в ежедневных решениях кибербезопасности с целью принимать более эффективные решения безопасности в киберпространстве. Его книга «Challenge Your Assumptions, Change Your World» дает читателям возможность научиться делать бизнес-решения лучше и быстрее. Энди Коэн преподает в нескольких самых известных университетах мира, включая университет Нью-Йорка, университет Корнелла и Дюка, ISB (Индия), Катарский центр лидерства и CKGSB (Китай). Andy Cohen Worldwide – глобальная консультативная фирма, которая помогает международным компаниям быстрее и эффективнее принимать решения. Компания обслуживает таких клиентов, как American Express, Bombardier, Citi, HSBC, Nestle, Novartis, Pfizer, SAP, Infosys, World Bank и др. Представляем ключевые тезисы его публикаций по кибербезопасности.

Создание предположений – это часть ежедневного процесса принятия решений.

Опасные предположения относительно кибербезопасности. У меня есть хорошо обученная и надежная рабочая сила, которой я могу доверять в реальности, лучшие кибераналитикы и инженеры должны поддерживать некоторую паранойю, а иногда и мыслить как враг, для того чтобы лучше предвидеть потенциальные угрозы.

Биометрика надежнее паролей. Ваша компания только что сделала огромные инвестиции в биометрику, чтобы сдержать хакерство, считая, что все будет идентифицироваться и вся информация станет безопасной, но все может быть сломано. Просто спросите министра обороны Германии Урсулу фон дер Лейен, чьи отпечатки пальцев были цифровым образом сняты как способ продемонстрировать, что биометрика уязвима.

Алгоритмы не делают предположений. Люди слишком сильно верят в алгоритмы. Журнал Economist сообщил об исследовании шведских ученых. В нем показано, что более 40 000 исследований FMRI были основаны на алгоритмах, содержащих ложные предположения. Это демонстрирует, что поврежденные алгоритмы часто не контролируются, поскольку они могут интегрироваться в другие программы.

В конце концов, каждый делает предположение на ежедневной основе, даже алгоритмы.

Рассмотрите фишинг, и то, как часто люди бездумно открывают электронную почту или ссылки в социальных сетях и предоставляют конфиденциальную информацию, предполагая, что это не приведет к взлому.

ДНК компании. Книга Джека Финни «Вторжение в тело похитителей» показала пугающий замысел. В романе инопланетяне в судах спускаются на Землю и, пока горожане спят, копируют их, полностью заменяя. Единственное отличие между клонами и телами-хозяевами заключается в том, что у клонов отсутствуют эмоции.

Фактически инопланетяне воруют ДНК землян. Идея этой книги кажется немыслимой – по крайней мере в случае с человеческими телами. Однако замена (копирование) ДНК и разрушение первоначальной сущности компанией-конкурентом – это то, что происходит сейчас в киберпространстве. Данные – это ДНК-«скелет» организации. Это означает, что конкурент сможет клонировать эту ДНК и использовать ее так, как изначально невозможно было представить.

Поэтому организации нуждаются в стратегии защиты от невидимого. Игнорирование рисков – путь к уязвимости, к атакам, которые могут уничтожить компанию почти за одну ночь. Хотя многие факторы влияют на способность защищать и предотвращать подобные виды вторжений, одним из ключевых элементов является осознание того, что кража данных компании имеет множество последствий с разной степенью опасности.

Организации должны расширить понимание того, насколько они ценят информацию, потому что ДНК компании может часто использоваться ей во вред из-за недостаточного внимания к рискам. С увеличением автоматизации происходит повышение производительности, но при этом возникает и повышенный риск для безопасности.

Ваш противник – это адаптивный мыслитель, который каждый день бросает вызов вашим рассуждениям о безопасности по-новому.

Способность организации представить «невидимую» концепцию дает более реалистичную модель оценки риска. Для контроля киберриска нужно новое мышление, поскольку оно не опирается на те же принципы, которыми руководствуются традиционные инструменты, ссылаясь на прошлый опыт: в мире кибербезопасности прошлый опыт не имеет никакой связи с новыми рисками, которые могут уничтожить бизнес.

Не ограничивайте воображение. Формула стоимости времени – альтернативный вариант оценки данных. Значительная часть размышлений о ценности информации, касающейся бизнес-операций, рассматривается в ее нынешнем состоянии, известном как текущая стоимость (PV). Впрочем, есть основания полагать, что формула стоимости времени, которую используют в бухгалтерских и инвестиционных кругах, является лучшим способом оценки данных. Формула содержит текущую стоимость валюты, конечный период, который следует принимать во внимание для инвестиционного горизонта, и разумное ожидание прибыли или процентов. Это создает будущую стоимость денег. Если данные – это валюта, то она будет дорожать с приобретением новых знаний.

Однако такая оценка – это все еще недостаточный уровень для кибербезопасности. Здесь необходима экспансивная модель, которая расширяет воображение.

Самое сильное оружие во время кибератаки – неограниченное воображение. Не интегрированное в формулы риска кибербезопасности воображение – пример того, как недооцениваются данные. Пока собственность, такая как любой продукт, имеет определенное значение, кибербезопасность – это вопрос времени и пространства, как и данных с несколькими значениями. Мозговые штурмовые мероприятия, семинары по творчеству и материалы киберэкспертов, которые делают вызовы своему мышлению, – это лишь несколько методов.

Необходимо признать, что в каждом решении лежит предположение или идея, которую мы считаем само собой разумеющимися, и трактуем как правду. Допущения не являются хорошими или плохими. Это лишь часть повседневного принятия решений, и часто подсознательная. Цель – научиться их признавать, чтобы превратить в возможности, которые можно воплотить.

На кибербезопасность следует смотреть как на вселенную – без конца и начала. Вопрос «достаточно?» – неплохой вопрос. Однако в данной сфере он неактуален.

Чтобы найти истинное значение данных, необходимо переосмыслить пути поиска. Для этого нужно выделить самых квалифицированных пециалистов в определении кибератак. Считать, что наиболее правильное решение имеет руководство, значит потерять возможность стать лучше и сильнее в кибербезопасности.

Все мы крутимся в водовороте киберпространства, как бы это кому-то не нравилось. Поэтому следует признать, что традиционный тип мышления для киберзепекы недейственный, особенно когда это касается оценки данных, влияющих на кибербюджет. Поэтому, кроме таланта, IQ и киберопыта, необходимо привлекать воображение, чтобы заметить удар до того, как он будет нанесен, а не после.

Китайские специалисты крадут интеллектуальную собственность американских оборонных компаний. Благодаря хакингу Китай в считаные годы сократил разрыв в ракетных, дронных и стелс-технологиях (пример: китайский J-20 очень похож на американский самолет-невидимку Lockheed Martin F-22; китайский FC-31 Gyrfalcon – как американский Lockheed's F-35).

На ДНК бизнеса посягают не только иностранные компании, но и собственные сотрудники. Так, в 2009 году Starwood Hotels обвинили Hilton Hotels в краже электронных файлов с планами роскошных гостиничных комплексов.

 
ООО «Эпл Консалтинг»
ул. Большая Васильковская, 9/2,
бизнес-центр «Макулан», оф. 8,
01024, Украина, г. Киев
info@applecons.com.ua
Подписаться на рассылку

© ООО «Эпл Консалтинг» -
2002-2024. Все права защищены
Партнер ЕВА